淺析防火墻配置技術

摘要：文章介紹了防火墻的配置結構的類型和特點，重點闡述了屏蔽子網防火墻和雙宿主機防火墻配置技術和應用，最后，針對不同情況，提出了防火墻配置方案。

關鍵詞：防火墻；配置技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

Brief Analysis Firewall Disposition Technology

ZHENG Wei

(Fire in Huaibei City Public Security Detachment，Huaibei 235000，China)

Abstract:The article introduced the firewall disposition structure type and the characteristic， elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application， finally， in view of the different situation， proposed the firewall disposition plan.

Key words:Firewall;disposition;technology

1 引言

今天我們所處的信息時代，也可以說也是病毒與黑客大行其道的時代，從Internet到企業(yè)內網、從個人電腦到可上網的手機平臺，沒有地方是安全的。每一次網絡病毒的攻擊，都會讓家庭用戶、企業(yè)用戶甚至是運營商頭痛腦熱。不過經歷過了一次又一次的病毒危機后，人們已經開始思考網絡的安全了?，F在任何一個企業(yè)組建網絡都會考慮到購買防火墻，且有越來越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火墻。

但是防火墻不是一道用于心理安慰的屏障，只有會用防火墻才能夠真正將威脅擋在門外，如果對防火墻的防護執(zhí)行設置沒有結合企業(yè)內部的需求而進行認真充分的定義，添加到防火墻上的安全過濾規(guī)則就有可能允許不安全的服務和通信通過，從而給企業(yè)網絡帶來不必要的危險與麻煩。防火墻可以比做一道數據的過濾網，如果事先制定了合理的過濾規(guī)則，它將可以截住不合規(guī)則的數據報文，從而起到過濾的作用。相反，如果規(guī)則不正確，將適得其反。

2 防火墻配置技術

一般來說，防火墻由包過濾（靜態(tài)的或動態(tài)的）和應用網關（或者是電路級網關或者應用級網關）組成，當前主要有：過濾路由器防火墻；主機過濾防火墻；屏蔽子網防火墻；雙宿主機防火墻。

2.1 過濾路由器防火墻配置結構

在傳統(tǒng)的路由器中增加分組過濾功能就能形成這種最簡單的防火墻。這種防火墻的好處是完全透明，但由于是在單機上實現，形成了網絡中的“單失效點”。路由器的基本功能是轉發(fā)分組，一旦過濾機能失效，被入侵后就會形成網絡直通狀態(tài)，任何非法訪問都可以進入內部網絡。因此這種防火墻的失效模式不是“失效—安全”型，也違反了阻塞點原理。因此，我們認為這種防火墻尚不能提供有效的安全功能，僅在早期的因特網中應用。

2.2 主機過濾防火墻配置結構

這種防火墻由過濾路由器和運行網關軟件的堡壘主機（指一個計算機系統(tǒng)，它是防火墻配置的一部分，并且是一個或數個應用網關的主機，它暴露于來自外部網絡的直接攻擊之中）構成。該結構提供安全保護的堡壘主機僅與內部網絡相連，而過濾路由器位于內部網絡和外部網絡之間。

該主機可完成多種代理，如FTP、Telnet和WWW，還可以完成認證和交互作用，能提供完善的因特網訪問控制。這種防火墻中的堡壘主機是網絡的“單失效點”，也是網絡黑客集中攻擊的目標，安全保障仍不理想。但是該結構防火墻具有可操作性強、投資少，安全功能容易實現和擴充，因而目前也有比較廣泛的應用。

2.3 屏蔽子網防火墻配置結構

該防火墻是在主機過濾結構中再增加一層參數網絡的安全機制，使得內部網絡和外部網絡之間有兩層隔斷。簡而言之，一個屏蔽子網防火墻就是由兩個屏蔽路由器構成，它們是用來創(chuàng)建一個稱為屏蔽子網或非軍事化區(qū)域（DMZ）的外部網絡段。DMZ把堡壘主機看成是應用層網關，在堡壘主機上可以運行各種各樣的代理服務器。除了外部服務器，也還有一個被屏蔽路由器所分開的內部網絡段，內部服務器可以運行在連接到內部網絡段的機器上。如圖1所示。

在這種結構下，入侵者要攻擊到內部網絡就必須通過兩臺路由器的安全控制。即使入侵者通過了堡壘主機，它還必須通過內部網絡路由器才能抵達內部網。這樣，整個網絡安全機制就不會因一點被攻擊而全部癱瘓。

