試論防火墻在網絡安全中的應用方式

榮淑珍

【摘要】隨著計算機網絡技術的突飛猛進，網絡安全的問題已經日益突出的擺在各類用戶的目前。那么在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全呢？本文對此加以探究。

【關鍵詞】網絡安全 防火墻

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0132-01

一、關于網絡安全的基本情況

網絡中有一些費盡心機闖入他人計算機系統的人，他們利用各種網絡和系統的漏洞，非法獲得未授權的信息。在網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享，去攻擊網絡系統和竊取信息。這種情況使得近幾年的攻擊頻率和密度顯著增長，大約有30%以上的用戶曾經遭受過黑客的困擾，給網絡安全帶來越來越多的安全隱患。

我們可以通過很多網絡工具，設備和策略來保護可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇，它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外，從而降低網絡的整體風險。

為什么不把每個單獨的系統配置好來經受攻擊呢？遺憾的是很多系統在缺省情況下都是脆弱的。最顯著的例子就是Windows系統，我們不得不承認在Windows 2003以前的時代，Windows默認開放了太多不必要的服務和端口，共享信息沒有合理配置與審核。

二、關于防火墻基本概念介紹

防火墻指用于隔離計算機與網絡、本地網絡與外界網絡之間的一道防御系統，是這一類防范措施的總稱。防火墻可以看成是在可信任網絡和不可信任網絡之間的一個緩沖，所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

防火墻的基本功能是，在兩個網絡通信時，通過執行一種訪問控制規則，允許你接受（Accept）的人和數據進入你的網絡，同時將你拒絕（Deny）的人和數據拒之門外，最大限度地阻止網絡中的木馬、病毒和蠕蟲來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。簡單的概括就是，對網絡進行訪問控制。

三、關于防火墻的類型

1.包過濾防火墻

是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據流中的每個數據包，以IP來確定是否允許該類數據包通過。當這些包被送上互聯網時，路由器會讀取接收者的IP并選擇一條物理線路發送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽。包過濾路由器的最大優點是它對于用戶來說是透明的，也就是說不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常作為第一到防線。弊端也是明顯的，無法有效防止黑客常規的攻擊。例如黑客對包過濾式防火墻發出一系列信息包，不過這些包中的IP地址已經被替換了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可以用這個IP地址來偽裝他們發出的信息。在另一種情況下，黑客們使用一種他們自己編出的路由器攻擊程序，這種程序使用路由器協議來發送偽造的路由信息，這樣所有的包都會被重新路由到一個入侵者所指定的特別地址。

2.代理服務器

通常也稱做應用級防火墻。包過濾防火墻可以按照IP地址來禁止未授權者的訪fn-j，但是它不適合單位用來控制內部人員訪問外界的網絡，對于這樣的企業來說應用級防火墻是更好的選擇。所謂代理服務，即防火墻內外的計算機系統應用層的連接是在兩個終止于代理服務的鏈接來實現的，這樣便成功的實現了防火墻內外計算機系統的隔離。代理服務器是設置在InteiTlet防火墻網關上的應用，是在網管員允許下拒絕特定的應用或者特定服務。同時，還可應用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務器通常擁有高速緩沖，緩沖中存有用戶經常訪問站點的內容，在下一個用戶要訪問同樣的站點時，服務器就用不著重復地去接收同樣的內容，既節約了時間，也節約了網絡資源。

3.狀態監視器

作為防火墻技術，其安全特性最佳。它采用了一個在網關上執行網絡安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據的方法對網絡通信的各層實施監測，抽取部分數據，即狀態信息，并動態地保存起來，作為以后制定安全決策的參考。檢測模塊支持多種協議和應用程序，并可以很容易地實現應用和服務的擴充。與其他安全方案不同，當用戶訪問到達網關的操作系統前，狀態監視器要抽取有關數據進行分析，結合網絡配置和安全規定做出接納、拒絕、鑒定或給該通信加密等決定。狀態監視器的配置非常復雜，而且會降低網絡的速度。

四、關于防火墻的組建模式

1.雙宿主機防火墻

它實際上是包過濾路由器網關的替代品，是防火墻模式中最簡單的一種，也最不安全。由于結構簡單，成本低，沒有增加網絡安全的自我防范能力，往往是黑客攻擊的首選目標，一旦被攻破，整個網絡也就暴露。

雙宿主機防火墻切實的說就是橫跨兩個不同網絡的主機，機器上安裝兩張以太網卡，每塊網卡連接一個子網，每個網卡綁定一個IP地址，這臺機器啟動后，通過路由方式或者網絡地址轉換等方式，將連接的兩個網絡的數據相互交換，并在這個交換過程中依照設定好的包過濾規則，判斷那些17CP/IP報文該丟棄，哪些報文可以接受并通過。

2.屏蔽主機防火墻

是包過濾器與應用網關的聯合體，這種方式將兩種防火墻地基本優點集于一身，進一步提升了安全性，是一種最經濟的組合。

屏蔽主機防火墻的工作方式為：允許外界連接到包過濾器。

包過濾器將數據包全部送往應用網關，而不能直接穿透包過濾器達到內網計算機。包過濾器允許來自應用網關的數據包穿越，到達外網。內網計算機的數據包全部通過應用服務器才能外發，不允許直接外發。

3.屏蔽子網防火墻

屏蔽子網防火墻的結構和安全性能都非常好，只有當所以安全單元被破壞后，網絡才能暴露，具有很強的抗攻擊能力，但是需要較多的設備，成本也相應變得比較昂貴。

這種方法是在Internet和Intra-net之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Internet和Intranet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個緩沖地帶，兩個路由器一個控制Imranet數據流，另一個控制Intemet數據流，InlLemet和Intranet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。