防火墻技術(shù)及發(fā)展趨勢(shì)

陳惠娟

（新會(huì)廣播電視臺(tái)，廣東 新會(huì) 529100）

1 防火墻的概念及功能

防火墻是網(wǎng)絡(luò)安全的首道門(mén)戶(hù)和重要屏障，它實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，內(nèi)部不同網(wǎng)絡(luò)區(qū)域之間的安全隔離與訪(fǎng)問(wèn)控制，保證了網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的安全性、穩(wěn)定性與可靠性。防火墻可以根據(jù)不同的安全策略，對(duì)數(shù)據(jù)包進(jìn)行檢查，從而控制進(jìn)出防火墻的信息流，防止已知的或不可預(yù)測(cè)的入侵行為。防火墻主要有以下的功能：

1.1 數(shù)據(jù)包過(guò)濾

網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)?，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些包是否來(lái)自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪(fǎng)問(wèn)控制規(guī)則進(jìn)行比較，進(jìn)而確定是否需對(duì)數(shù)據(jù)包進(jìn)行處理和操作。數(shù)據(jù)包過(guò)濾可以防止外部不合法用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)，但由于不能檢測(cè)數(shù)據(jù)包的具體內(nèi)容，所以不能識(shí)別具有非法內(nèi)容的數(shù)據(jù)包，無(wú)法實(shí)施對(duì)應(yīng)用層協(xié)議的安全處理。

1.2 防止信息外泄

防火墻通過(guò)對(duì)內(nèi)外網(wǎng)絡(luò)、內(nèi)部不同區(qū)域網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)了各網(wǎng)絡(luò)及網(wǎng)段的隔離，限制各網(wǎng)絡(luò)之間的互訪(fǎng)，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全，避免內(nèi)部信息的外泄。

1.3 網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換

網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換是一種將私有ⅠP地址轉(zhuǎn)化為公網(wǎng)ⅠP地址的技術(shù)，它被廣泛應(yīng)用于各種類(lèi)型的網(wǎng)絡(luò)和互聯(lián)網(wǎng)的接人中。網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)ⅠP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有ⅠP地址，從而有效解決了公網(wǎng)ⅠP地址不足的問(wèn)題。

1.4 虛擬專(zhuān)用網(wǎng)絡(luò)

虛擬專(zhuān)用網(wǎng)絡(luò)將分布在不同地域上的局域網(wǎng)或計(jì)算機(jī)通過(guò)加密通信，虛擬出專(zhuān)用的傳輸通道，從而將它們從邏輯上連成一個(gè)整體，不僅省去了建設(shè)專(zhuān)用通信線(xiàn)路的費(fèi)用，還有效地保證了網(wǎng)絡(luò)通信的安全。

1.5 日志記錄與事件通知

進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過(guò)防火墻，防火墻通過(guò)日志對(duì)其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

2 防火墻的分類(lèi)

根據(jù)防火墻的不同工作原理，可以分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)監(jiān)測(cè)防火墻三類(lèi)：

2.1 包過(guò)濾防火墻

包過(guò)濾防火墻把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則進(jìn)行比較，決定對(duì)數(shù)據(jù)包進(jìn)行阻止或放行。包過(guò)濾防火墻一般都安裝在路由器上，工作在OSⅠ網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，過(guò)濾的規(guī)則是根據(jù)數(shù)據(jù)包頭的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)。因?yàn)榕c應(yīng)用層無(wú)關(guān)，包過(guò)濾防火墻具有非常好的傳輸性以及擴(kuò)展能力，它的處理速度是最快的。但是因?yàn)闊o(wú)法判定應(yīng)用層的信息，所以可能會(huì)被黑客用欺騙技術(shù)攻破，同時(shí)由于其過(guò)濾規(guī)則的不完善，所以也存在一定的漏洞，安全性比較低。

2.2 狀態(tài)監(jiān)測(cè)防火墻

狀態(tài)監(jiān)測(cè)防火墻把網(wǎng)絡(luò)中的不同連接階段表現(xiàn)為狀態(tài)，狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標(biāo)志位參數(shù)的不同。在建立連接時(shí)，狀態(tài)監(jiān)測(cè)防火墻檢查預(yù)先設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過(guò)，并記錄相關(guān)信息，動(dòng)態(tài)生成狀態(tài)表。狀態(tài)監(jiān)測(cè)防火墻的內(nèi)部放置了分布探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和相關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)上，不僅能防范外網(wǎng)的入侵也能制止內(nèi)部的隱患，具有雙重防范作用。狀態(tài)監(jiān)測(cè)防火墻比包過(guò)濾防火墻更為安全，但由于多了記錄、檢測(cè)和分析這些步驟，可能會(huì)導(dǎo)致網(wǎng)絡(luò)整體性能的下降。

