防火墻技術(shù)的研究

石慧慧

摘要： 本文主要闡述了防火墻的概況及其主要技術(shù)：包過濾、代理服務(wù)器、狀態(tài)檢測技術(shù)，分析了防火墻體系結(jié)構(gòu)的一些優(yōu)缺點，并提出了一些建設(shè)性的意見。

關(guān)鍵詞： 防火墻技術(shù)原理體系結(jié)構(gòu)

一、防火墻簡介

1.防火墻的概念

防火墻的本義是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱。

2.防火墻的發(fā)展

（1）第一代防火墻

第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packet filter）技術(shù)。

（2）第二、三代防火墻

1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

（3）第四代防火墻

1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。

（4）第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

二、防火墻的類型

從技術(shù)上看，防火墻有三種基本類型：包過濾型、代理服務(wù)器型和復(fù)合型。

包過濾型防火墻（Packet Filter Firewall）通常建立在路由器上，在服務(wù)器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡(luò)層，基于單個IP包實施網(wǎng)絡(luò)控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進行比較，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。

代理服務(wù)器型防火墻（Proxy Service Firewall）通過在計算機或服務(wù)器上運行代理的服務(wù)程序，直接對特定的應(yīng)用層進行服務(wù)，因此也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。代理服務(wù)器型防火墻的核心，是運行于防火墻主機上的代理服務(wù)器進程，實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。

復(fù)合型防火墻（Hybrid Firewall）把包過濾、代理服務(wù)和許多其他的網(wǎng)絡(luò)安全防護功能結(jié)合起來，形成新的網(wǎng)絡(luò)安全平臺，以提高防火墻的靈活性和安全性。

三、防火墻技術(shù)原理

防火墻從原理上主要有三種技術(shù)：包過濾（PackeFiltering）技術(shù)、代理服務(wù)（ProxyService）技術(shù)和狀態(tài)檢測（StateInspection）技術(shù)。

1.包過濾（PacketFiltering）技術(shù)

在基于TCP/IP協(xié)議的計算機網(wǎng)絡(luò)上，所有網(wǎng)絡(luò)上的計算機都是利用IP地址的唯一標志來確定其在網(wǎng)絡(luò)中的位置的，而所有來往于計算機之間的信息都是以一定格式的數(shù)據(jù)包的形式來傳輸?shù)模瑪?shù)據(jù)包中包含了標志發(fā)送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數(shù)據(jù)包被送上計算機網(wǎng)絡(luò)時，路由器會讀取數(shù)據(jù)包中接受者的IP地址，并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去，當所有的數(shù)據(jù)包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡(luò)上的這一傳輸原理來設(shè)計的，它可以實現(xiàn)網(wǎng)絡(luò)中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會檢查所有通過它的數(shù)據(jù)流中每個數(shù)據(jù)包的IP包頭信息，然后按照網(wǎng)絡(luò)管理員所設(shè)定的過濾規(guī)則進行過濾。

2.代理服務(wù)（ProxyService）技術(shù)

代理實際是設(shè)置在Internet防火墻網(wǎng)關(guān)上有特殊功能的應(yīng)用層代碼，是在網(wǎng)管員允許下或拒絕特定的應(yīng)用程序或者特定服務(wù)，還可應(yīng)用于實施數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。在應(yīng)用層，提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其他接點的直接請求。代理的工作原理比較簡單。用戶與代理服務(wù)器建立連接，將目的站點告知代理，對于合法的請求，代理以自己的身份（應(yīng)用層網(wǎng)關(guān)）與目的站點建立連接，然后代理在這兩個連接中轉(zhuǎn)發(fā)數(shù)據(jù)。其主要特點是有狀態(tài)性，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，能提供全部的審計和日志功能，能隱藏內(nèi)部IP地址，能實現(xiàn)比包過濾路由器更嚴格的安全策略。

3.狀態(tài)檢測（StateInspection）技術(shù)

狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由Checkpoint提出。狀態(tài)檢測作為防火墻技術(shù)其安全特性最佳，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)（狀態(tài)信息）的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，并動態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。

四、各防火墻體系結(jié)構(gòu)的優(yōu)缺點

1.雙重宿主主機體系結(jié)構(gòu)提供來自于多個網(wǎng)絡(luò)相連的主機的服務(wù)（但是路由關(guān)閉），它圍繞雙重宿主主計算機構(gòu)筑。該計算機至少有兩個網(wǎng)絡(luò)接口，位于因特網(wǎng)與內(nèi)部網(wǎng)之間，并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。兩個網(wǎng)絡(luò)都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務(wù)。

2.被屏蔽主機體系結(jié)構(gòu)使用1個單獨的路由器提供來自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間，提供數(shù)據(jù)包過濾功能。堡壘主機是1個高度安全的計算機系統(tǒng)，通常因為它暴露于因特網(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機系統(tǒng)。它也可以開放一些連接（由站點安全策略決定）到外部世界。在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：①允許其他內(nèi)部主機，為了某些服務(wù)而開放到因特網(wǎng)上的主機連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）。②不允許來自內(nèi)部主機的所有連接（強迫這些主機經(jīng)由堡壘主機使用代理服務(wù)）。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務(wù)組，所以這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。弊端是，若是侵襲者設(shè)法入侵堡壘主機，則在堡壘主機與其他內(nèi)部主機之間無任何保護網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡(luò)對侵襲者開放。

3.被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機是內(nèi)部網(wǎng)上最易被侵襲的機器（因為它可被因特網(wǎng)上用戶訪問），我們添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)中，將堡壘主機放在額外的安全層，構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。1個位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另一個位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò)，必須通過兩個路由器，即使他侵入了堡壘主機，仍無法進入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點。

五、對防火墻技術(shù)造成的安全漏洞的建議

防火墻的管理及配置相當復(fù)雜，要想成功地維護防火墻，防火墻管理員必須對網(wǎng)絡(luò)安全的手段及其與系統(tǒng)配置的關(guān)系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統(tǒng)組成的防火墻，管理上有所疏忽也是在所難免的。

對此可作如下改進：管理上的安全問題，關(guān)鍵在于提高管理員的素質(zhì)，積極學習安全管理及網(wǎng)絡(luò)安全知識，熟練掌握防火墻的系統(tǒng)配置關(guān)系，多多實踐，積累足夠的經(jīng)驗，多個系統(tǒng)防火墻的管理一定要有高度認真、負責到底的精神。總而言之，提高管理者的素質(zhì)至關(guān)重要。

參考文獻：

[1]林曉東，楊一先.網(wǎng)絡(luò)防火墻技術(shù).

[2]梅杰，許榕生.Internet防火墻技術(shù)最新發(fā)展.