防火墻技術及發展趨勢

陳惠娟

（新會廣播電視臺，廣東 新會 529100）

1 防火墻的概念及功能

防火墻是網絡安全的首道門戶和重要屏障，它實現了內部網絡與外部網絡之間，內部不同網絡區域之間的安全隔離與訪問控制，保證了網絡系統及網絡服務的安全性、穩定性與可靠性。防火墻可以根據不同的安全策略，對數據包進行檢查，從而控制進出防火墻的信息流，防止已知的或不可預測的入侵行為。防火墻主要有以下的功能：

1.1 數據包過濾

網絡上的數據都是以包為單位進行傳輸的，每一個數據包中都會包含一些特定的信息，如數據的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數據包中的地址信息來判斷這些包是否來自可信任的網絡，并與預先設定的訪問控制規則進行比較，進而確定是否需對數據包進行處理和操作。數據包過濾可以防止外部不合法用戶對內部網絡的訪問，但由于不能檢測數據包的具體內容，所以不能識別具有非法內容的數據包，無法實施對應用層協議的安全處理。

1.2 防止信息外泄

防火墻通過對內外網絡、內部不同區域網絡進行劃分，實現了各網絡及網段的隔離，限制各網絡之間的互訪，從而保障了網絡內部敏感數據的安全，避免內部信息的外泄。

1.3 網絡ⅠP地址轉換

網絡ⅠP地址轉換是一種將私有ⅠP地址轉化為公網ⅠP地址的技術，它被廣泛應用于各種類型的網絡和互聯網的接人中。網絡ⅠP地址轉換一方面可隱藏內部網絡的真實ⅠP地址，使內部網絡免受黑客的直接攻擊，另一方面由于內部網絡使用了私有ⅠP地址，從而有效解決了公網ⅠP地址不足的問題。

1.4 虛擬專用網絡

虛擬專用網絡將分布在不同地域上的局域網或計算機通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個整體，不僅省去了建設專用通信線路的費用，還有效地保證了網絡通信的安全。

1.5 日志記錄與事件通知

進出網絡的數據都必須經過防火墻，防火墻通過日志對其進行記錄，能提供網絡使用的詳細統計信息。當發生可疑事件時，防火墻更能根據機制進行報警和通知，提供網絡是否受到威脅的信息。

2 防火墻的分類

根據防火墻的不同工作原理，可以分為包過濾防火墻、應用網關防火墻和狀態監測防火墻三類：

2.1 包過濾防火墻

包過濾防火墻把接收到的每個數據包同預先設定的包過濾規則進行比較，決定對數據包進行阻止或放行。包過濾防火墻一般都安裝在路由器上，工作在OSⅠ網絡參考模型的網絡層和傳輸層，過濾的規則是根據數據包頭的地址、端口號和協議類型等標志確定是否允許通過。因為與應用層無關，包過濾防火墻具有非常好的傳輸性以及擴展能力，它的處理速度是最快的。但是因為無法判定應用層的信息，所以可能會被黑客用欺騙技術攻破，同時由于其過濾規則的不完善，所以也存在一定的漏洞，安全性比較低。

2.2 狀態監測防火墻

狀態監測防火墻把網絡中的不同連接階段表現為狀態，狀態的改變表現為連接數據包不同標志位參數的不同。在建立連接時，狀態監測防火墻檢查預先設定的安全規則，符合規則的連接允許通過，并記錄相關信息，動態生成狀態表。狀態監測防火墻的內部放置了分布探測器，這些探測器安置在各種應用服務器和相關網絡節點上，不僅能防范外網的入侵也能制止內部的隱患，具有雙重防范作用。狀態監測防火墻比包過濾防火墻更為安全，但由于多了記錄、檢測和分析這些步驟，可能會導致網絡整體性能的下降。

2.3 應用網關防火墻

應用網關防火墻工作在OSⅠ網絡參考模型的最高層，即應用層。它允許設置比包過濾防火墻更嚴格的安全策略，通過對每個應用層的數據包進行檢查，從而有效提高了網絡的安全性。它的特點是完全阻隔了網絡通信流，通過對每種應用服務編制專門的代理程序，實現檢測和控制應用層通信流的作用。應用網關防火墻對硬件的要求較高，靈活性較低。

3 防火墻的局限性

防火墻還是存在一定的局限性，不能完全保證網絡中計算機的絕對安全。比如防火墻防外不防內，不能防止來自網絡內部的攻擊；防火墻不能防止規則配置不當或錯誤配置引起的安全威脅，只有對其規定好的配置規則進行工作，對于實時的攻擊或異常的行為不能做出及時的反應；防火墻不能阻止被病毒感染的軟件或文件的傳輸，不能預防來自應用層的攻擊；防火墻也無法阻擋利用標準網絡協議中的缺陷所發出的攻擊，一旦防火墻放行了某些標準網絡協議，網絡就有可能被黑客利用該協議中的缺陷進行攻擊。

4 防火墻的發展趨勢

隨著網絡應用的不斷發展，防火墻愈發成為網絡的重要安全保障，未來防火墻具有如下的發展趨勢：

4.1 智能技術的利用。傳統防火墻的安全策略是靜態的，靜態防火墻只能識別一些已知的攻擊行為，對于未知的攻擊則顯得力不從心。根據網絡上的動態威脅，自動學習，自動生成安全策略并自動配置的智能防火墻會成為未來的發展趨勢之一。

4.2 分布式技術的利用。分布式技術是發展的趨勢，多臺物理防火墻協同工作，組織成一個強大的、具備并行處理能力、負載均衡的邏輯防火墻，不僅保證了大型網絡安全策略的一致，而且便于集中管理，大大降低了投入的資金、人力及管理成本。

4.3 成為網絡安全管理平臺的一個組件。隨著網絡安全管理平臺的發展，未來所有的網絡安全設備將由安全管理平臺統一調度和管理，防火墻需要向安全管理平臺提供接口，成為多個安全系統協同工作的網絡安全管理平臺中的重要一員。

4.4 向模塊化演進。防火墻的設計與開發離不開用戶的需求，根據用戶需求和網絡威脅動態配置的模塊化防火墻，可以實現更好的擴展性，而且在維護和升級等方面也更加方便，因此防火墻的模塊化發展是未來的重要發展趨勢之一。

4.5 深入應用防護。隨著網絡安全技術的發展，網絡層和操作系統的漏洞將越來越少，但應用層的安全問題卻越來越突出，將來防火墻會把更多的注意力放在深度應用防護上，支持更多的應用層協議，不斷挖掘防護的深度和廣度。

4.6 自身性能和安全性的提升。隨著算法、芯片和硬件技術的發展，防火墻的檢測速度、響應速度和性能也會不斷提升，其自身的安全性也會得到有效的提高，從而為網絡提供更高效、穩定的安全保障。

結語

防火墻技術是非常重要的一種網絡安全技術，它簡單實用，透明度高，可被用于消除網絡通信過程中遇到的各種安全威脅，對提高網絡的安全性以及保密性具有非常重要的作用。隨著網絡技術的發展，防火墻已從單純攔截黑客的惡意攻擊，逐步走向全面的網絡安全管理，防火墻將會成為未來網絡安全技術中不可缺少的一部分。

[1]朱衡.網絡安全技術的應用與分析[J].電腦編程技巧與維護，2009（08）.

[2]韓彬.防火墻技術在網絡安全中的實際應用[J].科技資訊.2010(1).

[3]陳家遷.防火墻技術在網絡安全中的應用研究[J].計算機光盤軟件與應用.2011(23).