淺析防火墻的安全技術策略

摘要:本文針對目前防火墻在網絡中的重要性，針對防火墻技術進行了簡單的分析，論述了防火墻的安全策略設計。

關鍵詞:網絡 防火墻 安全策略

0 引言

網絡技術的飛速發展，在給信息共享帶來了翻天覆地的變化的同時，也帶來了安全隱患，隨之而來的問題就是如何保護網絡的安全。防火墻是目前最為流行也是使用最為廣泛的一種網絡安全技術。在構建安全網絡環境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關注。防火墻仍然起著最基本的預防作用，仍然是保護網絡安全所必須的工具。

1 防火墻技術分析

防火墻是一種連接內網和外網(比如Internet) 的網關，提供對進入內部網絡連接的訪問控制能力。它能夠根據預先定義的安全策略，允許合法連接進入內部網絡，阻止非法連接，抵御黑客入侵，保護內部網的安全，防止機密數據的丟失。防火墻通常用于保護公司的內部網絡，但也用于隔離不同部門之間的網絡。防火墻在保護網絡安全方面已經發揮出越來越重要的作用。

1.1 包過濾技術 包過濾防火墻是最早的防火墻技術。顧名思義，包過濾就是根據數據包頭信息和過濾規則阻止或允許數據包通過防火墻。當數據包到達防火墻時，防火墻就檢查數據包包頭的源地址、目的地址、源端口、目的端口，及其協議類型。若是可信連接，就允許其通過;否則就丟棄。由于包過濾防火墻處于OSI 七層模型的網絡層，它只檢查數據包頭信息，處理數據包的速度很快。但是由于這種防火墻沒有檢查應用層的數據，也沒有跟蹤連接狀態，并且沒有用戶和應用的驗證，因此存在安全漏洞。

1.2 應用代理技術 應用層代理防火墻也被稱為應用層網關，這種防火墻的工作方式同包過濾防火墻的工作方式具有本質區別。代理服務器是運行在防火墻主機上的專門的應用程序或者服務器程序。應用層代理為一特定應用服務提供代理，它對應用協議進行解析并解釋應用協議的命令。應用層代理防火墻的優點是能解釋應用協議，支持用戶認證，從而能對應用層的數據進行更細粒度的控制。缺點是效率低，不能支持大規模的并發連接，只適用于單一協議。

1.3 狀態檢測技術 狀態檢測防火墻也叫自適應防火墻又叫動態包過濾防火墻。1992年USC 信息科學院的Bobbradon 提出了動態包過濾防火墻，在此基礎上1994年Check Point公司提出了狀態檢測防火墻，Check Point公司的FireWall-1 就是基于這種技術。后來Progressive System 公司又提出了自己的自適應防火墻，它們的Phoenix 防火墻也是基于此技術，狀態檢測防火墻在包過濾的同時，檢查數據包之間的關聯性，檢查數據包中動態變化的狀態碼。它有一個檢測引擎，采用抽取有關數據的方法對網絡通信的各層實施監測，抽取狀態信息，并動態的保存起來作為以后執行安全策略的參考，當用戶訪問請求到達網關的操作系統前，狀態監視器要抽取有關數據進行分析，結合網絡配置和安全規定做出接納、拒絕、身份認證、報警或給該通信加密處理等處理動作。

1.4 自適應代理技術 自適應代理防火墻是由Network Associates 公司提出的，它整合了動態包過濾防火墻技術和應用代理技術，本質上也是狀態檢測防火墻。Network Associates公司的Gauntlet就是用這種技術。

自適應代理防火墻一般是通過應用層驗證新的連接，這種防火墻同時具有代理防火墻和狀態檢測防火墻的特性。防火墻能夠動態地產生和刪除過濾規則。由于這種防火墻將后續的安全檢查重定向到網絡層，使用包過濾技術，因此對后續的數據包的應用層數據沒有進行有效地檢查。同樣，由于使用了代理技術，而代理技術不能檢測未知的攻擊行為。

