計(jì)算機(jī)防火墻的體系配置與選擇實(shí)施技術(shù)

摘要：計(jì)算機(jī)已經(jīng)滲透到日常生活的各個(gè)層面，防火墻的建立、使用和維護(hù)日益重要，本文分析了計(jì)算機(jī)防火墻的體系結(jié)構(gòu)和實(shí)施技術(shù)，并提出了不同用戶(hù)的選擇實(shí)施方案建議。

關(guān)鍵詞：防火墻技術(shù)；體系配置；選擇實(shí)施

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)15-20ppp-0c

Deploy and Implementation of Computer Firewall System

ZHOU Li

(Yunnan Jinma Machinery General Factory，Kunming 650102，China)

Abstract:Internet security is not only related to the further development of the Internet and popularity even linked to the Internet to survive.Computer security are many factors to establish an absolute security of information systems，how to build better security defenses，ensure the transmission of information security，the firewall has become the computer technology to examine the important issues of the world.This article analyzed not only the history of the firewall but also how to built up a strong firewall in the future.

Key words:Firewall technology;System structure; Choice implementation

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)滲透到人們?nèi)粘Ｉ畹母鱾€(gè)方面，對(duì)社會(huì)各個(gè)領(lǐng)域的發(fā)展產(chǎn)生了重要影響。我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過(guò)計(jì)算機(jī)系統(tǒng)來(lái)存儲(chǔ)和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過(guò)網(wǎng)絡(luò)來(lái)傳送、接收和處理。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)在設(shè)計(jì)之初只考慮了它的開(kāi)放性、共享性而忽略了它的安全性，構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的許多要素從網(wǎng)絡(luò)操作系統(tǒng)到網(wǎng)絡(luò)傳輸協(xié)議 TCP/IP 以及各種網(wǎng)絡(luò)服務(wù)軟件都存在著設(shè)計(jì)缺陷或者系統(tǒng)漏洞，使得一些重要的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)極易成為黑客惡意攻擊的目標(biāo)。為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最核心、最有效的手段之一。

1 防火墻的體系結(jié)構(gòu)

防火墻系統(tǒng)通常是由過(guò)濾路由器和代理服務(wù)器組成。對(duì)于一個(gè)典型的防火墻的體系結(jié)構(gòu)來(lái)說(shuō)，它包括屏蔽路由器、雙宿主主機(jī)、被屏蔽主機(jī)，被屏蔽子網(wǎng)等類(lèi)型。

1.1 屏蔽路由器

這是防火墻最基本的構(gòu)件，它可以由廠家專(zhuān)門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以由主機(jī)來(lái)實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。路由器上可以裝有基于IP層的報(bào)文過(guò)濾軟件，實(shí)現(xiàn)報(bào)文過(guò)濾功能。它的缺點(diǎn)是一旦被攻陷之后很難發(fā)現(xiàn)，而且不能識(shí)別不同的戶(hù)。

1.2 雙宿主主機(jī)

雙宿主主機(jī)結(jié)構(gòu)是一臺(tái)至少裝有兩塊網(wǎng)卡或者說(shuō)至少具有兩個(gè)網(wǎng)絡(luò)接口的堡壘主機(jī)構(gòu)成的。其中的兩塊網(wǎng)卡分別和內(nèi)網(wǎng)和外網(wǎng)相連，而防火墻的功能則是用堡壘主機(jī)運(yùn)行的防火墻軟件來(lái)實(shí)現(xiàn)。采用雙宿主主機(jī)結(jié)構(gòu)時(shí)，允許內(nèi)網(wǎng)和外網(wǎng)與雙宿主主機(jī)進(jìn)行連接，但是不允許內(nèi)網(wǎng)和外網(wǎng)直接通信。雙宿主主機(jī)將在內(nèi)網(wǎng)和外網(wǎng)的信息完全切斷了，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)的優(yōu)點(diǎn)是它可以利用堡壘主機(jī)中記錄下的各種日志，可以便于日后檢查。但是由于只有堡壘主機(jī)這一道屏障，一旦被攻破，那么防火墻就不會(huì)再起作用，整個(gè)內(nèi)網(wǎng)完全暴露了出來(lái)。所以為了保護(hù)內(nèi)網(wǎng)，雙宿主主機(jī)要禁止網(wǎng)絡(luò)層的路由功能，加強(qiáng)身份認(rèn)證系統(tǒng)，盡量減少在堡壘主機(jī)上的用戶(hù)的帳戶(hù)數(shù)目。