2.3 應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻工作在OSⅠ網(wǎng)絡(luò)參考模型的最高層，即應(yīng)用層。它允許設(shè)置比包過(guò)濾防火墻更嚴(yán)格的安全策略，通過(guò)對(duì)每個(gè)應(yīng)用層的數(shù)據(jù)包進(jìn)行檢查，從而有效提高了網(wǎng)絡(luò)的安全性。它的特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)檢測(cè)和控制應(yīng)用層通信流的作用。應(yīng)用網(wǎng)關(guān)防火墻對(duì)硬件的要求較高，靈活性較低。

3 防火墻的局限性

防火墻還是存在一定的局限性，不能完全保證網(wǎng)絡(luò)中計(jì)算機(jī)的絕對(duì)安全。比如防火墻防外不防內(nèi)，不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊；防火墻不能防止規(guī)則配置不當(dāng)或錯(cuò)誤配置引起的安全威脅，只有對(duì)其規(guī)定好的配置規(guī)則進(jìn)行工作，對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出及時(shí)的反應(yīng)；防火墻不能阻止被病毒感染的軟件或文件的傳輸，不能預(yù)防來(lái)自應(yīng)用層的攻擊；防火墻也無(wú)法阻擋利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷所發(fā)出的攻擊，一旦防火墻放行了某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)就有可能被黑客利用該協(xié)議中的缺陷進(jìn)行攻擊。

4 防火墻的發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，防火墻愈發(fā)成為網(wǎng)絡(luò)的重要安全保障，未來(lái)防火墻具有如下的發(fā)展趨勢(shì)：

4.1 智能技術(shù)的利用。傳統(tǒng)防火墻的安全策略是靜態(tài)的，靜態(tài)防火墻只能識(shí)別一些已知的攻擊行為，對(duì)于未知的攻擊則顯得力不從心。根據(jù)網(wǎng)絡(luò)上的動(dòng)態(tài)威脅，自動(dòng)學(xué)習(xí)，自動(dòng)生成安全策略并自動(dòng)配置的智能防火墻會(huì)成為未來(lái)的發(fā)展趨勢(shì)之一。

4.2 分布式技術(shù)的利用。分布式技術(shù)是發(fā)展的趨勢(shì)，多臺(tái)物理防火墻協(xié)同工作，組織成一個(gè)強(qiáng)大的、具備并行處理能力、負(fù)載均衡的邏輯防火墻，不僅保證了大型網(wǎng)絡(luò)安全策略的一致，而且便于集中管理，大大降低了投入的資金、人力及管理成本。

4.3 成為網(wǎng)絡(luò)安全管理平臺(tái)的一個(gè)組件。隨著網(wǎng)絡(luò)安全管理平臺(tái)的發(fā)展，未來(lái)所有的網(wǎng)絡(luò)安全設(shè)備將由安全管理平臺(tái)統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺(tái)提供接口，成為多個(gè)安全系統(tǒng)協(xié)同工作的網(wǎng)絡(luò)安全管理平臺(tái)中的重要一員。

4.4 向模塊化演進(jìn)。防火墻的設(shè)計(jì)與開(kāi)發(fā)離不開(kāi)用戶(hù)的需求，根據(jù)用戶(hù)需求和網(wǎng)絡(luò)威脅動(dòng)態(tài)配置的模塊化防火墻，可以實(shí)現(xiàn)更好的擴(kuò)展性，而且在維護(hù)和升級(jí)等方面也更加方便，因此防火墻的模塊化發(fā)展是未來(lái)的重要發(fā)展趨勢(shì)之一。

4.5 深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來(lái)越少，但應(yīng)用層的安全問(wèn)題卻越來(lái)越突出，將來(lái)防火墻會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，支持更多的應(yīng)用層協(xié)議，不斷挖掘防護(hù)的深度和廣度。

4.6 自身性能和安全性的提升。隨著算法、芯片和硬件技術(shù)的發(fā)展，防火墻的檢測(cè)速度、響應(yīng)速度和性能也會(huì)不斷提升，其自身的安全性也會(huì)得到有效的提高，從而為網(wǎng)絡(luò)提供更高效、穩(wěn)定的安全保障。

結(jié)語(yǔ)

防火墻技術(shù)是非常重要的一種網(wǎng)絡(luò)安全技術(shù)，它簡(jiǎn)單實(shí)用，透明度高，可被用于消除網(wǎng)絡(luò)通信過(guò)程中遇到的各種安全威脅，對(duì)提高網(wǎng)絡(luò)的安全性以及保密性具有非常重要的作用。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻已從單純攔截黑客的惡意攻擊，逐步走向全面的網(wǎng)絡(luò)安全管理，防火墻將會(huì)成為未來(lái)網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

[1]朱衡.網(wǎng)絡(luò)安全技術(shù)的應(yīng)用與分析[J].電腦編程技巧與維護(hù)，2009（08）.

[2]韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J].科技資訊.2010(1).

[3]陳家遷.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用.2011(23).