2 防火墻安全策略設計

2.1 創建安全策略 策略對防火墻來說是關鍵因素，有兩種網絡級的策略可以直接影響到防火墻系統的設計、安裝和使用:

2.1.1 網絡服務訪問權限策略:一種較高級別的策略，用來定義允許的和明確拒絕的服務，包括提供這些服務的使用方法及策略的例外情況;

2.1.2 防火墻設計策略:一種較低級別策略，用來描述防火墻如何對網絡服務訪問權限策略中所定義的服務進行具體的限制訪問和過濾。

安全策略是防火墻系統的重要組成部分和靈魂，而防火墻設備是它的忠實執行者和體現者，二者缺一不可。安全策略決定了受保護網絡的安全性和易用性，一個成功的防火墻系統首先應有一個合理可行的安全策略，這樣的安全策略能夠在網絡安全需求及用戶易用性之間實現良好的平衡。如稍有不慎，就會拒絕用戶的正常請求的合法服務或者給攻擊者制造了可乘之機。

安全策略的制定受到多種因素的影響，對每一個具體的網絡環境，應根據各自的具體情況制定不同的安全策略。總的來說有兩種策略:沒有被列為允許的服務都是禁止的策略和沒有被列為禁止的服務都是允許的策略。前者拒絕一切未經許可的服務，防火墻封鎖所有信息流，然后逐項使能每一種許可的服務。而后者允許一切沒被禁止的服務，防火墻轉發所有的信息，然后逐項刪除所有被禁止的服務。

雖然針對具體的網絡沒有固定的安全策略，但在制定具體的安全策略時，是可以遵循一定的原則:①支持一條“禁止一切未明確允許的服務”或“允許一切未被禁止的服務”的規則。②在實現既定規則時不能漏掉任何一條。③只要適當修改規則，便可以適應新的服務和需求。④要在身份驗證和透明性之間作出權衡。⑤在分組過濾時，可以針對某個具體的機器系統允許或禁止。⑥對于需要的各種服務，如FTP， Telnet， SMTP， HTTP等要加上相應的代理服務，考慮加入通用代理服務方便擴展。⑦對于撥號用戶集中管理，并做好過濾和日志統計工作。

2.2 確定分組過濾規則安全策略創建后，防火墻作用的發揮最大的因素依賴于好的規則庫，規則庫是一組規則，當特定種類的通信量試圖通過防火墻時，這組規則告訴防火墻要采取什么工作，如果簡單的防火墻具有構造良好的規則，那么它就比雖然復雜但是規則不能阻止應當阻止的入侵企圖的防火墻有效。所以要將規則庫建立在安全策略的基礎上，并不斷對規則庫進行簡化，實現過濾優化。

防火墻逐一審查每一個數據包是否與其分組過濾規則相匹配，由規則確定包的取舍。分組過濾規則處理IP包頭信息為基礎，其中以IP源地址、IP目的地址、封裝協議(UDP/TCP)、端口號等來制定檢查規則。在確定規則時一般把最常用的規則放在最前面，而且大多時候Web服務是最主要的，從而它的流量也是最大的，所以應該對它的響應進行調整，盡量把它往前移動。

3 結束語

防火墻的安全技術策略是一項不斷發展和完善的技術，國內外對防火墻技術策略的應用正處在不斷的摸索中。本文對防火墻的安全技術及防火墻的應用策略進行剖析，防火墻的安全技術策略還需進一步發展，它必將成為信息安全領域研究計論的重點。

參考文獻:

[1]韋巍，樂國友.組策略在網絡安全中的應用[J].法制與經濟.2006年08期.

[2]劉曉輝.網管從業寶典——交換機·路由器·防火墻.重慶大學出版社.

[3]馬春光，郭方方.防火墻、入侵檢測與VPN.北京郵電大學出版.