防火墻技術在網絡安全中的作用

摘 要：防火墻成為今年來新興的保護計算機網絡安全的技術性措施。它是一種隔離控制技術，在不同網域之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。本文介紹了防火墻的主要技術，并論述了防火墻技術在網絡安全中的重要作用。

關鍵詞：防火墻；網絡安全；包過濾；應用層網關；代理服務器

中圖分類號：G712 文獻標識碼：A 文章編號：1002-7661（2012）10-039-01

防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信均要經過此防火墻。

一、數據必經之地

內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業網部網絡不受侵害。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。典型的防火墻體系網絡結構一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻，只有符合安全策略的數據流才能通過防火墻。

二、抗攻擊免疫力

防火墻自身應具有非常強的抗攻擊免疫力：這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。

由于采用了硬件轉發模式、多總線技術、數據層面與控制層面分離等技術，ASIC架構防火墻解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。ASIC技術的性能優勢主要體現在網絡層轉發上，而對于需要強大計算能力的應用層數據的處理則不占優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。

三、透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶作系統登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。

四、多級的過濾技術

為保證系統的安全性和防護水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

五、Internet網關技術

由于是直接串連在網絡之中，新一代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、 Finger、mail、Ident、News、WWW等）來實現網關功能。在域名服務方面，新一代防火墻采用兩種獨立的域名服務器，一種是內部DNS服務器，主要處理內部網絡的DNS信息，另一種是外部DNS服務器，專門用于處理機構內部向Internet提供的部份DNS信息。

六、安全服務器網絡（SSN）

為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要，新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護，它利用一張網卡將對外服務器作為一個獨立網絡處理，對外服務器既是內部網的一部分，又與內部網關完全隔離。這就是安全服務器網絡（SSN）技術，對SSN上的主機既可單獨管理，也可設置成通過FTP、Telnet等方式從內部網上管理。

為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，新一代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段，并實現了對郵件的加密。

七、用戶定制服務

為滿足特定用戶的特定需求，新一代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數據庫的代理，便可利用這些支持，方便設置。

八、審計和告警

新一代防火墻產品的審計和告警功能十分健全，日志文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋，并能以發出郵件、聲響等多種方式報警。此外新一代防火墻還在網絡診斷，數據備份與保全方面具有特色。