淺談防火墻技術

張亞威 徐其崗

摘要：隨著計算機網絡的發展，上網的人數不斷地增大，網上的資源也不斷地增加，網絡的開放性、共享性、互連程度也隨著擴大，所以網絡的安全問題也是現在注重考慮的問題。本文介紹網絡安全可行的解決方案——防火墻技術，防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施，它實際上是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問,也可以使用它阻止保密信息從受保護網絡上被非法輸出。

關鍵詞：防火墻；網絡安全；外部網絡；內部網絡1概念

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。

2防火墻的作用

⑴自然是撐起網路的保護傘。防火墻都會制定自己的規則，凡是符合規則的一律放行，不符合規則的一律禁止，當然這些規則可以由網路管理員來自己制定，但是某些防火墻或許只能使用內置規則。

⑵強化網絡安全策略，本來網絡安全問題是由各個安全軟件獨立處理，而防火墻可以有效的把所有安全軟件配置在防火墻上，以防火墻為中心統一調用。防火墻的集中安全管理更經濟，更安全。

⑶防火墻還有一個重要的功能就是防止信息外泄，隱私應該是每個上網用戶最關心的問題，現在正是隱私泄露的敏感時期，因此更受到用戶的關心，而防火墻可以阻塞有關內部網絡中的DNS信息，使本機的域名和IP地址不會被外界所了解，能有效的阻止信息外泄。

3防火墻的基本分類

⑴包過濾防火墻。第一代防火墻和最基本形式防火墻檢查每一個通過的網絡包，或者丟棄，或者放行，取決于所建立的一套規則。這稱為包過濾防火墻。本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接口。

⑵狀態/動態檢測防火墻。狀態/動態檢測防火墻，試圖跟蹤通過防火墻的網絡連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。

⑶應用程序代理防火墻。應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。

⑷個人防火墻。現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態/動態檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監視傳入傳出網卡的所有網絡通信。

4防火墻的局限性

⑴防火墻不能防范不經過防火墻的攻擊。沒有經過防火墻的數據，防火墻無法檢查。

⑵防火墻不能解決來自內部網絡的攻擊和安全問題。防火墻可以設計為既防外也防內，誰都不可信，但絕大多數單位因為不方便，不要求防火墻防內。

⑶防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執行設備，就像門衛一樣，要根據政策規定來執行安全，而不能自作主張。

⑷防火墻不能防止利用標準網絡協議中的缺陷進行的攻擊。一旦防火墻準許某些標準網絡協議，防火墻不能防止利用該協議中的缺陷進行的攻擊。

5發展趨勢

⑴高性能的防火墻需求。高性能防火墻是未來發展的趨勢，突破高性能的極限就是對防火墻硬件結構的調整。而對于高端防火墻的技術實現，現今主要分為三種方式：基于通用處理器的工控機架構、基于NP技術、基于ASIC芯片技術。

⑵管理接口和SOC的整合。如果把信息安全技術看做是一個整體行為的話，那么面對防火墻未來的發展趨勢，管理接口和SOC整合也必須考慮在內，畢竟安全是一個整體，而不是靠單一產品所能解決的。隨著安全管理和安全運營工作的推行，SOC做為一種安全管理的解決方案已經得到大力推廣。

⑶抗DoS能力。從近年來網絡惡性攻擊事件情況分析來看，解決DoS攻擊也是防火墻必須要考慮的問題了。做為網絡的邊界設備，一旦發生爭用帶寬和大流量攻擊事件后，往往最先失去抵抗能力的就是發生在這里。而提高防火墻抗擊DoS能力的技術問題，也在纏繞著廣大防火墻廠商。在新型技術不斷更新的今天，各個廠家已經把矛頭指向了解決DoS問題上來。

⑷對入侵行為的智能切斷。安全是一個動態的過程，而對于入侵行為的預見和智能切斷，做為邊界安全設備的防火墻來說，也是未來發展的一大課題。從IPS的出發角度考慮，未來防火墻必須具備這項功能，因為客戶不可能為了僅僅一個邊界安全而去花兩份錢。那么，具備對入侵行為智能切斷的一個整合型、多功能的防火墻，將是市場的需求。

[參考文獻]

[1]王鐵方,李濤.蜜網與防火墻及入侵檢測的無縫結合的研究與實現[J]. 四川師范大學學報(自然科學版),2005,(01).

[2]高曉蓉.基于Linux的防火墻[J].揚州職業大學學報,2003,(04).

[3]鐘建偉.基于防火墻與入侵檢測技術的網絡安全策略[J].武漢科技學院學報,2004,(04).