淺談網(wǎng)絡(luò)中的防火墻技術(shù)

王巨松 仲華

撫順職業(yè)技術(shù)學(xué)院（撫順 113123）

現(xiàn)在，網(wǎng)絡(luò)中存在著的安全服務(wù)有兩種，第一種是存取控制，指不允許不合法的通信和聯(lián)網(wǎng)，第二種是在通信安全服務(wù)中所給予的數(shù)據(jù)要具有可信性和完整性，在對(duì)等的通信者進(jìn)行訪問(wèn)時(shí)擁有否定權(quán)，應(yīng)用防火墻技術(shù)，就是完成上述所說(shuō)的安全服務(wù)的主要方法之一。

1 防火墻概述

所謂 “防火墻”，其實(shí)是指一組或一個(gè)軟硬件系統(tǒng)，按照各種要求來(lái)保護(hù)網(wǎng)絡(luò)，所提出的要求可以是規(guī)定的網(wǎng)絡(luò)服務(wù)也可以是規(guī)定的應(yīng)用的程序，也可以是規(guī)定的目標(biāo)地址和源地址。防火墻其實(shí)是一種隔離方式，它會(huì)把internet與內(nèi)部網(wǎng)分開(kāi)。防火墻能同意經(jīng)允許的數(shù)據(jù)和人進(jìn)入網(wǎng)絡(luò)中，而且將不被允許的數(shù)據(jù)和人拒絕進(jìn)入網(wǎng)絡(luò)，，有效地禁止網(wǎng)絡(luò)中所說(shuō)的黑客來(lái)進(jìn)入網(wǎng)絡(luò)中，阻止黑客來(lái)破壞的數(shù)據(jù)信息等。

防火墻技術(shù)有三個(gè)發(fā)展階段，先是包過(guò)濾技術(shù)，然后是代理技術(shù)，現(xiàn)在是狀態(tài)監(jiān)視技術(shù)。

2 防火墻的基本功能

2.1 網(wǎng)絡(luò)訪問(wèn)控制

網(wǎng)絡(luò)防火墻可以限制網(wǎng)絡(luò)與內(nèi)部網(wǎng)間的網(wǎng)絡(luò)訪問(wèn)。沒(méi)有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)內(nèi)部的全部主機(jī)都可以通過(guò)網(wǎng)絡(luò)直接訪問(wèn)，非常容易受到來(lái)自各個(gè)地方黑客的攻擊。內(nèi)部網(wǎng)的網(wǎng)絡(luò)防火墻就是一個(gè)了咽喉要道，內(nèi)部網(wǎng)絡(luò)將非法用戶隔離在外。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻設(shè)計(jì)良好時(shí)可以擁有地址轉(zhuǎn)換功能，網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)包含兩個(gè)目的:同意內(nèi)部網(wǎng)絡(luò)中的沒(méi)有注冊(cè)的 IP 地址去訪問(wèn) internet上的外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)的IP 地址資源非常緊張時(shí)會(huì)十分有用。內(nèi)部網(wǎng)絡(luò)的IP 地址可以隱藏起來(lái)，盡管這部分 IP 地址經(jīng)過(guò)了注冊(cè)， 網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)能夠防止內(nèi)部的IP 地址暴露出來(lái)，使它們不會(huì)成為被潛在攻擊的目標(biāo)。網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)還可以提供給內(nèi)部網(wǎng)的計(jì)算機(jī)單一的 IP 地址，能夠隱藏internet服務(wù)器的真實(shí)地址，同時(shí)對(duì)公共網(wǎng)絡(luò)提供訪問(wèn)。

2.3 事件記錄和通知

當(dāng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭到攻擊時(shí)，防火墻可以因?yàn)樗靥幯屎淼膬?yōu)點(diǎn)來(lái)完整的記錄網(wǎng)絡(luò)通訊，能夠查到安全漏洞所在。使用報(bào)警機(jī)制的防火墻可以檢測(cè)到可疑活動(dòng)，實(shí)時(shí)地通知網(wǎng)絡(luò)管理員。

2.4 防火墻的分類

(1) 按實(shí)現(xiàn)的網(wǎng)絡(luò)層次分類。網(wǎng)絡(luò)采用 T CP/IP協(xié)議，在不同網(wǎng)絡(luò)層次上設(shè)置的電子屏障形成了很多類型的防火墻：包過(guò)濾型防火墻、電路網(wǎng)關(guān)和應(yīng)用網(wǎng)關(guān)。

(2) 按實(shí)現(xiàn)的硬件環(huán)境分類。按照防火墻的硬件環(huán)境的實(shí)現(xiàn)，可以分成基于路由器的防火墻以及基于主機(jī)系統(tǒng)的防火墻。包過(guò)濾防火墻可以由路由器或者是同主機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)，可以電路級(jí)網(wǎng)關(guān)還有應(yīng)用級(jí)網(wǎng)關(guān)卻只能由主機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)。

(3) 按拓樸結(jié)構(gòu)分類。根據(jù)拓樸結(jié)構(gòu)防火墻可以被分為雙穴網(wǎng)關(guān)和屏蔽主機(jī)網(wǎng)關(guān)還有屏蔽子網(wǎng)網(wǎng)關(guān)三。