1.3 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽主機(jī)網(wǎng)關(guān)是由過(guò)濾路由器和應(yīng)用網(wǎng)關(guān)組成的。這種結(jié)構(gòu)使用了一臺(tái)過(guò)濾路由器，它提供來(lái)自?xún)H僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)，也即強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包被發(fā)送到被屏蔽主機(jī)。對(duì)于這種結(jié)構(gòu)來(lái)說(shuō)，堡壘主機(jī)是配置在內(nèi)部網(wǎng)絡(luò)上的，而在內(nèi)網(wǎng)和外網(wǎng)之間放有包過(guò)濾路由器。并且在路由器上設(shè)定好規(guī)則，使從外網(wǎng)來(lái)的數(shù)據(jù)必須要經(jīng)過(guò)堡壘主機(jī)，而去往其它主機(jī)上的信息被阻塞了。在這種體系結(jié)構(gòu)中，主要的安全是由數(shù)據(jù)包過(guò)濾提供的，而數(shù)據(jù)包過(guò)濾的設(shè)置必須要保證堡壘主機(jī)是內(nèi)網(wǎng)和外網(wǎng)之間的唯一通道。同雙宿主主機(jī)結(jié)構(gòu)一樣，堡壘主機(jī)也是至關(guān)重要的地方。此時(shí)它提供了眾多的網(wǎng)絡(luò)服務(wù)，例如：郵件服務(wù)器、新聞服務(wù)器、DNS 服務(wù)器，打印服務(wù)器或文件服務(wù)等等，因此它的安全配置重要到直接決定了整個(gè)內(nèi)網(wǎng)的安全。

1.4 被屏蔽子網(wǎng)

在屏蔽主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)中，我們可以看到堡壘主機(jī)是受到攻擊的主要部分，而且也使得內(nèi)網(wǎng)的安全完全依靠于堡壘主機(jī)。那么如果在屏蔽主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)中多用上一臺(tái)路由器，而這臺(tái)路由器的意義主要在于構(gòu)建一個(gè)安全子網(wǎng)在內(nèi)網(wǎng)和外網(wǎng)之間。如果入侵者想攻入內(nèi)網(wǎng)的話，那么他就必須在攻破堡壘主機(jī)之后，還要面對(duì)內(nèi)部路由器，大大提高了安全性。這種結(jié)構(gòu)就是當(dāng)然具體建造防火墻時(shí)，為了解決安全問(wèn)題，通常進(jìn)行多種組合以便發(fā)揮更大的作用。

2 防火墻的安全防護(hù)措施及選擇和實(shí)施

2.1 防火墻的安全防護(hù)措施

防火墻攻擊可以分為三部：防火墻探測(cè)、繞過(guò)防火墻的攻擊和破壞性攻擊。在防火墻探測(cè)攻擊中，一旦攻擊者標(biāo)識(shí)出目標(biāo)網(wǎng)絡(luò)的防火墻，就能確定它們的部分脆弱點(diǎn)。對(duì)于這一類(lèi)攻擊，可以通過(guò)設(shè)置防火墻過(guò)濾規(guī)則把出去的ICMP 數(shù)據(jù)包過(guò)濾掉，或者可以在數(shù)據(jù)包進(jìn)入防火墻時(shí)，檢查IP數(shù)據(jù)包的TTL值。如果為1或者0則丟棄，且不發(fā)出任何ICMP數(shù)據(jù)包來(lái)達(dá)到防止這種探測(cè)的目的。繞過(guò)防火墻攻擊通常是利用地址欺騙、TCP序列號(hào)等手段繞過(guò)防火墻的認(rèn)證機(jī)制。可以在配置防火墻時(shí)過(guò)濾掉那些進(jìn)來(lái)數(shù)據(jù)包的源地址是內(nèi)部地址的數(shù)據(jù)包來(lái)達(dá)到防范IP欺騙攻擊；對(duì)源路由攻擊所采取的防御方法就是簡(jiǎn)單丟棄所有包含源路由選項(xiàng)的數(shù)據(jù)包；對(duì)于分片攻擊目前可行的解決方案是在分片進(jìn)入內(nèi)部網(wǎng)絡(luò)之前防火墻對(duì)其進(jìn)行重組，但是這增加了防火墻的負(fù)擔(dān)，也影響防火墻傳發(fā)數(shù)據(jù)包的效率；木馬攻擊是比較常用的攻擊手段，最好的防范就是避免木馬的安裝以及在系統(tǒng)上安裝木馬檢測(cè)工具。

2.2 防火墻的選擇和實(shí)施

2.2.1 選擇

首先是明確目的。想要如何操作這個(gè)系統(tǒng)，亦即只允許想要的工作通過(guò)，比如某企業(yè)只需要電子郵件服務(wù)，則該企業(yè)將防火墻設(shè)置為只允許電子郵件服務(wù)通過(guò)，而禁止FTP．WWW等服務(wù)；還是允許多種業(yè)務(wù)通過(guò)防火墻，但要設(shè)置相應(yīng)的監(jiān)測(cè)、計(jì)量、注冊(cè)和稽核等。其次是想要達(dá)到什么級(jí)別的監(jiān)測(cè)和控制。根據(jù)網(wǎng)絡(luò)用戶(hù)的實(shí)際需要，建立相應(yīng)的風(fēng)險(xiǎn)級(jí)別，隨之便可形成一個(gè)需要監(jiān)測(cè)、允許、禁止的清單，再根據(jù)清單的要求來(lái)設(shè)置防火墻的各項(xiàng)功能。

