試析防火墻技術的發展及原理

史登勇

(六盤水師范學院)

0 引言

近年來，互聯網信息技術快速發展，越來越廣泛的應用于人們的日常生活.與此同時，網絡安全問題也顯得尤為突出，在復雜的網絡大環境中，由于網絡遭到破壞而產生的損失不計其數，網絡安全成為互聯網進一步發展的一大阻力.雖然，防火墻技術一直在不斷完善，但是信息技術的快速更新換代，讓很多問題防不勝防.計算機技術在不斷進步，但是非法入侵的手段也是層出不窮，防火墻作為最堅實的一道防線，對其的要求也更為嚴格.研究防火墻技術發展的每一個階段及其工作原理，對于提高防火墻技術有著重要的作用.

1 防火墻的基本定義

防火墻是一種存在于內部網絡跟外部網絡之間的維護網絡安全的系統.其實就是，通過軟件設備跟硬件設備相互組合形成的，可以存在于內部網絡跟外部網絡、專用網絡和公用網絡之間的系統保護程序.計算機硬件跟軟件相互結合，在不同網絡之間形成一個安全網關，可以避免外部非法用戶的入侵，保護內部網絡安全.一般的防火墻將都是由“服務訪問規則、驗證工具、包過濾和應用網關”4個部分構成，所有進出計算機的信息和數據都必須通過這道防火墻檢測.

2 傳統防火墻技術的發展過程及原理

2.1 傳統防火墻技術的發展過程

每一次計算機技術的更新換代，也代表著防火墻技術的一次質的飛躍.根據傳統防火墻技術的發展過程和技術特點，劃分傳統防火墻技術發展階段最常見的方法是將其分為三個階段:第一個階段是基于路由器的第一代包過濾防火墻，第二階段是基于代理技術的第二代防火墻，第三階段是基于動態包過濾技術的第三代防火墻.對于傳統防火墻的劃分，還有不同的方法，有的研究者會將傳統防火墻的發展分為五個階段.到底哪種劃分更為科學合理，一直都是仁者見仁智者見智.由于，按照階段劃分傳統防火墻的方法一直存在分歧，所以人們更傾向于按照功能來進行劃分，可以分為四種類型:包過濾、狀態檢測、電路層網關、應用層網關，其它類型的防火墻也可以參照這些基本類型為研究基礎.

2.2 傳統防火墻技術的工作原理

通過研究傳統防火墻技術，發現不同類型防火墻技術都是根據不同的技術原理，并且在功能上都有自己優點和不足之處，具體如下.

(1)包過濾防火墻.這種類型的防火墻又叫網絡級防火墻，它是第一代防火墻，在OSI中的工作層次主要是第三、第四層.這種防火墻技術的工作原理主要是:在相互連接的網絡設備中，加載一些特殊的指令，如:允許或者禁止來自某些特定的源地址、目標地址、TCP終端號等，通過相應指令對設備的數據包進行一系列檢查，限制有危險性的數據包進出內部網絡.這種類型防火墻的優點很明顯，可以對用戶保持極高的透明的度，并且工作效率極高.但是它也存在很嚴重的缺點，這種防火墻不能完全控制網絡上大量流動的信息，只能進行最初級安全維護，面對技術含量高的攻擊毫無抵抗力，并且很難進行維護升級，無法從根本上維護用戶的安全.

(2)狀態檢測防火墻.狀態檢測防火墻又被稱為動態包過濾防火墻，它是傳統防火墻技術發展的第三代，在OSI中的工作層次也主要是第三、第四層.它的工作原理與包過濾防護墻完全不同，它是利用狀態表對每一個用戶的網絡會話狀態進行追蹤，并利用規則表對每一個網絡數據包進行檢查，研究數據包是否符合會話所處的狀態，從而對傳輸層進行完整的控制.這種防火墻技術的特點是技術性能很高，可以有效地規范網絡層及傳輸層的行為，并且對用戶保持較高的透明度;但是這種防火墻技術有一個很大的缺陷，就是它不能確保應用層的安全，導致系統仍然存在很強的安全風險.

