龔德中

【摘要】? ? 計(jì)算機(jī)的大規(guī)模普及帶來了新的生活和工作方式，然而計(jì)算機(jī)世界存在著大量的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全涉及用戶的隱私，嚴(yán)重的還會(huì)侵犯人身財(cái)產(chǎn)安全，因此計(jì)算機(jī)的安全防護(hù)不可小覷。計(jì)算機(jī)中的防火墻相當(dāng)于計(jì)算機(jī)的城墻，是保護(hù)計(jì)算機(jī)安全的有效措施，本文主要分析了防火墻所包含的技術(shù)，并對(duì)其安全性進(jìn)行了分析，以方便相關(guān)人員增進(jìn)對(duì)防火墻的認(rèn)識(shí)。

【關(guān)鍵詞】? ? 防火墻? ? 包過濾? ? 網(wǎng)絡(luò)安全

引言：

計(jì)算機(jī)的誕生給人類社會(huì)帶來了巨大的革新，改變了人們以往的生活方式，拉進(jìn)了人們之間的距離。近些年來，計(jì)算機(jī)技術(shù)的發(fā)展更是日新月異，人與人之間的信息交流也更加便攜，與此同時(shí)，也有一些不法分子擾亂網(wǎng)絡(luò)秩序，網(wǎng)絡(luò)安全的問題日趨嚴(yán)重。防火墻可以及時(shí)發(fā)現(xiàn)并制止?jié)摬氐娘L(fēng)險(xiǎn)隱患，給計(jì)算機(jī)用戶進(jìn)行提醒，保障用戶信息安全和計(jì)算機(jī)網(wǎng)絡(luò)安全。

一、防火墻技術(shù)原理

1.1防火墻概念介紹

防火墻的英文名稱是”FireWall”，傳統(tǒng)意義上的防火墻是指可以防止火勢(shì)蔓延的墻壁或其它屏障，在計(jì)算機(jī)網(wǎng)絡(luò)世界中，防火墻要隔絕的不再是火，而是一些有害或者無關(guān)的網(wǎng)絡(luò)信息，比如木馬病毒、入侵程序等。防火墻的基本原理就是分辨出計(jì)算機(jī)的內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)，在這兩種網(wǎng)絡(luò)之間建立一個(gè)過濾網(wǎng)，過濾網(wǎng)一方面可以保證內(nèi)部信息不受侵害，另一方面也可以保證內(nèi)部信息與外部信息的互通交流[1]。

1.2防火墻工作原理

防火墻是內(nèi)部和外部信息交互的唯一途徑，防火墻對(duì)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一切信息流進(jìn)行嚴(yán)格監(jiān)查，整體的工作原理如圖1所示。

二、防火墻主要類型及技術(shù)

從軟硬件的角度來看，防火墻大致可以分為兩種：一是軟件方面的防火墻;二是硬件方面的防火墻。在防火墻發(fā)展的初始時(shí)期，防火墻和集線器、交換機(jī)的性質(zhì)是相同的，也是硬件產(chǎn)品中的一員，這時(shí)的防火墻就可以稱之為硬件方面的防火墻;軟件方面的防火墻別名個(gè)人防火墻，它是在防火墻的不斷發(fā)展和應(yīng)用普及中產(chǎn)生的，由于不同的用戶對(duì)于防火墻的需求不同，技術(shù)人員在開發(fā)防火墻時(shí)不斷進(jìn)行技術(shù)革新，實(shí)現(xiàn)了在純軟件的基礎(chǔ)上開發(fā)防火墻，這種方式得到的防火墻就被稱為軟件防火墻。

從防火墻的技術(shù)角度來看，防火墻大致可以分為以下三類：一種是過濾型作用的防火墻;第二種是應(yīng)用代理型作用的防火墻;第三種是復(fù)合型作用的防火墻。

