淺析防火墻技術

郭連城

摘 要：防火墻技術在網絡安全防御中具有重要地位。文章首先闡述了防火墻的概念，然后對防火墻的概念、作用以及主要技術進行了分析與探討，最后總結了下一代防火墻技術的發展趨勢。

關鍵詞：防火墻；包過濾；應用代理；狀態檢測；屏蔽主機；屏蔽子網

1 防火墻概述

1.1 防火墻的概念

防火墻的主要功能是隔離內部與外部網絡，保護內部網絡不受外部網絡的惡意入侵，其主要方法是掃描與分析進入內部網絡的流量數據包，對其中的惡意、非授權訪問進行過濾，從而提升內部網絡的安全性。

1.2 防火墻的功能

防火墻的主要功能有以下幾項：對出、入內網的數據按照預設的安全策略進行過濾處理；對出、入網絡的操作與行為實行安全管控；對通過防火墻的數據與操作進行記錄；對不安全的網絡服務進行屏蔽處理；對網絡攻擊進行檢測和告警。除上述功能外，防火墻也有諸如身份認證、網絡地址轉換NAT和虛擬專用網VPN、流量分析與日志審計等高級功能。

1.3 防火墻的安全策略

防火墻安全策略的主要作用是防止網絡重要敏感資源的非法訪問。防火墻的整體安全策略主要包括用戶賬號策略、用戶權限策略、信任關系策略、包過濾策略、認證簽名與數字加密策略、密鑰分配策略、審計策略等內容。研制與開發防火墻的第一步工作就是設計完善的防火墻安全策略。

2 防火墻的主要技術

2.1 包過濾技術

包過濾技術是最常用的防火墻技術。包過濾防火墻的工作原理是根據網絡實際需要設置防火墻的過濾準則，對出、入網絡的數據包實施有選擇的通過，只有滿足預設準則的數據才能由網絡出口路由器轉發，不滿足準則的數據包則被防火墻自動過濾。包過濾技術的關鍵模塊是數據包檢查模塊。數據包檢查模塊應與操作系統的核心密切相關，這樣才能使攔截數據包的操作發生在操作系統或路由器轉發數據包之前。數據包檢查模塊的檢測對象主要包括IP頭和TCP頭。

包過濾技術的實現較為簡單，并且成本也比較低，適應用網絡環境較為簡單的情況。包過濾技術能夠以較小的代價保證內部網絡的安全，并且具備較強的傳輸性能，擴展性也比較好。由于包過濾防火墻只對進出網絡的數據包進行檢測，因此與發送數據包的具體應用程序無關，所以對客戶端程序無須做任何改動就可以實現對用戶的透明性。包過濾技術雖然簡單實用，但也存在較大的局限性，它只能在IP層和TCP層對數據包的端口號、源地址與目標地址、協議類型等信息進行檢測和過濾，對于應用層的數據則無法過濾。此外，包過濾技術只能識別外部IP偽裝成內部IP，而對外部IP偽裝其它合法的外部IP則無能為力，所以比較容易遭受IP欺騙攻擊。

2.2 應用代理技術

應用代理技術的工作層次比包過濾技術高，工作機理也完全不同。包過濾技術主要是攔截IP層的信息流，而應用代理技術是針對應用層實現防火墻的功能。簡而言之，應用代理技術對每一個具體、特定的應用都建立一個特殊的服務程序，這個服務程序就是所說的代理。代理具有狀態性，它能提供一些有傳輸相關的狀態，本質上代理就是一個應用層上的網關，要維護客戶端與服務器的連接。

應用代理技術能夠有效檢測出針對應用層的病毒和入侵，它使得網絡管理員能夠實現比包過濾防火墻更嚴格的安全策略，對網絡服務進行全面的控制，因而應用代理防火墻的安全性較高。但應用代理技術也有一些不足，首先應用代理技術影響了網絡傳輸的整體性能，其次由于必須針對客戶機上的所有應用類型都要建立一個代理程序，使得系統的復雜性大增，因為如果某種應用程序沒有對應的代理服務，那么該應用所發過的數據包就不能通過防火墻來轉發。

