基于Internet的防火墻技術分析

玄文啟 云南財經大學信息學院，昆明 650221

基于Internet的防火墻技術分析

玄文啟 云南財經大學信息學院，昆明 650221

隨著計算機網絡的廣泛應用，特別是隨著Internet技術的飛速發展，基于Internet的安全話題也成了人們日趨關注的焦點。面對網絡信息的高速交互，基于Internet的防火墻技術不可避免的成為一種新型防火墻技術需求。

Internet；防火墻技術；網絡安全

防火墻（The fire-wall）是指構建于建筑物中的用于防止火災等蔓延的隔斷裝置。而在計算機網絡系統中，防火墻是構成網絡安全策略重要組成部分，它通過監測和控制網絡之間的訪問行為和信息交換，從而有效地實現了對網絡信息交互的有效管理。但是，由于網絡設備之間相互關聯性，整個計算機網絡承受著來自網絡的外部、網絡的內部、黑客、計算機病毒等各方面威脅，而Internet防火墻技術正是構建于計算機網絡數據交互的關鍵部位，它可以有效地防止Internet網絡上的各種病毒、資源盜用等網絡內部破壞。可以說，面對未來網絡信息的高速交互，Internet技術的防火墻已成為一種新型防火墻技術需求而被廣泛應用。

1、現有的一些防火墻技術分析

從總體而言，防火墻應具有以下基本功能：%

（1）實現對進、出網絡數據進行過濾；

（2）能有效管理進、出網絡訪問的行為；%

（3）針對某些禁止行為實行封堵；%

（4）實時地記錄通過防火墻的信息內容。%

促進良種選育、品種培育工作。2004年至今，在雅安、宜賓、瀘州、自貢和樂山5市范圍內開展了大面積牡竹優良無性系篩選工作，共建立臨時監測樣地30余個，通過生物學、生態學特性與筍用性能的比較，最終選育出原產于宜賓市長寧縣竹海鎮世紀竹園、宜賓市江安縣仁和鄉義和村、樂山市沐川縣幸福鄉沙溪村、樂山市犍為縣清溪鎮永星村、雅安市天全縣新華鄉孝廉村的5個優良無性系，引種至宜賓長寧曙光觀賞竹園藝場和成都市三環路竹博園保存，并在雅安、成都、宜賓3地進行了引種測試和區域試驗。其中，優良筍材兩用竹“川牡竹1號”與“天豐6號”，分別于2012年及2013年通過四川省林木品種審定委員會的良種認定。

目前，在計算機網絡架構技術中，主要存在下列一些防火墻技術：

（1）包過濾防火墻：這種防火墻通常安裝在路由器上，以IP包信息為基礎，對目標地址、協議類型、端口號、IP源地址等進行實時地檢測與篩選。它處于OSI的網絡層，將對每一個接收到的包進行答應／拒絕的決定。

（2）代理型防火墻：這種防火墻通常由兩部分構成，即包括服務器端程序和客戶端程序。它通過客戶端程序實現與中間節點的連接，然后中間節點再與提供服務的服務器實際連接，從而實現對通過的數據與信息進行檢測。

（3）堡壘型防火墻：這種防火墻將包過濾和代理服務兩種方法有機結合起來，它將堡壘主機充當網關，并在其上運行防火墻軟件。從網絡技術而言，由于內外網之間的通信必須經過堡壘主機，這樣，使堡壘主機成為外網與內網之間的唯一節點，從而確保內網不受外部非授權用戶的攻擊；并且，在堡壘主機上設置了加密路由器，可對通過此路由器的信息進行壓縮和加密，然后通過對外網傳輸到目的端的信息進行解密和解壓縮。

現有的防火墻技術的局限性：盡管利用上述防火墻技術及相關設計可保護內網免受外部黑客的攻擊，但由于它是一種技術上的被動防御，只能實現提高網絡的安全性，不可能保證網絡數據傳輸的絕對安全。顯然可見，在一個實際的網絡運行環境中，僅僅依靠防火墻來保證網絡信息傳輸的安全顯然是不夠，此時，應根據實際需求采取其他相應的網絡安全策略，所以，構建Internet防火墻成為網絡應用技術中的必然選擇。

2、Internet防火墻技術原理

Internet防火墻是這樣的一組技術系統，它主要是通過增強系統內部網絡的安全性，實現讓所有通過Internet的數據信息都必須經過防火墻，并接受防火墻的實時檢查，并且，防火墻必須只允許對已取得授權的數據通過。可見，Internet 防火墻可以阻止未經計算機允許的外部信息進入計算機，也可防止黑客掃描計算機信息，也即它可以有效防止黑客入侵，從而有效地保障了網絡信息的安全交互。