2.1過濾型防火墻

過濾型防火墻通常是在網(wǎng)絡(luò)層和傳輸層之中，檢查通過的信息是否達(dá)到防火墻要求的標(biāo)準(zhǔn)，之后對(duì)于符合標(biāo)準(zhǔn)的信息可以準(zhǔn)許通過，對(duì)于不符合標(biāo)準(zhǔn)的信息視為不安全因素，防火墻會(huì)對(duì)其進(jìn)行阻止，這類信息就不能正常進(jìn)行傳遞。過濾型防火墻用到的技術(shù)主要有兩大類，一種是簡(jiǎn)單包過濾技術(shù)，另一種是狀態(tài)檢測(cè)技術(shù)。簡(jiǎn)單包過濾技術(shù)是在網(wǎng)絡(luò)層進(jìn)行信息過濾，在進(jìn)行信息過濾時(shí)根據(jù)之前制定的標(biāo)準(zhǔn)規(guī)則檢測(cè)IP包頭的有關(guān)信息，比如IP源、TCP協(xié)議、TCP/UDP目標(biāo)端口、ICMP消息類型等，將檢測(cè)到的這些信息和標(biāo)準(zhǔn)規(guī)則進(jìn)行對(duì)比，對(duì)于符合標(biāo)準(zhǔn)可以通過的信息進(jìn)行正常傳遞，不符合標(biāo)準(zhǔn)的數(shù)據(jù)進(jìn)行阻攔[2]。使用簡(jiǎn)單包過濾技術(shù)的防火墻在眾多防火墻類型中的安全性是最低的。狀態(tài)檢測(cè)技術(shù)是2002年左右發(fā)展起來的技術(shù)，通過網(wǎng)絡(luò)通信狀態(tài)和信息的分析使用，采用狀態(tài)監(jiān)測(cè)機(jī)制進(jìn)行工作。主要使用的網(wǎng)絡(luò)通信狀態(tài)和信息以及其中包含的信息如表1。

2.2應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是在在應(yīng)用層之上進(jìn)行工作，應(yīng)用代理型防火墻的核心技術(shù)就是代理方面的內(nèi)容。所謂的代理技術(shù)就是將需要傳入傳出的數(shù)據(jù)載代理防火墻處可以隱藏來源，經(jīng)過代理防火墻的數(shù)據(jù)只能知道是從防火墻處發(fā)出的，無法追蹤到它的來源處的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，從而可以提高網(wǎng)絡(luò)的安全性，達(dá)到保護(hù)的目的。

代理技術(shù)具體的工作流程如下：代理服務(wù)器在接收并核實(shí)用戶的提出的申請(qǐng)之后，將申請(qǐng)轉(zhuǎn)送到Proxy應(yīng)用程序上，Proxy將申請(qǐng)進(jìn)行處理并將其傳給真實(shí)服務(wù)器，真實(shí)服務(wù)器接收到申請(qǐng)后給予反應(yīng)，Proxy再接收服務(wù)器的反應(yīng)并進(jìn)行處理，將處理后的反應(yīng)傳遞給最初發(fā)出申請(qǐng)的用戶。

代理機(jī)制下的防火墻可以完全隔離網(wǎng)絡(luò)之間的交流通信，相比過濾型防火墻應(yīng)用代理型防火墻的安全性更高，保護(hù)作用更強(qiáng)，這也是應(yīng)用代理型防火墻的最大的特點(diǎn)。根據(jù)代理技術(shù)的工作流程可以看出每次進(jìn)行連接時(shí)都需要Proxy應(yīng)用程序作為中間媒介進(jìn)行信息處理和傳遞，同時(shí)不同的代理所需要的應(yīng)用軟件進(jìn)程不同，導(dǎo)致應(yīng)用代理型防火墻的可移植性比較差。

2.3復(fù)合型防火墻

復(fù)合型防火墻是過濾型和應(yīng)用代理型兩種防火墻共同結(jié)合的結(jié)晶，可以根據(jù)不同的安全策略選用不同的對(duì)應(yīng)策略，如果接收到的安全策略是代理策略，就選擇代理型防火墻的應(yīng)對(duì)方式，主要檢查報(bào)文內(nèi)容，如果接收到的是包過濾策略，就選用過濾型的應(yīng)對(duì)方法，判斷報(bào)頭部分。這樣一來，復(fù)合型防火墻就相當(dāng)于吸收了過濾型和代理型二者的長(zhǎng)處，同時(shí)也拋棄了兩者的一些缺點(diǎn)，使得防火墻使用效率更高、效果更好也更方便和靈活。