2.5 防火墻的特性及局限性

正常情況下，一個(gè)計(jì)算機(jī)或軟件并不就能構(gòu)成一個(gè)防火墻系統(tǒng)，一套軟硬件才能構(gòu)成，防火墻有如下特性：除非明確允許才能支持，否則所有服務(wù)設(shè)計(jì)策略都會(huì)被拒絕。能夠很靈活，并且適應(yīng)新的服務(wù)。能夠包括高級(jí)鑒別機(jī)制或許也能夠增加高級(jí)鑒別機(jī)制。應(yīng)該應(yīng)用過(guò)濾技術(shù)來(lái)同意或拒絕對(duì)某個(gè)指定主機(jī)的訪問(wèn)。過(guò)濾手段應(yīng)該靈活、友好，而且容易編程。

防火墻的局限性是不能對(duì)不經(jīng)由防火墻的攻擊進(jìn)行防范，一旦內(nèi)部網(wǎng)用戶從Internet 服務(wù)器提供商那里直接購(gòu)置的 PPP連接，卻繞過(guò)了防火墻系統(tǒng)的安全保護(hù)，由此一個(gè)潛在的攻擊渠道產(chǎn)生了。人為因素的攻擊不能被防火墻所防范，因口令泄露而受到的攻擊不能被防火墻所阻止，被病毒感染的軟件和文件也不能被防火墻不能阻止傳輸;數(shù)據(jù)驅(qū)動(dòng)式的攻擊也不能被。

2.6 防火墻的安裝

(1)首先安裝防火墻引擎

防火墻引擎在防火墻中對(duì)通訊實(shí)施過(guò)濾，來(lái)實(shí)現(xiàn)管理服務(wù)器所安排的管理要求的組件。在網(wǎng)絡(luò)中，防火墻引擎被安裝于網(wǎng)絡(luò)的網(wǎng)關(guān)，在網(wǎng)絡(luò)中，兩個(gè)模塊組成了各個(gè)引擎：內(nèi)核模塊以及用戶模塊。

防火墻管理員制定規(guī)則后，IP包被內(nèi)核模塊引擎截獲后進(jìn)行過(guò)濾，用戶模塊和管理服務(wù)器開(kāi)始通訊并控制和監(jiān)視及支持內(nèi)核模塊，由于每個(gè)防火墻只能有一臺(tái)防火墻服務(wù)器被注冊(cè)，所以只有這臺(tái)服務(wù)能進(jìn)行管理，每個(gè)防火墻引擎應(yīng)用的防火墻策略都必須編譯為二進(jìn)制形式，然后推入防火墻引擎。

(2)其次安裝管理服務(wù)器

防火墻存儲(chǔ)策略注冊(cè)后的的中央數(shù)據(jù)庫(kù)就是管理服務(wù)器。它還保管著其他相關(guān)的信息，有網(wǎng)絡(luò)服務(wù)定義、收集到的報(bào)警消息、防火墻管理員證書(shū)、另外還有防火墻時(shí)檢測(cè)信息等等。管理服務(wù)器還負(fù)責(zé)實(shí)施防火墻的用戶驗(yàn)證，按照所選定的驗(yàn)證類型(0S 或RADIUS)，登錄證書(shū)被管理服務(wù)器接受并為引擎實(shí)施驗(yàn)證。

(3)最后安裝Java GUI 管理客戶端

管理服務(wù)器的圖形用戶界面就是管理客戶端。因?yàn)楣芾砜蛻舳藨?yīng)用的Java，所以要求安裝客戶端的計(jì)算機(jī)中一定要裝有Java 運(yùn)行環(huán)境。管理客戶端能夠和管理服務(wù)器一起安裝，也能夠和其他與管理服務(wù)器一起安裝在有TCP/IP連接的主機(jī)上。管理客戶端能夠連接到所有的管理服務(wù)器，但一定要有相應(yīng)的權(quán)限。當(dāng)用戶從管理客戶端登錄到管理服務(wù)時(shí)，根據(jù)相應(yīng)的登錄證書(shū)，經(jīng)過(guò)驗(yàn)證后，就可以提供了一條安全通道給這次會(huì)話。

防火墻是網(wǎng)絡(luò)安全的一種防范手段，而且應(yīng)用得非常廣泛，它有很多的功能，比如可以承擔(dān)對(duì)主機(jī)和應(yīng)用的安全訪問(wèn)工作；承擔(dān)多種客戶機(jī)及服務(wù)器的安全保衛(wèi)工作；保衛(wèi)關(guān)鍵部門防御來(lái)自內(nèi)部和外部的攻擊、為網(wǎng)絡(luò)中和進(jìn)行遠(yuǎn)程訪問(wèn)的各個(gè)用戶及供應(yīng)商提供安全通道等等。一定要特別強(qiáng)調(diào)，防火墻技術(shù)在網(wǎng)絡(luò)的安全保護(hù)的應(yīng)用中不是萬(wàn)能的，它自己就存在著被非法入侵等安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全是一個(gè)綜合性課題，需要在今后的實(shí)踐中不斷的摸索和創(chuàng)新。