2.3 狀態檢測技術

狀態檢測技術也可以看成一種動態的包過濾技術，它的主要功能模塊就是狀態檢測模塊，該模塊采用抽取相關數據的方法來檢測正在通信的網絡的各個層次，這里所說的部分信息就是狀態信息，狀態信息被動態的記錄下來作為制定安全策略的參考。狀態檢測技術從實質上講是利用一種狀態檢測機制，這種機制是基于連接的，并對每個會話進行檢測，檢測的數據流是包含了屬于同一連接的所有數據包，并以此建立連接狀態表。在對表中的各個連接因素加以識別時，需要配合使用事先預制的規則表，并且表中的記錄排列順序可以隨意排列以提高系統的傳輸效率。狀態檢測的機制是在用戶訪問到達邊界網關的操作系統之前就要對所抽取的狀態信息進行采集與分析，并且結合當前網絡的安全策略做出決定，包括接納、拒絕、鑒定等操作，如果該用戶訪問不符合網絡安全策略的規定，內置的安全報警模塊就會拒絕該訪問并記錄下來，同時向系統管理器回報當前網絡狀態。

3 防火墻的體系結構

3.1 多重宿主主機結構

多重宿主主機結構的主要思想一臺主機、多個接口，多個接口就是兩個或更多的網絡接口，用以連接內部網絡和多個外部網絡，一臺主機是指裝有多個網絡接口的計算機充當內部網絡和多個外部網絡之間的轉發路由器，使得數據包可以從一個網絡傳輸到其它網絡。多重宿主主機結構并不是簡單的轉發，可以通過設置相應的安全策略禁止數據包由外部網絡直接發送至內部網絡，必須由多重宿主主機進行過濾和控制，以確保內部網絡的安全性。

3.2 屏蔽主機結構

屏蔽主機結構的主要思想是路由器與堡壘主機的聯合使用，在這種體系結構中，路由器主要是防止外部訪問直接繞過代理服務器與內部網絡相連，并且對出、入內部網絡的數據包進行過濾以提供安全。屏蔽主機結構中的關鍵是堡壘主機，該主機只與內部網絡相連，外部網絡只有通過該堡壘主機才能與內部網絡相連，這樣就保證了內部網絡的獨立與安全性。由于堡壘主機是內、外網絡連接的關鍵節點，因此它的安全等級必須要高，否則無法確保內部網絡的安全。

3.3 屏蔽子網結構

屏蔽子網結構是屏蔽主機結構的升級，主要是要屏蔽主機結構中增加額外的安全層，即通過增加附加周邊網來進一步的隔離內部網絡和外部網絡，這種結構最簡單的體系結構如下：采用兩個屏蔽路由器，都連接到所附加的周邊網上，其中一個路由器用于連接周邊網與內部網絡，另一個路由器用于連接周邊網和外部網絡，這樣周邊網就成了內部網絡與外部網絡之間的一個隔離帶，也稱之為非軍事化區DMZ。可以根據實際需要在這種結構中安裝堡壘主機，為外網和內網之間的連接提供代理。一般來說，如WWW、FTP、EMAIL等因特網服務器也可以安裝在屏蔽子網內，這樣可以方便內、外網用戶的訪問，而對外網的入侵者來說，入侵則必須經過兩個路由器和堡壘主機，困難很大。采用這種結構的防火墻系統的安全性能較高，抗攻擊的能力也比較強，目前已經成為主流的防火墻體系結構，不過它需要的設備較多，并且成本不低，適用于密級較高的內部網絡使用。

4 下一代防火墻技術的發展趨勢

4.1 多核并行處理

傳統的串行掃描，數據流量大時造成網絡時延增大、擁堵、丟包，利用多核并行處理技術可實現對安全業務的無鎖并行處理，在大幅提升防火墻性能的同時，又能夠適應應用層業務多變的特點。

4.2 面向應用

目前超過90%的網絡應用運行于HTTP協議的80和443端口，大量應用軟件可以進行端口復用和IP地址修改。傳統防火墻賴以生存的IP地址和端口檢測對此難以防范，因此要大力發展面向應用的檢測技術，以便根據應用的行為和特征實現對應用的識別和控制，而不僅僅依賴于端口或協議。

4.3 智能防御

對于一些應用層的攻擊和病毒，例如拒絕服務攻擊、蠕蟲病毒傳播、垃圾電子郵件等問題，傳統防火墻技術是無能為力的，這就需要發展智能防御。智能防御是指應用人工智能學科的方法，如利用統計、記憶、智能決策等算法識別應用層數據，發現非法行為的特征值，從而實現訪問控制。

參考文獻

[1]斯特拉斯伯格.防火墻技術大全[M].機械工業出版社，2006.

[2]謝琳.防火墻策略與VPN配置[M].中國水利水電出版社，2008.

[3]卡拉西克.享姆.防火墻核心技術精解[M].中國水利水電出版社，2005.

[4]陳麒帆，防火墻基礎[M].人民郵電出版社，2007.endprint