第三是費(fèi)用問(wèn)題。安全性越高，實(shí)現(xiàn)越復(fù)雜，費(fèi)用也相應(yīng)的越高，反之費(fèi)用較低，這就需要對(duì)網(wǎng)絡(luò)中需保護(hù)的信息和數(shù)據(jù)進(jìn)行詳細(xì)的經(jīng)濟(jì)性評(píng)估。一般網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的造價(jià)占需保護(hù)的資源價(jià)值的1%左右。所以在裝配防火墻時(shí)，費(fèi)用與安全性的折衷是不可避免的，這也就決定了“絕對(duì)安全”的防火墻是不存在的?？梢栽诂F(xiàn)有經(jīng)濟(jì)條件下盡可能科學(xué)的配置各種防御措施，使防火墻充分地發(fā)揮作用。

2.2.2 防火墻的實(shí)施技術(shù)

2.2.2.1 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)

NAT現(xiàn)在已成為防火墻的主要技術(shù)之一。通過(guò)此項(xiàng)功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)起到了保護(hù)作用。NAT又分“SNAT(SourceNAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)是屏蔽的，使得外部非法用戶(hù)對(duì)內(nèi)部主機(jī)的攻擊更加困難。而DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng)絡(luò)主機(jī)發(fā)出通信連接時(shí)，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信，這樣就有效地保護(hù)了內(nèi)部主機(jī)的信息安全。

2.2.2.2 加密技術(shù)

加密技術(shù)分為兩類(lèi):即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。在對(duì)稱(chēng)加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰匙，這種加密方法可簡(jiǎn)化加密處理過(guò)程。在非對(duì)稱(chēng)加密體系中，密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi)，而另一把作為私有密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于加密，私有密鑰用于解密。現(xiàn)在許多種類(lèi)的防火墻產(chǎn)品都采用了加密技術(shù)來(lái)保證信息的安全。

2.2.2.3 多級(jí)的過(guò)濾技術(shù)

防火墻采用分組、應(yīng)用網(wǎng)關(guān)和電路網(wǎng)關(guān)的三級(jí)過(guò)濾措施來(lái)實(shí)現(xiàn)其功能。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的執(zhí)行嚴(yán)格控制。

3 結(jié)束語(yǔ)

在互聯(lián)網(wǎng)高速發(fā)展的時(shí)代，人們?cè)谙硎鼙姸嗫旖菪畔⒌耐瑫r(shí)，網(wǎng)絡(luò)安全問(wèn)題也變的日趨重要。防火墻作為維護(hù)網(wǎng)絡(luò)安全的第一道防線，被認(rèn)為是威力最大、效果最好的有利保護(hù)措施，已成為保障計(jì)算機(jī)網(wǎng)絡(luò)安全不可缺少的必備工具，并得到了廣泛的應(yīng)用，但是我們也不能過(guò)分依賴(lài)防火墻，防火墻不是萬(wàn)能的，網(wǎng)絡(luò)的安全是一個(gè)整體，并不是有某一樣特別出色的配置，所以我們要合理的應(yīng)用防火墻，使它發(fā)揮最大的功效，為我們提供更安全的保障。

參考文獻(xiàn)：

[1]周明全，呂林濤，李軍懷.網(wǎng)絡(luò)信息安全技術(shù).西安電子科技大學(xué)出版社，2005年12月，P143-150.

[2]朱鵬.基于狀態(tài)包過(guò)濾的防火墻技術(shù).微計(jì)算機(jī)工程，2005年3月， P197-199.

[3]吳功宜.計(jì)算機(jī)網(wǎng)絡(luò).清華大學(xué)出版社，2005年9月，P386-392.

[4]胡道元，閔京華.網(wǎng)絡(luò)安全.清華大學(xué)出版社，2005年9月，P145-167.

[5](美)Anne Carasik-Henmi，等.李華飚，柳振良，王恒，等.防火墻核心技術(shù)精解.中國(guó)水利水電出版社，2005年12月，P256-277.

[6]王代潮.曾能超防火墻技術(shù)的演變及其發(fā)展趨勢(shì)分析，信息安全與通信保密，2005年7月.

收稿日期：2008-02-02

作者簡(jiǎn)介：周立（1971-），男，云南昆明人，研究方向：機(jī)械加工，管理方面及計(jì)算機(jī)開(kāi)發(fā)應(yīng)用工作。