淺析防火墻技術(shù)

胡坤

摘 要：互聯(lián)網(wǎng)信息技術(shù)的發(fā)展使得眾多企業(yè)組織開始連接到互聯(lián)網(wǎng)上，這樣企業(yè)在實現(xiàn)訪問外部世界并與之通信的同時，外部世界也同樣可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)并與之交互。這時為了保證企業(yè)組織的信息安全，企業(yè)就必須對其重要信息進(jìn)行保護(hù)。為了安全起見企業(yè)開始在內(nèi)部網(wǎng)絡(luò)和Internet之間建立一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是過濾不安全的服務(wù)和非法的用戶，并控制內(nèi)部網(wǎng)絡(luò)對特殊站點的訪問同時記錄內(nèi)外部網(wǎng)絡(luò)之間的連接，提供預(yù)警和審計等功能。這種屏障就是我們常說的防火墻。本文介紹了防火墻技術(shù)的現(xiàn)狀，并分析了如今防火墻技術(shù)的局限性和未來發(fā)展的趨勢。

關(guān)鍵詞：現(xiàn)狀；局限性；發(fā)展

一、防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運行狀況，并提供單一的安全和審計的安裝控制點，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。

防火墻實質(zhì)上是一種隔離控制技術(shù)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境下構(gòu)造一種相對安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。從邏輯上講它既是一個分析器又是一個限制器，它要求所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須有安全策略和計劃的確認(rèn)和授權(quán)并將內(nèi)外網(wǎng)絡(luò)在邏輯上分離。

二、防火墻技術(shù)的現(xiàn)狀

目前的防火墻技術(shù)主要包括兩種類型， 第一類是包過濾技術(shù)， 主要經(jīng)歷了四個發(fā)展階段。第一代是和路由器同時出現(xiàn)的靜態(tài)包過濾技術(shù)防火墻， 也就是傳統(tǒng)的“邊界防火墻”， 它通常是基于訪問控制列表（ACL）進(jìn)行包過濾的， 靜態(tài)包過濾技術(shù)雖然簡單、易用、透明、高速， 但是其安全性能很低。第二代是動態(tài)包過濾（Dynamic Packet Filter） 技術(shù)， 動態(tài)包過濾技術(shù)是基于連接狀態(tài)對數(shù)據(jù)包進(jìn)行檢查的， 解決了靜態(tài)包過濾的安全限制， 同時也提供了較好的性能， 目前應(yīng)用比較普遍， 但是隨著主動攻擊的增多， 動態(tài)包過濾技術(shù)也面臨著巨大的挑戰(zhàn)。第三代是全狀態(tài)檢測（Stateful Inspection） 防火墻技術(shù)， 該技術(shù)提供了完整的對傳輸層的控制能力， 狀態(tài)檢測技術(shù)還采用了一系列的優(yōu)化技術(shù)， 在大大提高安全防范能力的同時也改進(jìn)了流量處理速度， 使防火墻性能大幅度提升， 是目前采用的主流防火墻技術(shù)。第四代是深度包檢測（Deep Packet Inspection） 防火墻技術(shù)， 面對新形勢下的蠕蟲病毒、DDOS （ 分布式拒絕服務(wù)） 攻擊、垃圾郵件泛濫等嚴(yán)重威脅，最新一代包過濾類防火墻采用了深度包檢測 （Deep Packet Inspection） 技術(shù)， 深度包檢測引擎以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測以及統(tǒng)計學(xué)分析等技術(shù)來決定如何處理數(shù)據(jù)包。深度包檢測防火墻能阻止 DDOS攻擊、病毒傳播問題和高級應(yīng)用入侵問題， 該技術(shù)代表著新一代防火墻的發(fā)展方向。

第二類是代理網(wǎng)關(guān)技術(shù)， 主要經(jīng)歷了從應(yīng)用層代理、電路層代理到自適應(yīng)代理防火墻這樣三個階段。代理網(wǎng)關(guān)技術(shù)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征， 對數(shù)據(jù)包的檢測能力比較強?？傊?， 代理技術(shù)類防火墻在對應(yīng)用層的數(shù)據(jù)過濾方面能力優(yōu)于包過濾類防火墻， 但是在性能方面的表現(xiàn)就會大大遜色， 而且有的可能需要安裝特殊的客戶端軟件， 使用起來不夠人性化。

