防火墻在計算機網絡中的應用

摘要： 本文從防火墻的分類及防火墻的選擇標準兩個方面，詳細地論述了防火墻的主要技術特征和防火墻在現代計算機網絡安全中的重要作用和應用。

關鍵詞： 網絡安全 防火墻 技術特征

一、概述

進入21世紀，計算機網絡技術飛速發展，當我們在享受網絡帶來的便捷的同時網絡信息安全逐漸成為了一個重要問題。網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術。我們究竟應該在哪些地方部署防火墻呢？首先，應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵。其次，如果公司內部網絡規模較大，并且設置有虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網（VPN）。

二、防火墻的分類

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，以保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但它無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

根據防火墻所采用的技術不同，我們可以將它分為以下四種基本類型：

1.包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入。

2.網絡地址轉化——NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

3.代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器根據這一請求向服務器索取數據，然后由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，系統管理較復雜。

4.監測型

監測型防火墻是新一代的產品，能夠對各層的數據進行主動的、實時的監測。在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。

雖然監測型防火墻在安全性上已超越了包過濾型和代理服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主。

實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用層的，應用網關能提供對協議的過濾。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

三、防火墻的選擇

構建不同的網絡，選擇防火墻的標準也有很多，但最重要的是以下幾條：

1.總擁有成本

防火墻產品作為網絡系統的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。

2.防火墻本身的安全性

作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理。對用戶來說，保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。如果系統管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

3.可擴充性

在網絡系統建設的初期，由于內部信息系統的規模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加，網絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統，而隨著要求的提高，用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大了產品覆蓋面。

4.防火墻的安全性

防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的，所以用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

綜上所述，防火墻在網絡安全中的重要性是不言而喻的，選擇合適的防火墻是我們在組建網絡時應首先考慮的問題。總之，只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

參考文獻：

［1］［美］WES NOONAN.防火墻基礎.人民郵電出版社，2007.6.

［2］［美］MARK LUCAS.防火墻策略與VPN配置.中國水利水電出版社，2008.1.

［3］閻慧.防火墻原理與技術.機械工業出版社，2004.5.