(3)電路層網關防火墻.電路層網關是防火墻技術發展的第二代，又叫電路層代理防火墻，主要是作用于OSI中的會話層.這種防火墻技術的工作原理相對于其它技術來說比較復雜，它不允許內部終端跟外部終端通過TCP進行直接連接，必須建立兩個獨立的TCP連接，一個作用于防火墻跟內部主機之間，而另一個則作用于防火墻跟外部主機.來自外部網絡的某個連接一旦被電路層防火墻所認可，此連接的TCP數據段就會被防火墻從外部連接轉入內部連接，此時內部連接已經不需要對其中的內容再次進行重復檢測.這種防火墻技術的最大特點是比應用層網關更為靈活，工作效率更高;但是這種技術對用戶來說不是透明的，并且當用戶需要安裝比較特別的客戶機軟件時，用戶需要其它接口輔助來完成軟件安裝或者改變防火墻設置，這種防火墻技術不能有效提高底層協議的安全性.

(4)應用層網關防火墻.應用層網關防火墻又被稱為代理防火墻，它是傳統防火墻技術發展的第二、第三代，主要是作用于OSI中的應用層.這種防火墻技術曾被普遍運用于網絡安全維護，應為它的整個運作過程能夠充分滿足用戶的需要.當代理服務器收到用戶的連接訊號之后，它們會快速核實用戶請求，然后通過特定的Proxy應用程序對連接請求進行進一步處理，再將處理后的請求傳送到真實的服務器上，此時真實的處理器會很快做出應答，對信息進行快速處理后將答復反饋給用戶.這種防火墻技術是比較成熟的，它的安全性能夠得到保證，可以讓一些安全策略有效實行，如身份驗證等;再完美的技術也會存在漏洞，應用層網關防火墻技術要求每一個合法的服務都必須在代理服務器上才可以啟動相應進程，這樣做的后果是服務器的工作量非常大，且效率極低，對用戶的透明度也不高，無法滿足用戶的使用需求.

其次，還有很經典的復合型防火墻，這是一種集合過濾狀態檢測與應用網關代理技術的防火墻，通過兩種技術的結合，可以提高防火墻各方面的性能.通過對傳統防火墻技術進行分析，發現傳統防火墻技術的核心是包過濾.靜態包過濾、動態包過濾、狀態檢測包過濾屬于直接的過濾技術，可以對數據包進行直接過濾;而電路層代理、應用代理等技術屬于間接過濾，他們不但會對數據包進行過濾還會對相關協議、內容以及數據等其他元素進行過濾，以維護用戶安全.

2.3 傳統防火墻技術面臨的威脅

防火墻作為保護網絡安全的大門，防火墻技術已經是互聯網技術中最成熟的技術之一，是網絡安全管理員維護網絡安全的堅實防御工具.但是，一直以來傳統的防火墻的技術核心基本上都是包過濾技術.隨著這種病毒的出現、黑客技術的提高，內部網絡面臨的風險日益增加，傳統防火墻在這樣的環境下可能不堪一擊.網絡中97%的通信流量都是由“HTTP、FTP、SMTP和DNS”等應用協議流組成，當這些協議被黑客攻擊的時候，傳統的包過濾防火墻根本無力阻擋.近年來，黑客入侵造成網絡危害的事故屢見不鮮，很多黑客在網絡上傳播蠕蟲病毒，蠕蟲病毒利用用戶系統的漏洞進行傳播、侵入系統，給廣大網絡用戶造成無法預計的損失.可以說黑客跟蠕蟲病毒的結合，是傳統防火墻面臨的最巨大的威脅.

雖然人們一直在尋求傳統防火墻技術的突破，人們將防火墻、VPN、防病毒網關、防拒絕服務攻擊網關、IDS等維護網絡安全的產品疊加，希望以此增強防火墻的能力.雖然這種方法在某種程度上能夠解決一些問題，但是卻會衍生出其他問題:

(1)在這方面的成本會成倍提高;

(2)疊加的產品越多，存在的安全隱患也越多;

(3)多個設備相互合作雖然能夠全方面維護網絡安全，卻會產生網絡性能瓶頸.

