方自遠 王棟

摘要：網絡安全問題已經成為超越并涵蓋國防安全、經濟安全和社會安全的第一安全問題。防火墻技術是互聯(lián)網上使用最為廣泛的安全防范措施。該文從現(xiàn)有的網絡安全問題出發(fā)，對防火墻技術的基本原理、主流技術、現(xiàn)有防火墻產品的體系架構進行了全面介紹，并對防火墻的未來發(fā)展趨勢做了展望。

關鍵詞：防火墻；網絡；安全技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）32-0030-03

隨著互聯(lián)網產業(yè)和技術的高速發(fā)展，全球已經進入一個“全球互聯(lián)”的互聯(lián)網信息時代，網絡信息化系統(tǒng)以及相關系統(tǒng)間的通信網絡已經成為一種提供公共服務的基礎設施?；ヂ?lián)網以及所帶來的應用已經深入社會的各個層面，網絡安全已經成為與國家、社會和每個個體都緊密相關的問題。對一個國家來說，網絡安全已經成為國防安全、經濟安全之上的第一安全。對于整個社會而言，網絡安全是社會正常運行的重要保障。對于個人來說，網絡安全是個人隱私和尊嚴、個人財產和人身安全的安全保護傘。近兩年來，隨著移動互聯(lián)網的飛速發(fā)展，網絡安全形勢日趨嚴峻。

互聯(lián)網系統(tǒng)存在安全問題的主要原因有：（1）系統(tǒng)本身存在缺陷和漏洞；（2）互聯(lián)網的開放性；（3）網絡上大量的黑客攻擊行為。目前，針對網絡安全的防控技術主要有：（1）病毒防護技術，（2）入侵檢測技術，（3）VPN技術，（4）PKI（公鑰）技術，（5）防火墻技術。本文主要對防火墻技術進行介紹。

1 防火墻技術概述

（1）防火墻的概念

實際上來講，防火墻是一種設置于不同網絡安全邊際上的高級訪問控制設備。網絡安全人員通過在該設備上設置安全控制策略對網絡行為進行安全管控。防火墻的核心設計理念是在不安全的互聯(lián)網網絡環(huán)境中隔離出一個相對比較安全的網絡子網，其方法則是在被保護的內部網絡與外部網絡之間建設一個唯一安全通道，通過控制通過安全通道內的信息流達到保證內部網絡安全的目的。

（2）防火墻的分類

從使用范圍和構成來分，防火墻可以分成個人防火墻、軟件防火墻和硬件防火墻三個類型。

個人防火墻——安裝在個人電腦或個人移動終端上的軟件系統(tǒng)，為個人電腦或移動終端提供簡單的防火墻功能。常用的個人防火墻有360安全衛(wèi)士、騰訊安全衛(wèi)士、百度安全衛(wèi)士等。

個人防火墻除了提供基本的防火墻功能之外，還提供基礎殺毒功能和系統(tǒng)優(yōu)化功能等。

軟件防火墻——是與硬件系統(tǒng)無關的，通過軟件來實現(xiàn)阻止非法訪問的軟件系統(tǒng)。該軟件系統(tǒng)可以運行在多種操作系統(tǒng)之上，功能比較強大。本質上來講，個人防火墻是軟件防火墻的一種簡化版本。

硬件防火墻——此類防火墻采用專門的CPU芯片（非X86芯片）來處理防火墻的安全控制策略的防火墻。此類防火墻的所有控制邏輯均在硬件芯片內來實現(xiàn)，因此也叫芯片級防火墻。芯片級防火墻的優(yōu)點在于：性能比較高，具有非常高的并發(fā)處理能力和吞吐量。

2 防火墻的技術原理

防火墻本質上是一種通過隔離并設置“安全檢查站”的方式來防護的技術。通過設置安全檢查策略，允許符合安全策略的訪問者和數據流通過進出內部網絡，對于那些不符合安全策略的數據流和訪問請求拒絕通過“安全檢查站”。這樣，既可以防止外部網絡的非法訪問，也可以阻止內部敏感數據被竊取，達到阻止黑客訪問網絡，并更改、刪除和復制網絡中重要信息的目的。

防火墻所采用的技術主要有：包過濾技術、應用及代理服務器技術、狀態(tài)檢測技術和完全內容檢測技術。

（1）包過濾技術

包過濾（IP Filtering or packet filtering）工作在網絡層，其主要原理是通過檢測數據包中的IP、端口和協(xié)議等信息，來決定是否允許數據包通過。