這種防火墻把主機的通信功能分散到多個主機組成的網絡中，有的作為FTP服務器，有的作為E-mail服務器，有的作為WWW服務器，有的作為Telnet服務器，而堡壘主機則作為代理服務器和認證服務器置于周邊網絡中，以維護因特網與內部網絡的連接，代理服務器和認證服務器是內部網絡的第一道防線，內部路由器是內部網絡的第二道防線，而把因特網的公共服務(如FTP服務器、Telnet服務器和WWW服務器及E-mail服務器等)置于周邊網絡中，也減少了內部網絡的安全風險。

2.4雙宿主機防火墻配置結構

在TCP/IP中，多宿主機擁有多個網絡接口，每一個接口都連接在物理和邏輯上分離的不同網段上，而且可以在不同的網絡段之間轉發(fā)或路由IP寶，如果在多宿主機中不能轉發(fā)或路由IP包，則不同的網絡段間被隔絕，因此可以用來配置防火墻，使IP路由無效是相對簡單和直截了當的任務。

雙宿主機是多宿主機中最常見的一個例子，雙宿主機是一種擁有兩個連接到不同網絡上的網絡接口的防火墻，一個網絡接口連接到外部的不可信任的網絡上，另一個網絡接口連接到內部的可信任的網絡上，如圖2所示

這種防火墻的最大的特點在于其IP轉發(fā)和路由能夠被取消，所以IP包不再可能在兩個網段之間被路由，應用網關運行在堡壘主機（雙宿主機）上，此外，一個屏蔽路由器被特別地放置在堡壘主機和外部網絡之間，在這個配置中，堡壘主機的外部網絡接口連接到一個外部網段（通過一個屏蔽路由器），屏蔽路由器的目的是保證來自外部網絡的任何IP包準確地到達堡壘主機（雙宿主機），如果一個包來自其他目標地址，則舍棄這個包。同時在堡壘主機（雙宿主機）和內聯(lián)網之間配置了另外一個屏蔽路由器，是堡壘主機的內部網絡接口連接到以另一個屏蔽路由器為宿主的內部網段。

由于雙宿主防火墻配置的堡壘主機也可以因為效率原因被復制，因此而得的配置優(yōu)勢叫做并行雙宿主防火墻，它可以由幾個同時連接到內部或外部網段的堡壘主機構成，在這種情況下，可以在不同的主機上運行各種代理和SOCKS服務器。

總之，雙宿主機防火墻是一種簡單而安全的配置，在互聯(lián)網中被廣泛使用，但是對于非標準TCP/IP應用協(xié)議沒有代理服務器，雙宿主機防火墻配置顯得很不靈活了，這對許多WEB站點來說是一個缺點。

3 典型的防火墻結構

建造防火墻時，一般很少采用單一的技術，通常是使用多種解決不同問題的技術組合。這種組合取決于網絡管理中心向用戶提供什么樣的服務，以及網管中心能接受什么等級的風險。采用哪種技術主要取決于經費，制冷的大小或技術人員的技術、時間因素。一般有以下幾種形式。

(1)使用多堡壘主機。

(2)合并內部路由器與外部路由器。

(3)合并堡壘主機與外部路由器。

(4)合并堡壘主機與內部路由器。

(5)使用多臺內部路由器。

(6)使用多臺外部路由器。

(7)使用多個周邊網絡。

(8)使用雙重宿主主機與屏蔽子網。

4 結束語

隨著1995年以來多個上網工程的全面啟動，我國各級政府、企事業(yè)單位、網絡公司等陸續(xù)設立自己的網站，電子商務也正以前所未有的速度迅速發(fā)展，但許多應用系統(tǒng)卻處于不設防狀態(tài)，存在著極大的信息安全風險和隱患。

防火墻系統(tǒng)作為一個有效的防范手段，已經得到了廣泛的認可和應用，它們?yōu)槠髽I(yè)部門提供有效的訪問控制服務，并且根據不同的組成和配置，形成不同安全等級的網絡系統(tǒng)，但是防火墻決不是任何意義上的靈丹妙藥，也不是解決所有與網絡有關的安全問題的仙丹，其最大的缺點就是不能保護站點或者內聯(lián)網用戶免受來自內部的攻擊，因此它們決不能替代企業(yè)部門內聯(lián)網的安全管理。如何進一步從軟件和硬件的實現上加強網絡安全防范工作已成為一項刻不容緩的亟需解決的現實問題，建立較為完善的網絡安全體系，防止各類網絡安全事件的發(fā)生，正是今后進一步開展研究工作的方向。

參考文獻：

[1]Rolf Oppliger，著.楊義先，馮運波，李忠獻，譯.WWW安全技術.人民郵電出版社，2001.

[2]Wes Noonan，Ido Dubrawsky，防火墻基礎.人民郵電出版社.

[3]付愛英.防火墻技術標準教程.北京理工大學出版社，2007.

收稿日期：2008年2月28日

作者簡介：鄭偉 （1975-），男，安徽碭山人，工學學士，助理工程師，研究方向：計算機通信。