三、防火墻探測(cè)技術(shù)

防火墻的探測(cè)也是防火墻工作中的一個(gè)比較重要的部分，目前較多使用的探測(cè)技術(shù)主要有以下幾種：

3.1根據(jù)探測(cè)數(shù)據(jù)包的返回信息進(jìn)行判斷

根據(jù)防火墻的探測(cè)，探測(cè)數(shù)據(jù)包可以判斷是否存在防火墻或者另外方面的一些信息，使用方便簡(jiǎn)單。比如登錄主機(jī)某一端口時(shí)，可以輸入相應(yīng)的關(guān)鍵字，對(duì)于這些關(guān)鍵字不同的防火墻就會(huì)返回不同的字符串，根據(jù)這些返回的字符串就能知道探測(cè)包遇到的防火墻的種類。

3.2使用探測(cè)工具

常見的防火墻探測(cè)工具有Firewalking、NMAPing、Traceroute等，這些探測(cè)工具會(huì)將探測(cè)結(jié)果返回，根據(jù)探測(cè)結(jié)果進(jìn)行分析，可以獲取防火墻的位置以及防火墻的端口信息等[2]。

3.3其它方式

除了以上兩種探測(cè)方式外，還可以使用端口掃描和ICMP報(bào)文、錯(cuò)誤CRC防火墻探測(cè)以及Xmas Tree、Null掃描等技術(shù)進(jìn)行探測(cè)。值得說明的是，這些探測(cè)技術(shù)各有優(yōu)缺點(diǎn)，并且在實(shí)際使用過程中這些技術(shù)的探測(cè)精度一般都不太高，需要結(jié)合多種探測(cè)方法，對(duì)得到的所有的結(jié)果進(jìn)行分析。

四、防火墻安全脆弱性及防護(hù)措施

4.1安全脆弱性分析

防火墻對(duì)于網(wǎng)絡(luò)安全的作用影響深遠(yuǎn)，它可以抵御絕大部分的惡意攻擊，但防火墻并不是毫無漏洞的存在。因此需要通過分析確定防火墻需要完善和改進(jìn)之處，以此來提升防火墻技術(shù)。防火墻的分析方案要盡量科學(xué)系統(tǒng)全面，可以從以下幾點(diǎn)進(jìn)行分析：1.防火墻基本信息：包括防火墻生產(chǎn)的公司、防火墻的版本、類型;2.防火墻的過濾技術(shù);3.應(yīng)用程序;4.過濾規(guī)則;5.操作系統(tǒng)，判斷防火墻公的操作系統(tǒng)弄的安全性如何;6.安全漏洞，包括設(shè)計(jì)上的漏洞和運(yùn)行過程中發(fā)現(xiàn)的漏洞。

本文中，遵循上述科學(xué)分析原則，針對(duì)幾種常用的防火墻（Checkpoint Firewall-1、Cisco PIX、NAI Gauntlet）進(jìn)行具體的安全脆弱性分析，詳細(xì)內(nèi)容如下：

