防火墻與網絡安全技術

摘 要: 隨著計算機的普及和互聯網的快速發展，網絡安全問題顯得愈來愈重要。為解決這一問題，產生了很多網絡安全產品，防火墻就是其中使用較廣的一個。針對不同的用戶和網絡特點，防火墻所采用的技術也會有所不同。

關鍵詞: 信息安全 網絡安全 防火墻 技術特征

信息安全是國家發展所面臨的一個重要問題，對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品。我國要想真正解決網絡安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網絡安全技術的整體提高。

1.網絡安全

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，保證系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學等多種學科的綜合性學科。

網絡安全技術則指致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，以及其它的安全服務和安全機制策略。在眾多的網絡安全技術中，網絡防火墻是使用較廣的一個。

2.防火墻

防火墻是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅能完成傳統防火墻的過濾任務，而且能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證，防止病毒與黑客侵入等方向發展。

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型:包過濾型，網絡地址轉換-NAT，代理型和監測型。

2.1包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址，目標地址，TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。

包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源，目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序和電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2.2網絡地址轉化-NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的，外部的，注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

2.3代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器，而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

2.4監測型

監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的，實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，而且對來自內部的惡意破壞有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上超越了前兩代產品。

雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，因此目前在實用中的防火墻產品仍然以第二代代理型產品為主。實際上，作為當前防火墻產品的主流趨勢，大多數代理型防火墻也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。

參考文獻:

[1]李俊民.網絡安全與黑客攻防寶典.北京電子工業出版社，2010.

[2]麥克盧爾，庫爾茨.黑客大曝光:網絡安全機密與解決方案.清華大學出版社，2006.

[3]劉曉輝.網絡安全設計、配置與管理大全.電子工業出版社，2009.

[4]趙俐.防火墻策略與VPN配置.中國水利水電出版社，2008.

[5][美]格雷格·霍爾登.防火墻與網絡安全.清華大學出版社，2009.