當設置的包過濾規(guī)則比較合理的情況下，網絡的安全可以得到充分的保障。包過濾檢測主要是對IP數據包的包頭信息進行檢測，檢測內容包括：TCP/UDP的源端口號或這目的端口號，協(xié)議類型：TCP、UDP、ICMP等，源或目的IP地址，數據包的源地址和目的地址。

所檢測的信息如果能夠與檢測規(guī)則中的某一條匹配成功并且該規(guī)則為允許通過規(guī)則，則該數據包被轉發(fā)；如果所檢測信息與某一條檢測規(guī)則匹配并且該規(guī)則為拒絕通過規(guī)則，則該數據包則會被丟棄；如果所檢測信息沒有與任何一條檢測規(guī)則匹配成功，則根據缺省規(guī)則的約定對數據包進行轉發(fā)或是丟棄處理。

如圖1所示，如果需要允許IP地址為192.168.0.1的電腦瀏覽網頁（建立HTTP連接），允許IP地址為192.168.0.2的電腦與Internet建立FTP連接，不允許其他電腦與Internet通信，則可以設置如下過濾規(guī)則：a）允許源IP地址為192.168.0.1，目的端口號為80的數據包通過（HTTP協(xié)議的端口號為80）；b）允許源IP地址為192.168.0.1，目的端口號為53的數據包通過（DNS的端口號為53，在瀏覽網頁時通常需要進行域名解析）；c）允許源IP地址為192.168.0.2 ，目的端口號為21的數據包通過（FTP的端口號為21）d）缺省禁止所有的其他連接。

（2）應用及代理服務器技術

包過濾技術不能夠完全保障網絡的安全，某些特殊的報文攻擊，比如：SYN攻擊、ICMP洪水，可以避開包過濾防護。代理服務器實際上是作為一個數據轉發(fā)服務器而存在。這種通道是為了實現(xiàn)用戶保密或突破訪問限制而設置的?！皯么怼狈阑饓嶋H上是帶有數據檢測過濾功能的透明代理服務器（Transparent Proxy）。但是它采用一種被稱為“應用協(xié)議分析”（Application Protocol Analysis）的新技術，并不是單純地在代理服務器中嵌入包過濾技術。

該技術的基本原理是：為了防止互聯(lián)網上的用戶直接獲得內部網的信息，在內部網的邊緣設置代理服務器，將互聯(lián)網和內部網的連接通路分成兩段，一段是互聯(lián)網到代理服務器，另一段是代理服務器到內部網中的某個主服務器。當有互聯(lián)網上用戶請求訪問內部網的某個服務器時，該業(yè)務請求總被送到代理服務器，由代理服務器作為代理去訪問內部網的某個服務器。這樣，所有來自互聯(lián)網的訪問請求均要通過代理服務器的安全管控，從而使得外部訪問者無法了解內部網的結構和運行狀態(tài)。

該技術的主要優(yōu)點：屏蔽了被保護的內部網；實現(xiàn)對數據流的監(jiān)測和控制。主要缺點：系統(tǒng)實現(xiàn)相對復雜；需要設置額外的硬件設備；服務請求延遲比較大。

（3）狀態(tài)檢測技術

狀態(tài)檢測技術是一種基于鏈接的狀態(tài)檢測機制。該技術將屬于同一鏈接的所有數據分組當作一個整體數據流，從而構成鏈接的狀態(tài)表。規(guī)則表和狀態(tài)表共同作用對表中的各個連接狀態(tài)信息進行識別。

狀態(tài)檢測技術所檢測的狀態(tài)信息有：①通信信息，②通信狀態(tài)，③應用狀態(tài)，④操作信息。

通信信息——操作系統(tǒng)的內核中嵌入檢測模塊。通信信息則是包括了OSI模型的所有對應層的通信信息。檢測模塊在進行檢測時，先從底部協(xié)議層的數據包開始進行檢測，如果數據包符合所設置的安全策略，則再進行更高層級的安全檢測。

通信狀態(tài)——狀態(tài)表存儲于狀態(tài)檢測防火墻中。受保護的網絡中發(fā)出的數據包的狀態(tài)信息被存儲到狀態(tài)表中。然后，狀態(tài)檢測防火墻讀取狀態(tài)表中的記錄，并與那些請求進入受保護網絡的數據進行分析比對，最終只允許那些響應內部網服務請求的數據包通過檢測，進入內部網絡。

