防火墻技術在網絡安全上的應用

林志浩

[摘要]在分析如今網絡的形勢基礎上簡要分析防火墻技術在網絡安全上的應用，并重點介紹分析狀態檢測技術的利用。在最后給出網絡安全的一個宏觀把握方式以及發展趨勢并給出綜合性意見。

[關鍵詞]網絡安全 防火墻技術 狀態檢測技 計算機

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0220133－01

網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。因而，網絡的安全將成為人們最為關注的問題。我們可以通過很多網絡工具，設備和策略來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。

防火墻是一個系統或一組系統，它在企業內網與因特網間執行一定的安全策略。

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

簡單的概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡（Internal）和不可信任網絡（Internet）之間。

我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），一臺多個網絡接口的計算機，服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

如果沒有防火墻，整個網絡的安全將倚仗該網絡中所有系統的安全性的平均值。遺憾的是這并不是一個正確的結論，真實的情況比這更糟：整個網絡的安全性將被網絡中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應用到網絡安全中來。沒有人可以保證網絡中每個節點每個服務都永遠運行在最佳狀態。網絡越龐大，把網絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網絡安全框架的崩潰。我們通過部署防火墻，就可以通過關注防火墻的安全來保護其內部的網絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網絡安全犯罪的調查取證提供了依據?？傊?，防火墻減輕了網絡和系統被用于非法和惡意目的的風險。

現代企業對網絡依賴主要來自于運行在網絡上的各種應用，同樣的，網絡的范圍也覆蓋到整個企業的運營區域。我們所能做的，是減少企業所面臨的安全風險，延長安全的穩定周期，縮短消除威脅的反映時間。

如今的防火墻的功能越來越強大，這里我們來簡單介紹下對于防火墻的智能防御?；跔顟B檢測技術的防火墻不僅僅對數據包進行檢測，還對控制通信的基本因素狀態信息（狀態信息包括通信信息、通信狀態、應用狀態和信息操作性）進行檢測。通過狀態檢測虛擬機維護一個動態的狀態表，記錄所有的連接通信信息、通信狀態，以完成對數據包的檢測和過濾。

智能過濾技術指的是一種動態的過濾技術，覆蓋了網絡的各個層次，它可以根據用戶的特定的安全需求在指定的網絡層次中進行過濾或實現動態過濾。例如：在網絡層攔截數據包，如果是某些特定的網絡應用，則交給特定的檢測進程作進一步的檢測。

簡單的說，狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性。

通過多種技術的協同防護，可以保證在網絡邊界對訪問進行控制，但是，隨著VPN網絡和遠程移動辦公用戶的接入增多，網絡邊界的概念在如今已經非常模糊了。很明顯的，網絡的邊界已經拓展到實際用戶的桌面端。所以網絡安全是需要綜合的部署和完善的策略來做保證的。

參考文獻：

[1]《信息安全原理與應用》，Charles P.Pfleeger Shari Lawrence Pfleeger，電子工業出版社.

[2]《網絡協議與網絡安全》，凌力，清華大學出版社，2007年11月第1版.