防火墻技術研究

摘 要：隨著網絡安全問題日益嚴重，網絡安全產品也被人們重視起來。防火墻作為最早出現的網絡安全產品和使用量最大的安全產品，也受到用戶和研發機構的青睞。對防火墻的原理以及分類、作用進行了詳細的介紹，旨在為選擇防火墻的用戶提供借鑒。

關鍵詞：網絡安全；防火墻

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3198（2007）09-0240-02

1 從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

2 從防火墻技術分

防火墻技術雖然出現了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packet filtering）型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。

包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

（2）應用代理（Application Proxy）型。

應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火墻。

代理類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

代理防火墻的最大缺點是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

3 從防火墻結構分

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。

這種防火墻其實與一臺計算機結構差不多（如下圖），同樣包括CPU、內存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

隨著防火墻技術的發展及應用需求的提高，原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火墻，俗稱“分布式防火墻”。

原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

分布式防火墻再也不只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡 ，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。

4 按防火墻的應用部署位置分

按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統的，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

5 按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

參考文獻

［1］孫建華等.網絡系統管理-Linux實訓篇［M］.北京：人民郵電出版社，2003，（10）.

［2］［美］Terry William Ogletree.防火墻原理與實施［M］.北京：電子工業出版社，2001，（2）.

［3］鄧亞平.計算機網絡安全［M］.北京：人民郵電出版社，2004，（9）.