應用狀態(tài)——狀態(tài)檢測模塊被加入了自學習功能，因此可以學習最新的協(xié)議和應用。由此，狀態(tài)檢測模塊能夠支持各種最新的應用程序。應用程序中狀態(tài)信息也被收集起來并存入狀態(tài)表，用以支撐檢測策略。

操作信息——此類信息包括數據包中的用于執(zhí)行邏輯或數學運算的部分。由于狀態(tài)檢測技術采用的是面向對象技術，因此可以收集通信信息、通信狀態(tài)和應用狀態(tài)等多種信息并結合安全策略、狀態(tài)關聯(lián)信息和通信數據，構成出功能強大、機制靈活并滿足用戶特殊安全需求的安全策略規(guī)則。

（4）完全內容檢測技術

內容檢測防火墻將多種防火墻技術結合在一起，是一種新型的防火墻。完全內容防火墻的實現(xiàn)是基于特定的硬件系統(tǒng)，并依托包過濾技術，設計了用于內容檢測的特定功能模塊和軟件系統(tǒng)。

完全內容檢測防火墻可以說是包過濾防火墻的加強型。這種防火墻技術并非一種標準化技術，而是可以根據客戶的特定需求，可以根據網絡協(xié)議的不同對特定數據包進行內容檢測，比如：需要檢測某些網絡瀏覽內容，則直接對HTTP協(xié)議數據包進行檢測；如果需要對往來的電子郵件內容進行檢測，則直接攔截基于POP3和SMTP協(xié)議的數據包進行檢測即可。

內容檢測防火墻的主要優(yōu)點：對網絡層保護強，檢測網絡層內容；對應用層保護能力強大，實現(xiàn)對應用層協(xié)議的檢測；在會話層設計了相關檢測模塊，會話保護很強；檢測中具有上下文相關性；檢測中的前后報文有聯(lián)系。

3 防火墻的體系架構

防火墻的功能、性能和適用范圍是由防火墻系統(tǒng)所采用實現(xiàn)技術和體系架構所決定的。常見的防火墻體系架構有：

（1）包過濾型防火墻架構

分組過濾路由器是包過濾型防火墻的主要實現(xiàn)部件。作為Internet和內部網之間的唯一通道，分組過濾器對所有進出內部網絡的數據包/分組報文進行檢查，并根據檢測規(guī)則決定是否允許通過。

由于包過濾型防火墻一般設置在網絡層，其主要任務是對IP報文進行檢測，所以也被叫作IP過濾器或網絡層防火墻。

該種防火墻的主要優(yōu)點：處理速度快；不需要增加額外硬件；處理過程對于用戶來講是透明的。其缺點：維護困難；僅能防止IP欺騙類攻擊；沒有日志記錄功能。

其應用范圍：安全性要求不高的小型網絡中。

（2）雙宿/多宿主機防火墻架構

具有雙網卡的堡壘主機是雙宿/多宿主機防火墻的主要構成部件。堡壘主機位于內部網和Internet之間，用于隔離Internet和內部網之間的網絡層通信。兩者之間的通信只能有堡壘主機作為中轉站進行轉接。

該架構的優(yōu)點：被保護網絡完全被屏蔽，網絡安全性高；實現(xiàn)了數據流監(jiān)控、過濾、記錄和報告功能，且功能比較強大。缺點：訪問速度變慢；提供服務相對滯后；特定的服務無法提供。

（3）被屏蔽主機防火墻架構

該種架構中額外設置一個過濾路由器。該路由器主要用于將Internet上所有對內部網的訪問路由到堡壘主機上，迫使所有的外部訪問僅能與堡壘主機相連接，而不是直接訪問業(yè)務主機。該架構本質上雙宿/多宿主機防火墻是一樣的，但是其增加了邊緣網絡，將堡壘主機置于邊緣網絡，提升了安全性。

（4）被屏蔽子網（Screened Subnet）防火墻架構

該防火墻架構的核心思想是：在Internet和內部網之間設置一個被隔離的子網，或稱為非軍事區(qū)（DMZ， Demilitarized Zone）。如圖5所示，在實際實現(xiàn)的時候，被屏蔽子網的兩端被設置兩個分組過濾路由器，子網內構成一個DNS。Internet和內部網均可以通過各自端的路由器訪問被屏蔽子網，但是卻無法穿越被屏蔽子網。