1. Checkpoint Firewall-1。Checkpoint Firewall-1防火墻受到世界排名靠前的多個(gè)大企業(yè)的青睞，它由Inspection Module、FireWall Module、Management Module三個(gè)基本模塊組成，此外它還有多個(gè)可選模塊，比如Connect Control、GUI以及Router Security Management等。它在應(yīng)用層由于不對(duì)閾值進(jìn)行檢查，極易遭受拒絕服務(wù)攻擊;在規(guī)則設(shè)定層，不懂內(nèi)置規(guī)則的用戶進(jìn)行的規(guī)則設(shè)置可能會(huì)導(dǎo)致一些潛在的安全問題;在操作系統(tǒng)層面，雖然該防火墻支持多種系統(tǒng)，但在具體安裝時(shí)如果不注意一些系統(tǒng)補(bǔ)丁和不需要的服務(wù)也會(huì)造成一些不必要的問題?？傊?，Checkpoint Firewall-1存在校本過濾規(guī)則、外泄內(nèi)部地址、霸占遠(yuǎn)程資源等問題。2. Cisco PIX。PIX是典型的硬件防火墻之一，其工作速度比較快，也方便用戶使用。Cisco PIX防火墻具有多級(jí)狀態(tài)檢測(cè)功能，同時(shí)還具有與代理相像的功能。它的過濾規(guī)則中有一條規(guī)則拒絕了所有沒有認(rèn)證的用戶，也就是說沒有通過認(rèn)證的用戶無論是哪種類型都不會(huì)通過這種防火墻，都會(huì)受到阻攔。對(duì)于認(rèn)證的合理用戶，用戶在防火墻處傳遞的消息不用全部一一檢查，由于這一特性，在配置規(guī)則時(shí)新用戶需要特別小心。PIX操作系統(tǒng)使用公司專屬的IOS系統(tǒng)，同時(shí)需要不斷進(jìn)行補(bǔ)丁升級(jí)。PIX的主要問題是不能妥當(dāng)處理子網(wǎng)地址，對(duì)于假冒的RST、TCP數(shù)據(jù)包的入侵也存在安全問題。（3）NAI Gauntlet。NAI Gauntlet防火墻是應(yīng)用層網(wǎng)關(guān)一級(jí)產(chǎn)品，代理技術(shù)是其核心，具有高加密的特點(diǎn)。NAI Gauntlet防火墻同樣不會(huì)查驗(yàn)閾值，在進(jìn)行規(guī)則設(shè)置時(shí)由于缺乏GUI界面，只能基于命令行進(jìn)行設(shè)置，不夠直觀友好。它也不具有Integrated Web Cache功能、缺乏企業(yè)級(jí)防火墻陣列的支持能力，因此NAI Gauntlet難以擔(dān)任整體系統(tǒng)的防御能力。

4.2防護(hù)措施

防火墻受到的沖擊主要是三個(gè)方面，分別是防火墻探測(cè)、繞過防火墻攻擊和破壞性沖擊。針對(duì)防火墻探測(cè)沖擊可以重新設(shè)置防火墻過濾規(guī)則，或者嚴(yán)格檢查進(jìn)入防火墻的信息數(shù)據(jù)，此外將防火墻一些不必要的端口進(jìn)行關(guān)閉也可以達(dá)到一定的保護(hù)目的[3]。對(duì)于繞過防火墻的沖擊，可以通過設(shè)置防火墻，避免內(nèi)部地址的數(shù)據(jù)包進(jìn)入，避免欺騙攻擊。破壞性攻擊最常見的就是木馬沖擊，對(duì)于這種類型的沖擊用戶可以安裝一些口碑比較好的木馬檢測(cè)程序，一旦發(fā)現(xiàn)立刻對(duì)木馬進(jìn)行消滅處理?？傊?，為了達(dá)到更高的防護(hù)作用，一方面用戶需要對(duì)一般的防火墻進(jìn)行自定義設(shè)置，提高過濾標(biāo)準(zhǔn)，另一方面也要采取一些輔助措施。

五、結(jié)束語

防火墻對(duì)于網(wǎng)絡(luò)安全做出來巨大貢獻(xiàn)，可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)安全，保護(hù)計(jì)算機(jī)用戶的信息資料不外泄、不丟失，不同類型的防火墻有著各不相同的防護(hù)能力，可供不同需求的用戶自由選擇。但也要注意防火墻并不是能百分之百抵當(dāng)網(wǎng)絡(luò)侵犯，需要全方面地分析防火墻的安全脆弱性，提出相應(yīng)的方法，提高網(wǎng)絡(luò)總體的安全。需要注意不同類型的防火墻它們的優(yōu)缺點(diǎn)不同，在進(jìn)行分析時(shí)要實(shí)事求是，根據(jù)具體的防火墻嚴(yán)格按照分析方案采取相應(yīng)的措施，進(jìn)而提出改進(jìn)策略，提升防火墻的防御能力。

參? 考? 文? 獻(xiàn)

[1] 曾強(qiáng). 基于計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析[J]. 電腦知識(shí)與技術(shù). 2020，16（02）：14-15.

[2] 邵野. 計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)安全與對(duì)策分析 [J]. 數(shù)字通信世界. 2021，（04）：110-111.

[3] 藍(lán)杰. 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)的研究[J]. 信息記錄材料. 2021，22（06）：77-78.