防火墻技術的發展與應用 Development and application of firewall technology

崔升廣

摘要：隨著網絡技術的不斷發展，對網絡安全性要求也越來越高，防火墻技術可以提供行之有效的網絡安全機制，保障網絡的安全性與可靠性，本文主要研究防火墻技術，對防火墻的主要技術類型包括包過濾、應用層網關、應用代理服務器、狀態檢測放火墻進行了分析以及防火墻技術發展趨勢進行了研究。

關鍵詞：防火墻 網絡安全 網關 應用代理

[Abstract] With the development of network technology， the network security requirements are also getting higher and higher， the firewall technology can provide effective network security mechanism， guarantee the safety and reliability of the network， this paper mainly studies the firewall technology， main types of firewall includes packet filter， application layer gateway， proxy server application， state inspection firewall is the analysis and development of firewall technology was studied.

[keyword] firewall netsafe gateway Application Proxy

1、引言

隨著互聯網及其網絡技術的飛速發展，全球信息化進程的不斷推進，人們在享受互聯網帶來的豐富信息、巨大便利與快捷的同時，也面臨著對互聯網開放性帶來的數據安全的新挑戰和新危險。一方面互聯網攻擊的手段越來越簡單、越來越普遍，攻擊工具的功能卻越來越強，網絡感染病毒、遭受攻擊的速度日益加快；另一方面網絡受到攻擊做出響應的時間卻越來越滯后，這就使得用戶對網絡的安全性提出了更高的要求，使網絡的安全問題日益突出，網絡安全無論從理論上還是實際應用中都具有十分重要的意義，網絡安全作為一個無法回避的問題呈現在我們面前。

防火墻是提供行之有效的網絡安全機制，是網絡安全策略的有機組成部分，它通過控制和監測網絡之間的信息交換和訪問行為實現對網絡安全的有效保障，在內部網與外部網之間實現安全的防范措施。

2、防火墻技術概述

防火墻是用一個或一組網絡設備，在兩個或多個網絡之間加強訪問控制，以保護一個網絡不受來自另一個網絡攻擊的安全技術，防火墻的組成可以表示為：防火墻=過濾器+安全策略+網關，它是一種非常有效的網絡安全技術，防火墻可以監控進出網絡的通信數據，從而完成僅讓安全、核準的信息進入，同時又抵制對企業構成威脅的數據進入的任務。

3、防火墻的主要技術類型

防火墻的主要技術類型包括包過濾、應用層網關、應用代理服務器、狀態檢測放火墻。

（1）過濾防火墻

數據包過濾技術是在網絡層對數據包進行分析、選擇，選擇的依據是系統內設置的過濾邏輯，稱為訪問控制表，通過檢查數據流中每一個數據包的源地址、目的地址、所用端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。

數據包過濾防火墻的優點是速度快，邏輯簡單，成本低，易于安裝和使用，網絡性能和透明度好。它通常安裝在路由器上，內部網絡與Internet連接，必須通過路由器，因此在原有網絡上增加這類防火墻，幾乎不需要任何額外的費用

（2）應用層網關

應用層網關技術是在網絡的應用層上實現協議顧慮和轉

發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、記錄和統計，形成報告。

應用層網關防火墻和數據包過濾有一個共同的特點，就是他們僅僅依靠特定的邏輯來判斷是否允許數據包通過。防火墻內外的計算機系統便可以建立直接聯系，外部的用戶便有可能直接了解到防火墻內部的網絡結構和運行狀態，這大大增加了非法訪問和攻擊的機會。

（3）應用代理服務器

應用代理服務器技術能夠將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層連接，由兩個代理服務器之間的連接來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統的作用。

應用代理服務器對客戶端的請求行使“代理”職責。客戶端連接到防火墻并發出請求，然后防火墻連接到服務器，并代表這個客戶端重復這個請求。返回時數據發送到代理服務器，然后再傳送給用戶，從而確保內部IP地址和口令不在Internet上出現。

（4）狀態檢測防火墻

狀態檢測又稱為動態包過濾，是在傳統包過濾上的功能擴展。傳統的包過濾在遇到利用動態端口的協議時會發生困難，如FTP，你事先無法知道哪些端口需要打開，而如果采用原始的靜態包過濾，又希望用到此服務的話，就需要實現將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。

狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，它們不僅檢測“to”或“from”的地址，而且也不要求每個被訪問的應用都有代理。狀態檢測防火墻根據協議、端口及源目的地址的具體情況決定數據包是否可以通過。對于每個安全策略允許的請求，狀態檢測防火墻啟動相應的進程，可以快速地確認符合授權流通標準的數據包，這使得本身的運行非常快速。

4、防火墻技術發展趨勢

（1）防火墻包過濾技術

一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

（2）多級過濾技術

所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務，這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

（3）防火墻病毒防護功能

現在通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現，因為它是純軟件形式，更容易實現，這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極，擁有病毒防護功能的防火墻可以大大減少公司的損失。

5、結束語

當用戶與Internet連接時，可以在中間加入一個或幾個中介系統，防止非法入侵者通過網絡進行攻擊，并提供數據可靠性、完整性的安全和審查控制，防火墻是設置在被保護網絡與外部網絡之間的一道屏障，以防止不可預測的、潛在破壞的非法入侵，它通過監測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部結構、信息和運行情況，以此來實現內部網絡的安全。

參考文獻：

[1] 吳秀梅 《防火墻技術及應用教程》 清華大學出版社 2010-10

[2] 閻慧 《防火墻原理與技術》 機械工業出版社 2004-5