4 防火墻的未來發(fā)展趨勢

隨著網絡技術的不斷發(fā)展，防火墻相關產品和技術也在不斷進步。

（1）防火墻的產品發(fā)展趨勢

目前，就防火墻產品而言，新的產品有：智能防火墻、分布式防火墻和網絡產品的系統(tǒng)化應用等。

智能防火墻——在防火墻產品中加入人工智能識別技術，不但提高防火墻的安全防范能力，而且由于防火墻具有自學習功能，可以防范來自網絡的最新型攻擊。

分布式防火墻——一種全新的防火墻體系結構。網絡防火墻、主機防火墻和管理中心是分布式防火墻的構成組件。傳統(tǒng)防火墻實際上是在網絡邊緣上實現(xiàn)防護的防火墻，而分布式防火墻則在網絡內部增加了另外一層安全防護。分布式防火墻的優(yōu)點有：支持移動計算；支持加密和認證功能，與網絡拓撲無關等。

網絡產品的系統(tǒng)化應用——主要是指某些廠商的安全產品直接與防火墻進行融合，打包銷售。另外，有些廠商的產品之間雖然各自獨立，當各個產品之間可以進行通信。

（2）防火墻的技術發(fā)展趨勢

包過濾技術——作為防火墻技術中最核心的技術之一—自身具有比較明顯的缺點：不具備身份驗證機制和用戶角色配置功能。因此，一些產品開發(fā)商就將AAA認證系統(tǒng)集成到防火墻中，確保防火墻具備支持基于用戶角色的安全策略功能。

多級過濾技術就是在防火墻中設置多層過濾規(guī)則。在網絡層，利用分組過濾技術攔截所有假冒的IP源地址和源路由分組；根據過濾規(guī)則，傳輸層攔截所有禁止出/入的協(xié)議和數據包；在應用層，利用FTP、SMTP等網關對各種Internet的服務進行監(jiān)測和控制。

綜合來講，上述技術都是對已有防火墻技術的有效補充，是提升已有防火墻技術的彌補措施。

（3）防火墻的體系結構發(fā)展趨勢

隨著軟硬件處理能力、網絡帶寬的不斷提升，防火墻的數據處理能力也在得到提升。尤其近幾年多媒體流技術（在線視頻）的發(fā)展，要求防火墻的處理時延必須越來越小。

基于以上業(yè)務需求，防火墻制造商開發(fā)了基于網絡處理器和基于ASIC （Application Specific Integrated Circuits，專用集成電路）的防火墻產品?；诰W絡處理器的防火墻本質上還是依賴于軟件系統(tǒng)的解決方案，因此軟件性能的好壞直接影響防火墻的性能。而基于ASIC的防火墻產品具有定制化、可編程的硬件芯片以及與之相匹配的軟件系統(tǒng)，因此性能的優(yōu)越性不言而喻，可以很好地滿足客戶對系統(tǒng)靈活性和高性能的要求。

5 結束語

隨著互聯(lián)網技術的飛速發(fā)展，接入互聯(lián)網的設備無論從種類還是數量都是越來越多，在互聯(lián)網上進行的社會活動也越來越多，包括商業(yè)、社交等諸多方面，因此，互聯(lián)網安全問題已經成為涵蓋經濟安全、社會安全、國防安全等諸多方面對的綜合性安全問題。

本文從網絡安全的角度出發(fā)，對網絡防火墻的主流技術、產品體系架構和未來的技術演進方向做了一個比較全面的介紹。

參考文獻：

[1] 黃志軍，趙皚，徐紅賢.網絡安全與防火墻技術[J].海軍工程大學學報，2002（14）.

[2] 李慧敏.防火墻技術綜述[J].計算機光盤軟件與應用，2011（5）.

[3] 陳棟.防火墻技術分析[J].新鄉(xiāng)學院學報（自然科學版），2012（29）.

[4] 趙鵬.淺析防火墻技術[J].計算機光盤軟件與應用，2011（9）.

[5] 于婷婷.淺談Internet防火墻技術[J].計算機光盤軟件與應用，2012（4）.

[6] 王中，郭蘭申，王永濱，楊威.Linux防火墻分析[J].河北工業(yè)大學學報，2001（4）.

【通聯(lián)編輯：代影】