互聯網世界瞬息萬變，為了維護網絡安全，必須采用新技術來解決目前的問題.互聯網世界容不得絲毫懈怠，只有不斷創新、不斷進步，尋找更加先進的技術，才能將維護網絡安全的主動性掌握在自己手中.舊的防火墻技術已然不能滿足當下的需要，新的防火墻技術也就應運而生.

3 新防火墻技術

新的防火墻技術更加注重數據的安全性，在這樣的情況下防火墻不僅僅是維護網絡安全，也要保證各種應用能夠正常進行.因此，新的防火墻技術較傳統的防火墻技術來說，新增代理體系，不但包含過濾網功能，還可以在應用層進行代理.先進的過濾網以及代理體系可以實現從數據鏈路層到應用層的全方面系統維護，通過TCP/IP協議跟代理體系的相互合作，為用戶提供完全公開透明的代理模式，從而減少客戶端的安全配置，提高系統的防御能力和運行速度.新的防火墻技術不但具有訪問控制功能，還新增了其它的新技術，使得防火墻的安全性進一步提高.

3.1 智能防火墻技術

3.1.1 概念

智能防火墻技術是通過統計、儲存、概率以及決策的形式對數據進行識別，從而進行訪問控制.新技術的運用，不但可以減少匹配檢查所需要進行的計算過程，還可以迅速發現網絡行為的特征值，達到直接控制訪問的目的.因為這種方法最早是適用于人工智能學科，所以被稱為智能防火墻.智能防火墻主要是運用AAA技術、防掃描技術、防攻擊技術、包擦洗和協議正常化技術、入侵防御技術、防欺騙技術，來實現整個網絡安全的維護.

3.1.2 AAA 技術

IP v4版本有一個最大的缺陷，就是不能進行身份認證，為了彌補不足，IP v6版本新增了此功能.但是IP v6版本還沒有完全被人們所適應，相當長的時間內還是IP v4版本大行其道.

3.1.3 防掃描技術

智能防火墻新增放掃描技術，可以高效識別黑客的惡意掃描，并進行阻止或者給掃描者造成假象.目前最常用的掃描工具是 ISS、SSS、NMAP等，通過防掃描技術不但可以防止惡性掃描，還可以識別和解決惡意代碼的惡性攻擊，提高系統的防御性.

3.1.4 防攻擊技術

防攻擊技術是智能防火墻的主要技術之一，可以快速識別惡意數據，有效地阻斷惡性數據攻擊.比如“SYN Flooding，LandAttack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host”等攻擊，都可以通過防攻擊技術輕易破解.

3.1.5 包擦洗和協議正常化技術

智能防火墻新增包擦洗技術，可以對“IP，TCP，UDP，ICMP”等協議進行擦洗，這種技術對于彌補TCP/IP協議的漏洞以及解決應用協議所帶來威脅有著顯著作用.通過挖掘協議存在的漏洞和風險，阻止惡性攻擊，保證協議的正常運行.3.1.6 入侵防御技術

智能防火墻為了提高準許放行包的可靠性，會對準許放行包數據做入侵檢測，并制定一定的入侵防御保護措施.實際上入侵防御技術是利用多種檢測技術，通過檢測已知的攻擊以及未知的攻擊，做好提前預防工作，保證系統的正常運行.3.1.7 防欺騙技術

智能防火墻防欺騙技術可以提供以MAC為基礎的訪問控制機制，可以高效預防MAC欺騙和IP欺騙，同時可以支持MAC過濾以及IP過濾，有效的把防火墻訪問控制延伸到OSI的第二層.

3.2 智能防火墻的優點

智能防火墻可以有效地解決拒絕服務攻擊的問題，病毒擴散問題、高級應用入侵問題，這個將是以后防火墻發展的主要方向.另一方面，智能防火墻技術作為新的防火墻技術與傳統防火墻技術相比，具有更高的安全性，同時達到特權最小化、系統最小化、內核優化、系統更加穩固、網絡性能提高等功能，這是防火墻技術產生質的飛躍的最佳表現.

