網絡安全與防火墻技術

摘要：從信息安全的角度出發，闡述了網絡安全的重要性，并從防火墻的基本類型著手，論述了防火墻部署原則，又從防火墻部署的位置詳細闡述了防火墻的選擇標準。

關鍵詞：網絡安全；防火墻；技術

中圖分類號：D92 文獻標志碼：A文章編號：1673-291X（2011）18-0117-02

一、概述

21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，中國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。

網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。

防火墻處于五層網絡安全體系中的最底層，屬于網絡層安全技術范疇。在這一層上，企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”，則說明企業內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

安裝防火墻的基本原則是:只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

二、防火墻的基本類型

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。

1.包過濾型。包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。

2.網絡地址轉化—NAT。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

3.代理型。代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

4.監測型。監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。

三、防火墻的選擇

選擇防火墻的標準有很多，根據實際情況選擇也不完全相同，但最重要的是以下幾條:

1.總擁有成本。防火墻產品作為網絡系統的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本，關鍵部門則應另當別論。

2.防火墻本身是安全的。作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像馬其頓防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統內部，網絡系統也就沒有任何安全性可言了。

3.管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

4.可擴充性。在網絡系統建設的初期，由于內部信息系統的規模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加，網絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統，而隨著要求的提高，用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大了產品覆蓋面。

5.防火墻的安全性。防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的，所以用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

參考文獻：

[1]陳偉.寬帶網絡技術原理與應用[M].武漢:科學技術出版社，2006.

[2]計算機網絡:第3版[M].熊桂喜，王小虎，譯.北京:清華大學出版社，2000.

[3]Roger B Marks.The IEEE 802.16 Working Group on Broadband Wireless[EB/OL].

[4]ARTZ.D..The Eternity Service，Proc.First Int’l Conf.On Theory and Appl.of Cryp-tology，CTU Publishhing House，1996.

[5]BROWN，S.:Implementing Virtual Private Networks，New York:McGraw-Hill，1999.

Network Security and Firewall Technology

JIN Li-ming

（School of Electronic Information Engineering，YGXY，Xinyu 338029，China）

Abstract：From the point of view of information security，explained the importance of network security，and proceed from the basic types of firewalls，discussed the deployment of a firewall，the firewall deployment from the position of a detailed explanation of the criteria for selecting a firewall.

Key words：network security；firewall；technology

[責任編輯 陳鳳雪]