防火墻在網絡安全中的作用

摘要：現在的網絡安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件的竊密。而殺毒軟件是被動殺毒，光靠殺毒軟件是無法保證我們的系統安全。該文主要介紹防火墻的作用及應用，為計算機的安全，提供一些借鑒。

關鍵詞：網絡；防火墻；系統漏洞；授權；協議

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1055-02

接觸網絡的人都知道網絡黑客專門利用各種網絡和系統的漏洞，非法獲得未授權的訪問信息，為自己謀利益。隨著軟件技術的不斷發展，如今攻擊網絡系統和竊取信息已經不需要自己“嘔心瀝血。網絡中散布著大量的網絡攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的網絡攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。

為了有效地保護我們的計算機及信息資源不受侵害，我們采取了許多辦法來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以有效地防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為拒之門外。從而降低網絡運行的風險。

1 防火墻的作用

“防火墻（Firewall）”一詞，在網絡術語中是指一種軟件，它可以在用戶的計算機和Internet之間建立起一道屏障，把用戶和網絡隔離開來；用戶可以通過設定規則來決定哪些情況下防火墻應該隔斷計算機與Internet間的數據傳輸，哪些情況下允許兩者間的數據傳輸。通過這樣的方式，防火墻承受住所有對用戶的網絡攻擊，從而保障用戶的網絡安全。防火墻的基本功能是對網絡通信進行篩選、屏蔽，以防止未授權的訪問進出計算機網絡，簡單的概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡和不可信任網絡之間。防火墻一般有三個特性：1) 所有的通信都經過防火墻；2) 防火墻只放行經過授權的網絡流量；3) 防火墻能經受對其本身的攻擊。

因此，防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器，一臺多個網絡接口的計算機或服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

2 防火墻的主要類型

如今市場上的防火墻形式多樣。有以軟件形式運行在普通計算機之上的，也有以固件形式設計在路由器之中的。總的來說可以分為三種：包過濾防火墻、代理服務器和狀態監視器。

1) 包過濾防火墻：包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

2) 代理防火墻：代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理服務器軟件是WinGate和Proxy Server。

3) 狀態監視器

狀態監視器作為防火墻技術其安全特性最佳，它采用了一個在網關上執行網絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據的方法對網絡通信的各層實施監測，抽取部分數據，即狀態信息，并動態地保存起來作為以后制定安全決策的參考。檢測模塊支持多種協議和應用程序，并可以很容易地實現應用和服務的擴充。與其它安全方案不同，當用戶訪問到達網關的操作系統前，狀態監視器要抽取有關數據進行分析，結合網絡配置和安全規定作出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規定，安全報警器就會拒絕該訪問，并作下記錄向系統管理器報告網絡狀態。狀態監視器的另一個優點就是可以監測RemoteProcedureCall和User DatagrqamProtocol類的端口信息。問題當然也有，即狀態監視器的配置非常復雜，而且會降低網絡的速度。

3 防火墻的特點

3.1 防火墻的優點

1) 防火墻能夠強化安全策略

因為網絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現個別品德不良，或違反規則的人，防火墻就是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅容許“認可的”和符合規則的請求通過。

2) 防火墻能有效地記錄網絡上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄。

3) 防火墻限制暴露用戶點

防火墻能夠用來隔開網絡中的兩個網段，這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播。

4) 防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

3.2 防火墻的缺點

1) 不能防范惡意的知情者

防火墻可以禁止系統用戶經過網絡連接發送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內部管理，如主機安全和用戶教育等。

2) 不能防范不通過它的連接

防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

3) 不能防備全部的威脅

防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，可以防備新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。

4) 防火墻不能防范病毒

防火墻不能消除網絡上的PC機的病毒。

4 防火墻的應用

為什么要使用防火墻？很多人都會有這個問題，也有人提出，如果把每個單機的系統配置好，其實也能經受住攻擊。遺憾的是如今的操作系統存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，系統無法在安全性，可用性和功能上進行權衡和妥協。而防火墻只專注做一件事，在已授權和未授權通信之間做出決斷。如果沒有防火墻，整個網絡的安全將倚仗該網絡中所有系統的安全性的平均值。但是整個網絡的安全性被網絡中最脆弱的部分所嚴格制約，即“木桶理論”。沒有人可以保證網絡中每個節點每個服務都永遠運行在最佳狀態。網絡越龐大，把網絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網絡安全框架的崩潰。防火墻成為了與不可信任網絡進行聯絡的唯一紐帶，我們通過部署防火墻，就可以通過關注防火墻的安全來保護其內部的網絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網絡安全犯罪的調查取證提供了依據。總之，防火墻減輕了網絡和系統被用于非法和惡意目的的風險。

5 防火墻的未來發展趨勢

目前，防火墻技術已經引起了人們的注意，隨著新技術的發展，混合使用包過濾技術、代理服務技術和其它一些新技術的防火墻正向我們走來。

越來越多的客戶端和服務器端的應用程序本身就支持代理服務方式。比如，許多WWW客戶服務軟件包就具有代理能力。而許多象SOCKS這樣的軟件在運行編譯時也支持類代理服務。

包過濾系統向著更具柔性和多功能的方向發展。比如動態包過濾系統，在CheckPointFirewall－1、KarlBrige/KarlBrouter以及MorningStarSecureConnectrouter中的包過濾規則可由路由器靈活、快速的來設置。一個輸出的UDP數據包可以引起對應的允許應答UDP創立一個臨時的包過濾規則，允許其對應的UDP包進入內部網。

被稱為\"第三代\"產品的第一批系統已開始進入市場。例如，Border網絡技術公司的Border產品和Truest信息系統公司的Gauntlet3.0產品從外部向內看起來像是代理服務，而由內部向外看像一個包過濾系統。這些產品通過對大量內部網的外向連接請求的計帳系統和包的批次修改對防火墻的內外提供相關的偽像。KarlBridge/KarlBrouter產品拓展了包過濾的范圍，它對應用層上的包過濾和授權進行了擴展。這比傳統的包過濾要精細得多。

目前，人們正在設計新的IP協議。IP協議的變化將對防火墻的建立與運行產生深刻的影響。同時，目前大多數網絡上的機器的信息流都有可能被偷看到，但更新式的網絡技術如幀中繼，異步傳輸模式（ATM）可將數據包源地址直接發送給目的地址，從而防止信息流在傳輸中途被泄露。

參考文獻：

[1] 潘愛民.計算機網絡[M].北京:清華大學出版社，2004.

[2] 徐明.網絡信息安全[M].西安:西安電子科技大學出版社，2006.