三、防火墻技術(shù)的局限性和未來的趨勢

盡管利用防火墻技術(shù)可以比較有效地保護(hù)計算機網(wǎng)絡(luò)免受外部黑客所進(jìn)行的網(wǎng)絡(luò)攻擊，但不可能保證網(wǎng)絡(luò)的絕對安全，事實上仍然存在著一些防火墻不能防范的安全威脅。在實際應(yīng)用中防火墻存在著許多的局限，如防火墻不能防范不經(jīng)過防火墻的攻擊，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與外部公共網(wǎng)絡(luò)的直接連接，躲避了防火墻對其的訪問控制和安全檢查；由于防火墻是設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間的安全組件，不能解決來自內(nèi)部人員對網(wǎng)絡(luò)的破壞或資料的盜竊等安全問題；目前防火墻并不具備殺毒功能，不能阻止受病毒感染的文件的傳輸，所以也不能保護(hù)內(nèi)部網(wǎng)絡(luò)免受計算機病毒的破壞；防火墻技術(shù)是根據(jù)事先設(shè)定的安全策略來保護(hù)內(nèi)部網(wǎng)絡(luò)的，只能防范已知的安全威脅，無法預(yù)測前所未見的攻擊方式。另外，防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊，黑客可以通過防火墻準(zhǔn)許的端口對該服務(wù)器的漏洞進(jìn)行攻擊。

防火墻的各種關(guān)鍵技術(shù)，如包過濾技術(shù)、應(yīng)用層網(wǎng)關(guān)技術(shù)和狀態(tài)監(jiān)測技術(shù)等在實際的應(yīng)用中各有其優(yōu)缺點。我們首先要對所要保護(hù)的網(wǎng)絡(luò)的規(guī)模、功能做一個全面的分析和評估，以確定網(wǎng)絡(luò)所需要的安全等級，最后根據(jù)網(wǎng)絡(luò)的安全等級選擇適合自己網(wǎng)絡(luò)的防火墻技術(shù)和產(chǎn)品，事實上許多防火墻產(chǎn)品都是以上提到的防火墻技術(shù)的綜合運用。面對黑客進(jìn)行攻擊的新特點以及網(wǎng)絡(luò)安全領(lǐng)域的新變化，防火墻技術(shù)也在不斷地更新和完善，目前防火墻技術(shù)有下面幾個發(fā)展趨勢。

1. 多級過濾技術(shù)

多級過濾技術(shù)防火墻是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)。它采用多級過濾措施，過濾深度進(jìn)一步加強，從簡單的地址和服務(wù)過濾發(fā)展到 URL過濾、內(nèi)容過濾等。采用多級過濾技術(shù)的防火墻在 TCP/IP 協(xié)議的網(wǎng)絡(luò)層一級過濾掉所有的源路由 IP 數(shù)據(jù)包和假冒源 IP 地址的 IP 數(shù)據(jù)包；在傳輸層一級過濾掉所有禁止出入的協(xié)議和有害數(shù)據(jù)包如 Nuke 包等；在應(yīng)用層一級利用 FTP 和 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Internet 提供的所有通用服務(wù)。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，便于將來防火墻技術(shù)內(nèi)容的擴展。

2. 用戶身份認(rèn)證技術(shù)

采用用戶身份認(rèn)證技術(shù)的防火墻具有基于用戶角色的安全策略功能，它通常是在應(yīng)用層上來實現(xiàn)的。包過濾技術(shù)的防火墻無法實現(xiàn)對用戶的身份驗證，使用用戶身份認(rèn)證技術(shù)可以很好地提高網(wǎng)絡(luò)的安全級別，但是也會對網(wǎng)絡(luò)的通信性能造成負(fù)面影響，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證，因此該技術(shù)一般應(yīng)用在對用戶身份比較敏感的無線通信網(wǎng)絡(luò)中。

3. 嵌套病毒防護(hù)技術(shù)

采用嵌套病毒防護(hù)技術(shù)的防火墻通常也叫“病毒防火墻”，目前主要應(yīng)用在個人防火墻中，因為它是純軟件形式，所以實現(xiàn)起來比較容易。這種技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比被動地等待攻擊的發(fā)生更加積極。但是采用這種技術(shù)往往會導(dǎo)致整個系統(tǒng)性能的急劇下降，因此這種技術(shù)一般只應(yīng)用在低端產(chǎn)品中。

參考文獻(xiàn)：

[1]朱鵬. 基于狀態(tài)包過濾的防火墻技術(shù)[J]. 微計算機信息，2005.

[2]張公忠. 現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M]. 北京：電子工業(yè)出版社出版，2004.

[3]張小斌. 黑客分析與防范技術(shù)[M]. 北京：清華大學(xué)出版社，1999.

[4]王睿. 網(wǎng)絡(luò)安全及防火墻技術(shù)[M]. 北京：清華大學(xué)出版社，2000.

[5]斯特拉斯伯格. 防火墻技術(shù)大全[M]. 北京：機械工業(yè)出版社，2003.endprint