淺談Internet防火墻技術

摘要：網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。以下論述了網絡防火墻安全技術的分類及其主要技術特征。

關鍵詞：網絡安全，防火墻，技術特征

21世紀全世界的計算機不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。

一、防火墻的分類

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換—NAT、代理型和監測型。

（一）包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。

（二）網絡地址轉化—NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。

（三）代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。

（四）監測型

監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。

二、現代企業面臨的安全風險

現代企業對網絡依賴主要來自于運行在網絡上的各種應用，同樣的，網絡的范圍也覆蓋到整個企業的運營區域。

（一）網絡內部

網絡內部，即面向企業內部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。

（二）混合性威脅

用多種方法和技術來傳播和實施的攻擊或威脅，因而必須有多種方法來保護和壓制這種攻擊或威脅。如：CodeRed.CodeRedII.CodeBlue.Nimda.

三、利用防火墻解決企業中存在的安全風險

通過在內部網絡中的每臺工作站上部署防病毒，防火墻，入侵檢測，補丁管理與系統監控，我們可以集中收集內部網絡中的威脅，分析面對的風險，靈活適當的調整安全管理策略。更重要的就是從網絡結構上的接入層，匯聚層和核心交換層設備上做好訪問控制與流量管理。

如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調和的。關鍵區域的防火墻主要是面對內部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，也要提供諸如NAT服務，出站控制，遠程VPN用戶和移動用戶訪問的授權等。我們可以將各種防御的職能根據網絡的結構和提供的應用來分派到兩類防火墻上來。即內部防火墻重點保護DMZ區域，提供深層次的檢測與告警。因為一旦涉及到數據包深入檢測，將會大大影響設備的性能。

如今的防火墻的功能越來越強大，這里我們選擇業界一流的防火墻CheckPoint的StatefulInspection（狀態檢測技術）和WebIntelligence（Web智能技術）來簡單介紹下對于防火墻的智能防御與Web安全保護。簡單來說，狀態檢測技術工作在OSI參考模型的DataLink與Network層之間，數據包在操作系統內核中，在數據鏈路層和網絡層時間被檢查。防火墻會生成一個會話的狀態表，InspectEngine檢測引擎依照RFC標準維護和檢查數據包的上下文關系。該技術是CheckPoint發明的專利技術。狀態檢測對流量的控制效率是很高的，同時對于防火墻的負載和網絡數據流增加的延遲也是非常小。可以保證整個防火墻快速，有效的控制數據的進出和做出控制決策。

CheckPoint的WebIntelligence，有一種名為MaliciousCodeProt

-ector（可疑代碼防護器）來提供對應用層的保護。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網絡傳輸中的可執行代碼，模擬行來判斷攻擊，將可執行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當低。

四、結語

一個好的防火墻應該具有高度安全性、高透明性和高網絡性能。此外，人們也在開展其他計算機網絡安全技術的研究，隨著Internet在我國的迅速發展，防火墻技術引起了各方面的廣泛關注。一方面在對國外信息安全和防火墻技術的發展進行跟蹤，另一方面也已經自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術提供安全保證，對其它方面的技術尚缺乏深入了解。防火墻技術還處在一個發展階段，仍有許多問題有待解決。因此，密切關注防火墻的最新發展，對推動Internet在我國的健康發展有著重要的意義。

【參考文獻】

[1]馮登國.計算機通信網絡安全[M].北京：清華大學出版社，2001

[2]段鋼.加密與解密（第二版）[M].北京：電子工業出版社，2003

【作者單位：鄭州經貿職業學院計算機系】