基于計算機網絡的防火墻技術及實現

玄文啟 云南財經大學信息學院 650221

基于計算機網絡的防火墻技術及實現

玄文啟 云南財經大學信息學院 650221

隨著計算機網絡的廣泛應用，特別是隨著Internet技術的飛速發展，基于計算機網絡的安全問題已成了人們日趨關注的焦點。如何能更好地建立安全防線，確保信息傳輸安全，防火墻已成為人們在計算機網絡應用技術中所研究的重要問題之一。

1 、前言

隨著計算機網絡技術的不斷發展和完善，人們生活和工作中的許多數據、資源與信息都通過計算機系統來存儲和處理，可以說，計算機網絡已經滲透到人們日常生活的各個方面，并對社會各個領域產生了重要影響。

然而，由于網絡自身的開放特性越來越突出，這使互聯網上的信息共享與信息安全之間的矛盾也顯得越來越尖銳。在復雜的計算機環境中存在大量的各種威脅，如何能更好地建立安全防線，確保信息傳輸安全，防火墻已成為人們在計算機網絡應用技術中所研究的重要問題之一。

2 、防火墻的基本原理

防火墻（如圖1）是設置在不同網絡或者不同網絡安全域之間的一系列控制裝置（包括軟件和硬件）的組合。它是控制不同網絡或網絡安全域之間信息和數據的唯一出入口，它能夠根據網絡管理人員制定的網絡安全策略控制出入網絡的各種數據信息流，從而對所受保護的網絡提供信息安全服務。它還能有效地監控了所要保護的內部網和外部公共網絡之間的任何活動，對網絡之間傳輸的數據包依照一定的安全策略進行檢查，用于確定網絡哪些內部服務允許外部訪問，以及內部網絡主機訪問哪些外部服務等，從而保證了所要保護的內部計算機網絡的穩定正常運行以及內部網絡上數據和信息資源的完整性、可用性和保密性。

3 、常見的防火墻技術及實現

防火墻從原理上主要有三種技術：包過濾(PacketFiltering)技術、代理服務(ProxyService)技術和狀態檢測(StateInspection)技術。

（1）、包過濾(PacketFiltering)技術：在基于TCP/IP 協議的計算機網絡上，所有網絡上的計算機都是用IP 地址來唯一地標識其在網絡中的位置的，而所有來往于計算機之間的信息都是以一定格式的數據包的形式傳輸的，數據包中包含了標識發送者位置的 IP 地址、端口號和接受者位置的 IP 地址、端口號等地址信息。當這些數據包被送上計算機網絡時，路由器會讀取數據包中接受者的 IP地址，并根據這一 IP 地址選擇一條合適的物理線路把數據包發送出去，當所有的數據包都到達目的主機之后再被重新組裝還原。

所以，在計算機網絡的安全控制中，包過濾防火墻首先會檢查所有通過它的數據流中每個數據包的 IP 包頭信息，然后按照網絡管理員所設定的過濾規則進行過濾。如果對防火墻設定某一IP 地址的站點為不適宜的話，那么所有從這個地址傳輸過來的數據包都會被過濾掉。

（2）、代理服務(ProxyService)技術：代理實際是設置在Internet防火墻網關上有特殊功能的應用層代碼，是在網管員允許下或拒絕的特定的應用程序或者特定服務，還可應用于實施數據流監控、過濾、記錄和報告等功能。在應用層，提供應用層服務的控制，起到內部網絡向外部網絡申請服務時中間轉接作用，內部網絡只接受代理提出的服務請求,拒絕外部網絡其他接點的直接請求。

代理的工作原理比較簡單。首先是用戶與代理服務器建立連接，然后將目的站點告知代理，對于合法的請求，代理以自己的身份(應用層網關)與目的站點建立連接，然后代理在這兩個連接中轉發數據。其主要特點是有狀態性，能完全提供與應用相關的狀態和部分傳輸方面的信息，能提供全部的審計和日志功能,能隱藏內部IP地址，能夠實現比包過濾路由器更嚴格的安全策略。它針對每一個特定應用都有一個代理模塊，管理員可以根據自己的需要安裝相應的代理。一般加一條新規則，而不需要在代理技術中那樣還要編寫應用轉換程序，因而具有很好的可伸縮性和擴展性。應用范圍廣：狀態檢測不僅支持TCP應用，而且支持其它基于無連接協議的應用，如RPC基于UDP應用 (如NS、WAIS、ARCHIE)等。

（3）狀態檢測(State Inspection)技術：狀態檢測又稱動態包過濾，它采用了一個在網關上執行網絡安全策略的軟件引擎,稱為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據(狀態信息)的方法對網絡通信的各層實施監測，并動態地保存狀態信息作為以后制定安全決策的參考。檢測模塊支持多種協議和應用程序，可以很容易地實現應用和服務的擴充。但其配置非常復雜，而且會降低網絡的速度。

4 、防火墻技術的實現過程

從防火墻的防護實現中，主要應用以下技術：

（1）、網絡地址轉換技術(NAT)：NAT現在已成為防火墻的主要技術之一。通過此項功能可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到了保護作用。NAT又分“SNAT(Source NAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改變轉發數據包的源地址，對內部網絡地址進行轉換，對外部網絡是屏蔽的，使得外部非法用戶對內部主機的攻擊更加困難。而DNAT就是改變轉發數據包的目的地址，外部網絡主機向內部網絡主機發出通訊連接時，防火墻首先把目的地址轉換為自己的地址，然后再轉發外部網絡的通信連接，這樣實際上外部網絡主機與內部網絡主機的通信變成了防火墻與內部網絡主機的通信，這樣就有效地保護了內部主機的信息安全。

（2）、加密技術：加密技術分為兩類:即對稱加密和非對稱加密。在對稱加密技術中，對信息的加密和解密都使用相同的鑰匙，這種加密方法可簡化加密處理過程。在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密?，F在許多種類的防火墻產品都采用了加密技術來保證信息的安全。

（3）、多級的過濾技術：防火墻采用分組、應用網關和電路網關的三級過濾措施來實現其功能。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用網關一級，能利用SMTP等各種網關，控制和監測Internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的執行嚴格控制。

5 、未來防火墻技術發展趨勢

計算機網絡的安全是一個動態管理的過程，而對于入侵行為的預見和智能切斷，作為網絡邊界安全設備的防火墻來說，也是未來發展的一大技術課題，從技術實現而言，隨著網絡處理器和ASIC芯片技術的不斷革新，如何能實現高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度，并對入侵行為智能切斷以及增強抗攻擊能力的防火墻，將是未來防火墻技術發展的重要趨勢。

[1]安葳鵬等.網絡信息安全.清華大學出版社.2010.6.

[2]熊平.信息安全原理及應用.清華大學出版社.2010.8.

[3]曾慶凱.信息安全體系結構.電子工業出版社.2010.8.

玄文啟，男，1971年4月生，云南嵩明人，云南財經大學副教授，碩士，主要從事計算機應用技術研究。

10.3969/j.issn.1001-8972.2010.20.046

計算機網絡；防火墻技術