防火墻技術與網絡安全

宋穎

（大慶地質錄井一公司資料解釋評價中心，黑龍江 大慶 163411）

1 防火墻的基本概念

防火墻是在一個被認為是安全和可信的內部網和一個被認為不那么安全和可信的外部網（如Internet）之間提供的一個由軟件和硬件設備共同組成的安全防御工具。它是不同網絡（安全域）之間的唯一出入口，能根據企業的安全政策控制（允許、拒絕 、監測）出入網絡的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務，實現網絡和信息安全的基礎設施。

2 防火墻的主要功能

2.1動態包過濾技術。根據所設置的安全規則動態維護通過防火墻的所有通信的狀態（連接），基于連接的過濾；

2.2部署NAT（Network Address Translation，網絡地址變換）。防火墻是部署NAT的理想位置，利用NAT技術，將有限的公有IP地址動態或靜態地與內部的私有IP地址進行映射，用以保護內部網絡并可以緩解互聯網地址空間短缺的問題；

2.3控制不安全的服務。通過設置信任域與不信任域之間數據出入的策略，一個防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。還可以可以定義規則計劃，使得系統在某一時可以自動啟用和關閉策略；

2.4集中的安全保護。通過以防火墻為中心的安全方案配置，一個子網的所有或大部分需要改動的軟件以及附加的安全軟件（如口令、加密、身份認證、審計等）能集中地放在防火墻系統中。這與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。

2.5加強對網絡系統的訪問控制。一個防火墻的主要功能是對整個網絡的訪問控制。比如防火墻設置內部用戶對外部網絡特殊站點的訪問策略，也可以針對可以屏蔽部分主機的特定服務，使得外部網絡可以訪問該主機的其它服務（如WWW服務），但無法訪問該主機的特定服務（如Telnet服務）。

2.6網絡連接的日志記錄及使用統計。防火墻系統能提供符合規則報文的信息、系統管理信息、系統故障信息的日志記錄。另外,防火墻系統也能夠對正常的網絡使用情況作出統計。通過對統計結果的分析,可以使得網絡資源到更好的使用。

2.7報警功能。如具有郵件通知功能，可以將系統的告警通過發送郵件通知網絡管理員

3 防火墻的基本構件和技術

3.1 篩選路由器

許多路由器產品都具有根據給定規則對報文分組進行篩選的功能，這些規則包括協議的類型、特定協議類型的源地址和目的地址字段以及作為協議一部分的控制字段。例如在常用的Cisco路由器上就具有這種對報文分組進行篩選的功能，這種路由器被稱為篩選路由器.最早的Cisco路由器只能根據IP數據報頭部內容進行過濾，而目前的產品還可以根據TCP端口及連接建立的情況進行過濾,而且在過濾語法上也有了一定改進。

篩選路由器提供了一種強有力的機制，可用于控制任何網絡段上的通信業務類型。而通過控制一個網絡段上的通信業務類型，篩選路由器可以控制該網絡段上網絡服務的類型，從而可以限制對網絡安全有害的服務。篩選路由器可以根據協議類型和報文分組中有關協議字段的值來區別不同的網絡通信業務。路由器根據與協議相關的準則來區別和限制通過其端口的報文分組的能力被稱為報文分組過濾。因此，篩選路由器又稱為分組過濾路由器。

3.2 分組過濾技術

篩選路由器可以采用分組過濾功能以增強網絡的安全性。篩選功能也可以由許多商業防火墻產品和一些類似于Karlbridge的基于純軟件的產品來實現。但是，許多商業路由器產品都可以被編程以用來執行分組過濾功能。許多路由器廠商，象 Cisco、Bay Networks、3COM、DEC、IBM等，他們的路由器產品都可以用來通過編程實現分組過濾功能。

3.2.1分組過濾

分組過濾可以用來實現許多種網絡安全策略。網絡安全策略必須明確描述被保護的資源和服務的類型、重要程度和防范對象。

3.2.2網絡安全策略

通常，網絡安全策略主要用于防止外來的入侵，而不是監控內部用戶。例如，阻止外來者入侵內部網絡，對一些敏感數據進行存取和破壞網絡服務是更為重要的。這種類型的網絡安全策略決定了篩選路由器將被置于何處，以及如何進行編程用來執行分組過濾。良好的網絡安全的實現同時也應該使內部用戶難以妨害網絡安全，但這通常不是網絡安全工作的重點。

網絡安全策略的一個主要目標是向用戶提供透明的網絡服務機制。由于分組過濾執行在OSI模型的網絡層和傳輸層，而不是在應用層，所以這種途徑通常比防火墻產品提供更強的透明性。我們曾經提到防火墻在OSI模型應用層上運行，在這個層次實現的安全措施通常都不夠透明。在許多實際情況下，一般都只采用簡單模型來實現網絡安全策略。在這個模型中只有兩個網段與過濾裝置相連，典型的情況是一個網段連向外部網絡，另一個連向內部網絡。通過分組過濾來限制請求被拒絕服務的網絡通信流。由于分組過濾規則的設計原則是有利于內部網絡連向外部網絡，所以在篩選路由器兩側所執行的過濾規則是不同的。換句話說，分組過濾器是不對稱的。

3.3 代理服務和應用層網關

代理服務使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經過修改)，與特定的中間結點連接，然后中間結點與期望的服務器進行實際連接。與分組過濾器所不同的是，使用這類防火墻時外部網絡與內部網絡之間不存在直接連接。因此，即使防火墻發生了問題，外部網絡也無法與被保護的網絡連接。

代理服務通常由兩個部分構成：代理服務器程序和客戶程序。 相當多的代理服務器要求使用固定的客戶程序。例如SOCKS要求適應SICKS的客戶程序。如果網絡管理員不能改變所有的代理服務器和客戶程序，系統就不能正常工作。代理使網絡管理員有了更大的能力改善網絡的安全特性。然而，它也給軟件開發者、網絡系統員和最終用戶帶來了很大的不便，這就是使用代理的代價。也有一些標準的客戶程序可以利用代理服務器通過防火墻運行，如mail、FTP 和 telnet等。

應用層網關可以處理存儲轉發通信業務，也可以處理交互式通信業務。通過適當的程序設計，應用層網關可以理解在用戶應用層(OSI模型第七層)的通信業務。這樣便可以在用戶層或應用層提供訪問控制，并且可以用來對各種應用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進出通信業務，是采用應用層網關的主要優點。在需要時，在網關本身中還可以增加額外的安全措施。

為了使用應用層網關，用戶或者在應用層網關上登錄請求，或者在本地機器上使用一個為該服務特別編制的程序代碼。每個針對特定應用的網關模塊都有自己的一套管理工具和命令語言。

3.4 堡壘主機及其應用

堡壘主機指的是任何對網絡安全至關重要的防火墻主機。堡壘主機是一個組織機構網絡安全的中心主機。因為堡壘主機對網絡安全至關重要，對它必須進行完善的防御。這就是說，堡壘主機是由網絡管理員嚴密監視的。堡壘主機軟件和系統的安全情況應該定期地進行審查。對訪問記錄應進行查看，以發現潛在的安全漏洞和對堡壘主機的試探性攻擊。

4 總結

隨著Internet在我國的迅速發展，防火墻技術引起了各方面的廣泛關注。一個好的防火墻應該具有高度安全性、高透明性和高網絡性能。這對推動Internet在我國的健康發展有著重要的意義。

[1]郭維來,董軍.防火墻與入侵檢測技術[J].信息技術，2003年03期.

[2]李蓉.簡析信息安全[J].情報雜志，1997年06期.