Internet 防火墻技術探析與研究

浪花 任佩劍

【摘要】隨著計算機用戶群的日益增長與Internet的普及，防火墻技術作為保障網絡安全的第一道屏障，越來越多的受到人們的關注。本文從防火墻的概念入手，主要分析防火墻的類型、功能及防火墻在當今網絡環境中存在的不足。

【關鍵詞】防火墻屏障過濾

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】2095-3089（2012）10-0232-01

一、防火墻簡介

所謂防火墻是指由軟件和硬件設備組合而成、在內部網和外部網、專用網與公共網的界面上構造的一道保護屏障。其設計思想是在兩個網絡之間建立一個具有安全控制機制的安全控制點，通過允許、拒絕或重定向經過防火墻的數據流，實現對內部網服務和訪問的安全審計和控制。

防火墻的基本特性：

★內部網和外部網間的所有網絡數據流必須經過防火墻。

★只有符合安全策略的數據流才能通過防火墻。

★防火墻自身應具有非常強的抗攻擊能力。

二、防火墻的分類

1.從軟、硬件形式分：軟件防火墻、硬件防火墻、芯片級防火墻。

軟件防火墻：俗稱“個人防火墻”，目前使用最多，運行于特定的計算機上（往往是整個網絡的網關），需要操作系統的支持，與其它軟件產品一樣，需在計算機上安裝并做好配置。

硬件防火墻：硬件防火墻是一種以物理形式存在的專用設備，通常架設于兩個網絡的駁接處，直接從網絡設備上檢查過濾有害的數據報文，位于防火墻設備后端的網絡或者服務器接收到的是經過防火墻處理的相對安全的數據，不必另外分出CPU資源去進行基于軟件架構的NDIS數據檢測，可以大大提高工作效率。

這里說的硬件防火墻是指“所謂的硬件防火墻”。所謂二字是針對芯片級防火墻而言。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，即與普通家用的PC沒有太大區別。

芯片級防火墻：基于專用的硬件平臺，沒有操作系統。專有的ASIC芯片使它們比其他防火墻速度更快，處理能力更強，性能更高。

2.按防火墻的部署位置分類，防火墻可以分為：邊界防火墻、個人防火墻、混合式防火墻。

邊界防火墻：邊界防火墻最為傳統，它位于內外網的邊界，所起的作用是對內、外部網絡實施隔離，這類防火墻一般都是硬件類型，價格較貴，性能較好。

個人防火墻：安裝于單臺主機中，防護的是單臺主機，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻：就是“分布式防火墻”和“嵌入式防火墻”，它是一整套防火墻系統，由若干軟件和硬件組件組成，分布于內、外部網絡邊界和內部主機之間，既對內外網之間的通信進行過濾，又對網絡內部各主機之間的通信進行過濾，性能最好，價格也最貴。

3.從防火墻體系結構上，可以分為包過濾防火墻和代理服務器防火墻。

包過濾防火墻：工作在OSI參考模型的網絡層和傳輸層，它根據數據包頭源地址、目的地址、端口號和協議類型等標志確定是否允許通過。

代理服務器防火墻：工作在OSI的應用層，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層數據流的作用。

三、防火墻的功能

防火墻最基本的功能就是控制在計算機網絡中，不同信任程度區域間傳送的數據流。

1.中化的安全管理，強化安全策略

由于Internet上每天都有上百萬人收集、交換信息，不可避免地會出現個別品德不良、違反規則的人，防火墻是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅容許符合規則的請求通過。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。若將網絡安全問題分散到各個主機上，防火墻的集中安全管理顯然更經濟。

2.網絡日志及使用統計

防火墻是所有信息出入的必經之路，防火墻能在被保護的網絡和外部網絡之間進行記錄，對網絡存取訪問和網絡使用情況進行統計。若發生可疑動作，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等是非常重要的。

3.保護那些易受攻擊的服務

防火墻能夠將網絡中一個網段與另一個網段隔開，這樣可以防止一個網段的問題通過整個網絡傳播而成為整個網絡的問題。

4.增強保密

防火墻能夠封鎖有關網點系統的DNS信息。因此，網點系統名字和IP地址都不用提供給Internet。

5.實施安全策略

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒之門外。

四、防火墻的局限性

1.不能防范來自內部的惡意攻擊

防火墻不能防止專用網內部用戶對資源的攻擊。防火墻可以禁止系統用戶經過網絡連接發送專有的信息，但對于復制到磁盤、磁帶上，放在公文包中帶走，防火墻也無能為力。

2.不能防范不通過它的連接

防火墻能夠有效地檢查通過它進行傳輸信息，然而卻無法保護不通過它而傳輸的信息。如果網絡中有些資源繞過防火墻直接與Internet連通，則得不到防火墻的保護。

3.防火墻不能防范病毒

一般防火墻不對專用網提供防護外部病毒的侵犯功能。病毒可以通過FTP或其它工具傳至專用網。要實現這種防護，防火墻中必須設置檢測病毒的邏輯。

4.不能防備全部的威脅

防火墻用來防備已知的威脅，但沒有一個防火墻能自動防御所有新的威脅。

總之，防火墻雖然可以在一定程度上保護內部網的安全，但內部網還應有其他的安全保護措施，這是防火墻所不能代替的。

五、小結

防火墻作為維護網絡安全的關鍵設備，在目前采用的網絡安全防范體系中，其地位舉足輕重。伴隨計算機技術的發展和網絡應用的普及，越來越多的企業與個人都會遇到不同程度的安全難題，因此市場對防火墻的設備需求和技術要求都在不斷提升，日益嚴峻的網絡安全問題也要求防火墻技術有更快的提高，否則在面對新一輪網絡入侵手法時便會束手無策。明天的防火墻技術將會如何發展，始終是一個新的研究課題。

作者簡介：

浪花（1977年2月-），女，甘肅臨洮人，蘭州商學院長青學院，講師，研究方向：計算機程序設計。

任佩劍（1983年12月-），女，河南人，蘭州商學院長青學院，講師，研究方向：計算機網絡。