3.3 智能防火墻技術的應用領域

3.3.1 入侵防御

智能防火墻為了提高準許放行包可靠性，會對準許放行包進行數據檢測，并提供一定的入侵防御保護措施，這樣做不但可以實現對深層數據包的有效檢測，還可以高效的阻斷惡性程序對應用層的惡意攻擊，維護系統的安全.入侵防御是智能防火墻最廣泛的應用領域，并在此領域取得了顯著成果.

3.3.2 防黑客攻擊領域

智能防火墻可以快速識別來自黑客的惡性攻擊，并且快速的阻止惡性掃描者對系統進行惡意掃描，通過掃描工具可以快速發覺惡意訊號，并迅速做出處理，保證系統不被入侵，信息不被泄露，維護系統安全.

3.3.3 防范未知風險

智能防火墻有包擦洗技術，可以為 IP、TCP、UDP、ICMP等協議進行擦洗，發現協議存在的風險，阻斷惡意攻擊，從而保證協議能夠正常運行.

總之，智能防火墻技術與傳統防火墻技術相比，在保護網絡完全、阻止黑客攻擊、防止病毒擴散、監控系統風險等方面有著全面的提高，新的智能防火墻技術現在已經被廣泛的應用于維護網絡安全，并且取得了顯著的成果.

4 新防火墻技術的發展趨勢

隨著網絡攻擊形式的千變萬化，防火墻技術只有不斷進步，才能滿足維護網絡安全的需要.現在的防火墻技術雖然取得了一定進步，但是他還需不斷發展，未來的防火墻技術發展的趨勢將體現在性能不斷提高，技術另辟蹊徑，功能增多這三個方面.

4.1 性能不斷提高

隨著網絡的快速發展，傳統的防火墻技術早已無法滿足用戶需要，以后的防火墻速度會更快，功能更加多樣，更加安全.在NP的框架下，防火墻不但可以快速處理數據包，還可以快速的對復雜內容進行分析，這些都需要NP微引擎和內核之間的通信機制相互配合，才可以完成.并且，NP的高速運行可以幫助實現整個網絡的路由.所以，以后的防火墻可能會采用NP芯片作為專門的處理器，提高整個防火墻的性能.

4.2 技術另辟蹊徑

現在普遍使用的過濾技術日趨成熟，由數據包到協議，由應用到內容，由內核空間到應用空間，都從簡單變得復雜，過濾技術已經涉及到網絡的方方面面.但是人們卻忽視一點，防火墻的目的是執行訪問控制，而不是過濾.過濾技術只是訪問控制的一種技術，但不是訪問控制技術的所有，現在人們對防火墻的要求不斷提高，為了取得進一步突破，需要在技術上另辟蹊徑，才能在復雜的網絡大環境中取得勝利.

4.3 功能不斷增多

由于傳統的防火墻在實際應用中有著很強的局限性，所以必須將不同的網絡安全技術跟防火墻技術有機的結合起來，增強防火墻自身的功能.防火墻技術跟防病毒系統相互結合，可以迅速掃描病毒，將病毒扼殺在搖籃里;防火墻系統跟認證系統相互結合，可以提高認證系統的安全性;防火墻跟入侵檢測系統的結合，可以隨時檢測網絡動靜，維護網絡內外的穩定性.以后防火墻的功能會越來越多，從各方面維護系統安全，滿足用戶所有的需求.

5 結束語

防火墻作為維護網絡安全的大門，是實現網絡安全穩定的主要手段之一.如果運用合理的防火墻技術，可以在很大程度上增強網絡的安全.雖然維護網絡安全光靠防火墻技術是遠遠不夠的，還需要其它技術的相互配合，在不同的部分應用不同的技術.但是對于防火墻技術的研究卻不能夠停止，只有不斷進步，才能提高防火墻的防御能力，維護網絡安全.

［1］占科.計算機網絡防火墻技術淺析［J］.企業導報，2011(11).

［2］玄文啟.基于Internet的防火墻技術分析［J］.中國科技信息，2011(19).

［3］張鐵玉.淺談Internet防火墻技術［J］.硅谷，2011(6).