陸軍，田雪琴，楊俊葉

（石家莊理工職業(yè)學(xué)院，河北石家莊 050228）

淺談防火墻技術(shù)

陸軍，田雪琴，楊俊葉

（石家莊理工職業(yè)學(xué)院，河北石家莊 050228）

本文闡述了防火墻的定義，分析了防火墻的分類和功能，并舉例說明如何用命令行方式配置思科5505防火墻，以實(shí)現(xiàn)外網(wǎng)訪問DMZ區(qū)服務(wù)器和內(nèi)網(wǎng)訪問外網(wǎng)服務(wù)器。

防火墻；CISCO；5505

互聯(lián)網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時網(wǎng)絡(luò)安全也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)，越來越受到人們的關(guān)注。

防火墻技術(shù)作為時下是最主要的一種網(wǎng)絡(luò)安全技術(shù)，直接關(guān)系到用戶的安全。

1 防火墻的定義

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。[1]

防火墻本身具有很強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

2 防火墻的分類

防火墻的分類方法有多種，如果從軟、硬件形式上來劃分，防火墻分為：硬件防火墻、芯片級防火墻和軟件防火墻。

（1）硬件防火墻：硬件防火墻是基于PC架構(gòu)，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有Unix、Linux和FreeBSD系統(tǒng)。由于此類防火墻采用的依然是其他操作系統(tǒng)的內(nèi)核，因此會受到操作系統(tǒng)本身的安全性影響。

（2）芯片級防火墻：芯片級防火墻基于專門的硬件平臺，專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。這類防火墻由于是專用OS,因此防火墻本身的漏洞比較少，不過價格相對比較高。

（3）軟件防火墻：軟件防火墻運(yùn)行于特定的計算機(jī)上，它需要客戶預(yù)先安裝好的計算機(jī)操作系統(tǒng)的支持，一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機(jī)上安裝并做好配置才可以使用。使用軟件防火墻，要求網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

3 防火墻的主要功能

3.1 包過濾

包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，可根據(jù)地址進(jìn)行設(shè)置規(guī)則。[2]

3.2 阻擋外部攻擊并記錄

如果外部發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會立即將其阻斷，避免其進(jìn)入防火墻之后的服務(wù)器中。如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了。

3.3 地址轉(zhuǎn)換

網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT (SNAT)和目的地址轉(zhuǎn)換Destination NAT (DNAT)。

SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊，并將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部IP地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。

DNAT就是對數(shù)據(jù)包的源地址和目的地址進(jìn)行修改，保存修改前后的映射關(guān)系，并且根據(jù)需要進(jìn)行還原操作，主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。

3.4 認(rèn)證和應(yīng)用代理

認(rèn)證是指防火墻對訪問網(wǎng)絡(luò)者合法身份的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫，提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進(jìn)行訪問控制，同時支持URL過濾功能。

3.5 透明和路由

透明指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問，防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。

3.6 虛擬專網(wǎng)功能

虛擬專網(wǎng)指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。VPN的基本原理是通過IP包的封裝、加密及認(rèn)證等手段，從而達(dá)到安全的目的。

4 CISCOASA配置實(shí)例

思科ASA 5505系列自適應(yīng)安全設(shè)備是cisco公司的一種安全產(chǎn)品，俗稱思科ASA防火墻。

ASA作為PIX的升級產(chǎn)品是一款集防火墻、入侵檢測（IDS）、VPN集中器于一體的安全產(chǎn)品，性能優(yōu)良，下面就是配置思科ASA 5505達(dá)到局域網(wǎng)安全控制的實(shí)例。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：

防火墻e0/0接口連接外網(wǎng)，命名為outside,屬于vlan 2，vlan 2虛擬子接口IP地址為209.165.200.226/29

防火墻e0/1接口連接內(nèi)網(wǎng)，命名為inside,屬于vlan 1，vlan 1虛擬子接口IP地址為192.168.1.1/24

防火墻e0/2接口連接DMZ區(qū)，命名為DMZ,屬于vlan3，vlan 3虛擬子接口IP地址為192.168.2.1/24

內(nèi)網(wǎng)主機(jī)的ip地址為：192.168.1.3/24，默認(rèn)網(wǎng)關(guān)：192.168.1.1

外網(wǎng)主機(jī)的ip地址為：172.16.3.3/24，默認(rèn)網(wǎng)關(guān)：172.16.3.1

DMZ區(qū)服務(wù)器已經(jīng)設(shè)置為WEB服務(wù)器、DNS服務(wù)器、FTP服務(wù)器，它的ip地址為：192.168.2.3/24默認(rèn)網(wǎng)關(guān)：192.168.2.1

為了保護(hù)局域網(wǎng)安全，ASA 5505防火墻默認(rèn)拒絕內(nèi)外網(wǎng)的所有連接，內(nèi)外網(wǎng)之間的訪問都不可以。

如果允許外網(wǎng)主機(jī)可以使用IP地址訪問DMZ區(qū)的WEB服務(wù)器，但不能PING通DMZ區(qū)的服務(wù)器，需要配置防火墻如下：

5 防火墻的局限性

防火墻雖然性能強(qiáng)大，但也有不少的局限性，表現(xiàn)在以下幾個方面：

（1）防火墻不能防范不經(jīng)過防火墻的攻擊，也不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。

（2）防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅，也不能防止可接觸的人為或自然的破壞。

（3）防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。

（4）防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。

（5）防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。[3]

6 防火墻技術(shù)系統(tǒng)管理的發(fā)展趨勢

防火墻技術(shù)也在不斷發(fā)展，功能越來越強(qiáng)大，同時防火墻技術(shù)也在彌補(bǔ)自身的不足，下面是防火墻技術(shù)的幾個發(fā)展趨勢：

(1)首先是集中式管理，集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性，快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。

(2)強(qiáng)大的審計功能和自動日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。

(3)通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

[1]馮昊.交換機(jī)/路由器配置與管理［M］.北京:清華大學(xué)大學(xué)出版社,2010

[2]范娜.計算機(jī)網(wǎng)絡(luò)安全［M］.杭州:浙江大學(xué)出版社,2012

[3]王培.防火墻技術(shù)應(yīng)用［M］.成都:四川大學(xué)出版社,2012

TP393.08

A

JL01-0229（2015）02-0010-03

2015-03-18

責(zé)任編輯：劉寶靜

校對：栗笑彥

陸軍（1969-），男，漢族，河北石家莊人，網(wǎng)絡(luò)與電子商務(wù)學(xué)院高級工程師，主要從事計算機(jī)網(wǎng)絡(luò)教學(xué)與研究工作。