Internet防火墻主要技術原理：

（1）實時的狀態數據包過濾：Internet防火墻實質上是一個實時的狀態數據包過濾器。對于傳統的靜態數據包過濾器，它是基于數據包的地址信息來確定是否丟棄數據包，因此，對信息檢測相對滯后；而實時的狀態數據包過濾器，則能同時基于數據包的狀態和會話的上下文信息，實現實時的狀態數據檢測。

（2）動態的連接流表技術：Internet 防火墻狀態是基于一個連接流表動態實現防護的技術。其基本原理是：對于無連接的協議 (如 UDP)，連接流是在公共端點之間無間斷地發送一組數據包；而對于面向連接的協議 (如 TCP)，連接流則等價于協議的連接定義。這樣，當連接流到達時能動態地終止或連接，而當連接被關閉時，連接流表中的狀態信息會被動態地刪除。

（3）對數據包的實時檢測技術：Internet 防火墻能對 TCP 數據包執行結構實時檢查，這些檢查包括快速篩選出具有不可能的標記組合的數據包，以及實施TCP實時檢測，這樣，可有效地打開或關閉網絡端口。前者能面對大量隨機數據包的攻擊時，極大地降低數據處理的技術開銷，而后者則可以實時地防范各種黑客掃描技術，實現對黑客攻擊的主動防御。

（4）阻止 IP 欺騙技術：Internet 防火墻可以阻止應用程序的 IP 欺騙，它能檢查出包括 TCP、UDP、ICMP 和 PPTP/GRE 等通信的數據包是否含有欺騙性的IP，這樣，有效地防止對應用程序的破壞與攻擊。

3、Internet的防火墻技術構建

（1）防火墻的基本墻設計

在設計Internet防火墻時，我們必須考慮如下幾個因素：

①防火墻的姿態： Internet防火墻存在兩種相反的姿態：一是拒絕沒有特別允許的所有信息，它假定防火墻應該阻塞所有的信息，而每一種所期望的服務或應用都是基于case-by-case的基礎上實現；二是允許沒有特別拒絕的所有信息，主要是通過假定防火墻應該轉發所有的信息，讓所有可能存在危害的服務都應在case-bycase的基礎上實現屏蔽。

②機構的整體安全控制：在防火墻設計中，一是對于未經說明許可的信息即拒絕，從而阻塞所有流經的信息；二是未說明拒絕的信息均為許可，從而約定其可通過防火墻進行傳遞。

③防火墻設計的費用：對于防火墻設計，需要不斷地總體維護、軟件更新、、安全修補以及一些附帶的操作提供支持，這樣，需要考慮相關的費用支出需求。

（2）防火墻系統的構件：Internet防火墻允許定義一個中心扼制點來防止非法用戶入侵，禁止存在安全脆弱性的服務進出計算機網絡，并抗擊來自各種路線的非法攻擊。而且，Internet防火墻還能非常方便的監視網絡安全性，并能及時對非法用戶入侵進行報警。

4、Internet防火墻技術的局限性

（1）Internet防火墻無法防范通過防火墻內部途徑的攻擊。例如，在內部網絡上的用戶就能直接通過slip或ppp技術進入Internet，從而繞過了Internet防火墻提供的安全系統，這為從后門（Back door）攻擊提供了極大的可能。

（2）Internet防火墻無法防止來自內部人員帶來的威脅。也即，防火墻無法防止工作人員將系統內部的敏感數據復制，并人為地將備份數據帶出所形成的風險。

（3）Internet防火墻不能防止已感染病毒的軟件或文件傳送。由于計算機病毒的類型太多，并且，其編碼和壓縮二進制文件的方法也各不盡相同，所以Internet防火墻去不可能對每一個文件進行深度的掃描檢查，這樣，即便對已通過防火墻的信息，也不能保證完全的安全。

5、Internet防火墻技術展望%

伴隨著計算機網絡的飛速發展，

Internet防火墻技術與產品的必然會得到加強，其技術將會有更新發展，其檢測與過濾深度會不斷的強化，并能實現對病毒動態的掃描與檢測和實時的系統報警。我們深信，隨著Internet防火墻技術不斷的技術提升，未來它將得到廣泛的應用與推廣。

[1]安葳鵬，等.網絡信息安全.清華大學出版社.2010.6

[2]熊平.信息安全原理及應用.清華大學出版社.2010.8

[3]蔣天發.網絡信息安全.電子工業出版社.2009.01

An analysis of Internet Fire-wall technical

Xuan Wenqi Information College, Yunnan University finance and economics, Kunming 650221

With the extensive application of network, especially along with flying of Internet technique soon development,it becoming adult gradually pays attention to of focus about Internet safe topic. Facing a network hand over with each other, it ineluctability becomes a kind of new Fire- wall technique about the Internet Fire-wall technique.

10.3969/j.issn.1001-8972.2011.19.045

玄文啟，男，1971年4月生，云南嵩明人，云南財經大學副教授，碩士，主要從事計算機應用技術研究。