防火墻的功能淺析

[摘要]網(wǎng)絡(luò)安全的問題已經(jīng)日益突出,越來越引起世界各國的嚴(yán)密關(guān)注。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),計(jì)算機(jī)網(wǎng)絡(luò)在人類生活各個領(lǐng)域的廣泛應(yīng)用,不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵,重要資料被竊取,網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴(yán)重問題,網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來越多;各種病毒泛濫成災(zāi)。因此,必須要加強(qiáng)安全意識,并及早防范。目前最常用的網(wǎng)絡(luò)安防范工具是防火墻。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 防火墻 分組過濾技術(shù) 數(shù)據(jù)包過濾 網(wǎng)絡(luò)服務(wù)

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0810049-01

一、防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻,而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),是這一類防范措施的總稱。應(yīng)該說,在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接,同時不會妨礙人們對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量,從而完成看似不可能的任務(wù);僅讓安全、核準(zhǔn)了的信息進(jìn)入,同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。

二、防火墻的架構(gòu)與工作方式

防火墻可以使用戶的網(wǎng)絡(luò)劃規(guī)劃更加清晰明了,全面防止跨越權(quán)限的數(shù)據(jù)訪問(因?yàn)橛行┤说卿浐蟮牡谝患戮褪窃噲D超越權(quán)限限制)。如果沒有防火墻的話,你可能會接到許許多多類似的報(bào)告,比如單位內(nèi)部的財(cái)政報(bào)告剛剛被數(shù)萬個Email郵件炸爛,或者用戶的個人主頁被人惡意連接向了Playboy,而報(bào)告鏈接上卻指定了另一家色情網(wǎng)站......一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報(bào)文的IP地址和端口號、連接標(biāo)志以至另外一些IP選項(xiàng),對IP包進(jìn)行過濾。

三、防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)一般有以下幾部分組成:

(一)屏蔽路由器(ScreeningRouter)。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn),也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道,要求所有的報(bào)文都必須在此通過檢查。路由器上可以安裝基于IP層的報(bào)文過濾軟件,實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng),但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻隱后很難發(fā)現(xiàn),而且不能識別不同的用戶。

(二)雙穴主機(jī)網(wǎng)關(guān)(DualHomedGateway)。雙穴主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)的做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。與屏蔽路由器相比,雙穴主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出,一旦黑客侵入堡壘主機(jī)并使其只具有路由功能,任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。

(三)被屏蔽主機(jī)網(wǎng)關(guān)(ScreenedGatewy)。屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)立過濾規(guī)則,并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī),這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。

(四)被屏蔽子網(wǎng)(ScreenedSubnet)。被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。

四、防火墻的模式轉(zhuǎn)變

傳統(tǒng)的防火墻通常都設(shè)置在網(wǎng)絡(luò)的邊界位置,不論是內(nèi)網(wǎng)與外網(wǎng)的邊界,還是內(nèi)網(wǎng)中的不同子網(wǎng)的邊界,以數(shù)據(jù)流進(jìn)行分隔,形成安全管理區(qū)域。但這種設(shè)計(jì)的最大問題是,惡意攻擊的發(fā)起不僅僅來自于外網(wǎng),內(nèi)網(wǎng)環(huán)境同樣存在著很多安全隱患,而對于這種問題,邊界式防火墻處理起來是比較困難的,所以現(xiàn)在越來越多的防火墻產(chǎn)品也開始體現(xiàn)出一種分布式結(jié)構(gòu),以分布式為體系進(jìn)行設(shè)計(jì)的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對象,可以最大限度地覆蓋需要保護(hù)的對象,大大提升安全防護(hù)強(qiáng)度,這不僅僅是單純的產(chǎn)品形式的變化,而是象征著防火墻產(chǎn)品防御理念的升華。防火墻的幾種基本類型可以說各有優(yōu)點(diǎn),所以很多廠商將這些方式結(jié)合起來,以彌補(bǔ)單純一種方式帶來的漏洞和不足,例如比較簡單的方式就是既針對傳輸層面的數(shù)據(jù)包特性進(jìn)行過濾,同時也針對應(yīng)用層的規(guī)則進(jìn)行過濾,這種綜合性的過濾設(shè)計(jì)可以充分挖掘防火墻核心功能的能力,可以說是在自身基礎(chǔ)之上進(jìn)行再發(fā)展的最有效途徑之一,目前較為先進(jìn)的一種過濾方式是帶有狀態(tài)檢測功能的數(shù)據(jù)包過濾,其實(shí)這已經(jīng)成為現(xiàn)有防火墻產(chǎn)品的一種主流檢測模式了。

五、防火墻的功能擴(kuò)展與性能提高

現(xiàn)在的防火墻產(chǎn)品已經(jīng)呈現(xiàn)出一種集成多種功能的設(shè)計(jì)趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產(chǎn)品中了,很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主,還是以某個功能為主了,即其已經(jīng)逐漸向我們普遍稱之為IPS(入侵防御系統(tǒng))的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能,這樣的設(shè)計(jì)會對管理性能帶來不少提升,但同時也對防火墻產(chǎn)品的另外兩個重要因素產(chǎn)生了影響,即性能和自身的安全問題,所以我們的意見是應(yīng)該根據(jù)具體的應(yīng)用環(huán)境來做綜合的權(quán)衡,畢竟這個世界暫時還不存在什么完美的解決方案。

六、防火墻的功能

一般來說,防火墻具有以下幾種功能:

1.允許網(wǎng)絡(luò)管理員定義一個中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警。

3.可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問題。

4.是審計(jì)和記錄Internet使用費(fèi)用的一個最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級的計(jì)費(fèi)。

5.可以連接到一個單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講,就是所謂的停火區(qū)(DMZ)。

參考文獻(xiàn):

[1]朱雁輝,WINDOWS防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社,2002.

[2]常紅等,網(wǎng)絡(luò)完全技術(shù)與反黑客[M].長春:冶金工業(yè)出版社,2001.

[3]袁家政,計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2002.

作者簡介:

陶國喜(1973-),男,湖北麻城人,黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系教師,高校講師,主要從事計(jì)算機(jī)程序設(shè)計(jì)專業(yè)課教學(xué)與科研工作。