防火墻在網絡安全中的應用

李秀峰

（長治學院 計算機系，山西 長治 046011）

防火墻在網絡安全中的應用

李秀峰

（長治學院 計算機系，山西 長治 046011）

信息技術快速發展的同時，網絡安全問題日益凸現。目前存著在多種網絡安全技術，其中防火墻技術就是一種重要的防御措施。文章介紹了防火墻的定義、分類、非法攻擊防火墻的方法及安全配置措施。

防火墻；NAT;網絡安全

隨著信息化技術的快速發展和網絡的高度普及，資源共享和數據通信都需要通過計算機系統加以處理，人們的工作和生活已然離不開計算機和網絡。因為網絡的便捷和開放性，使得數據的存儲和傳輸十分便捷，比如移動支付就可極大的減少現金流動，于此同時安全問題不容忽視。沒有一個安全的網絡環境，那么網絡的使用程度將會大打折扣。為了保證網絡安全，人們采取了很多技術和手段。無論哪種方式往往都會結合使用防火墻技術，它是最有效和最基礎的防御手段之一。防火墻技術用于控制不同網絡之間的互聯程度，可以防止外部網絡使用非法手段訪問內部網絡設備及內網資源，從而達到保護內部網絡及系統的目的[1]。其工作原理是：對兩個或多個網絡之間傳輸的數據進行檢查，按照管理員指定的安全策略以決定是否允許此次通信。

1 防火墻的基本功能

1.1 過濾風險服務

防火墻執行制定的網絡安全策略，只有被允許的網絡和協議才能通過防火墻。因此可對站點進行訪問控制，過濾非法用戶訪問特殊站點，有效地將風險連接控制在網絡最外層。

1.2 集中安全防護

防火墻可對企業內部網實行集中的安全管理，可將編寫的訪問策略應用在防火墻的端口之上，無須在內部網的每臺主機上分別執行安全策略。

1.3 保密性

使用防火墻系統的站點可以防止finger，可以封鎖域名服務信息，保護域名服務器信息不外露。

1.4 網絡連接的統計

防火墻系統可以記錄通過防火墻的網絡通信連接，提供關于外部網路連接的統計數據，對所有的訪問形成日志，便于在出現問題時溯源查詢。

2 防火墻技分類

防火墻技術的發展經歷了5個階段[2]。第一代防火墻產生時間和路由器很接近，主要運用包過濾（Packet filter）技術，對流經端口的每個數據包提取其源端口、目的端口和源網絡等信息，按照訪問策略對其實施對應的操作；第二代防火墻為電路層防火墻，通過將TCP連接從可信任網絡中繼到非信任網絡來工作；第三代為應用層代理防火墻，工作在TCP/IP協議的應用層，這個代理服務器可以偽裝成真實的服務器，使真正的服務器免于被攻擊；第四代為基于動態包過濾技術的防火墻，與第一代防火墻不同，它通過包的屬性和維護一份連接表來監視通信會話的狀態，而不是簡單依靠標志的設置。也就是說第四代防火墻是基于會話進行操作的防火墻；第五代防火墻采用的是高級應用代理技術，在網關上使用代理程序，使其安全性能有了質的飛躍。目前，較為成熟和常用的防火墻技術主要有以下三種，三者各有所長，應用的場合不同。

2.1 包過濾防火墻

數據包過濾（Packet filtering）技術應用在網絡層。其原理是：依據管理者定義的控制策略對流經端口的數據包進行分析、選擇和過濾。具體實現過程是：對每一個數據包的源地址、目的地址、端口號、協議狀態等信息進行采集和分析，之后遍歷控制列表找到與之對應的語句，最后采取對應的措施。此類防火墻的優點是對每個數據包的IP字段進行檢查，可以識別和丟棄帶有欺騙性源IP地址的包，使這類數據包不能繞過防火墻，同時運算速度快、成本低、網絡性能和透明度好。主要缺點是配置較為復雜，需要一定的工作經驗。由于其主要針對當前的網絡環境進行配置，可能會對以后的擴展服務產生限制，需要及時調整。同時一些應用協議也不適合進行數據包過濾。另外，如果攻擊性程序冒充或竊取正常數據包的源地址、目的地址以及IP端口號，該型防火墻將對其失去免疫能力。

2.2 狀態檢測防火墻

狀態檢測防火墻基于傳統包過濾技術上發展而來。與包過濾防火墻不同的是：其所跟蹤檢測的對象既有IP數據包中所包含的信息（如：源、目的信息），還包括該數據包的狀態，同時記錄與之有關的信息（如：現有的網絡連接和信息的傳出請求等）用來提高辨識數據包的能力。這樣做的好處是在原有包過濾的基礎上增加一組附加標準，可以根據這些標準制定精細化的策略，以更高的要求決定數據包是否可以正常通過。狀態檢測防火墻的優點是遵從基于包中信息的過濾規則，檢查每個需要通過的數據包IP字段，具有辨識欺騙性源IP地址數據包的能力，可以杜絕此類數據包通過防火墻。該型防火墻唯一的缺點是大量的狀態檢測工作可能會引起網絡通信的某種延時，尤其是在防火墻應用了大量過濾規則和處在高并發性的網絡時。這種情況下對網絡的傳輸性能有一定的影響。

2.3 應用代理防火墻

該型防火墻將所有連接在其上網絡通信鏈路分為內、外兩部分，內網和外網之間的通信經過應用層，通過使用兩個代理服務器實現通信連接。[3]這樣做的好處是：外網訪問連接只能到達網關的代理服務器，而不能直接訪問內網，從而起到將內網設備與外網隔離的作用。同時代理服務器會對流經的數據包進行信息采集和分析，形成流量統計報告，如檢測發現類似攻擊的操作時會向管理者發出警告，并保留攻擊痕跡，便于對已發生的攻擊和未授權的訪問事件進行審計。應用代理防火墻能夠對特定的網絡連接進行控制，如限制對數據庫服務器網絡地址的訪問或對特殊IP地址的訪問。同時，還可以通過控制部分協議的傳出請求，以縮減不必要的網絡服務，減少被攻擊的幾率。應用代理防火墻的缺點是：必須在一定程度上制定用戶的網絡連接屬性，這樣會導致部分應用程序因不支持代理連接而無法使用。

3 非法攻擊防火墻的方法

防火墻能夠對網絡的內部使用環境提供較好的防范，但不可避免的也存在著一些局限性，如：不能防御未流向防火墻的攻擊，也不能防御內部人為因素的攻擊，不能防御攜帶病毒的文件傳輸以及不能防御數據驅動式的攻擊。下面列舉3種非法攻擊防火墻的方式，針對這些問題要嚴加防范。[4]

（1）利用“綠色”子網攻擊。這些網段往往得到了防火墻的允許，所以是攻擊者最常用的攻擊方法。

（2）攻擊與干擾相結合。也就是讓防火墻始終處于繁忙的狀態，在此期間進行攻擊。過分的繁忙會導致防火墻臨時停機或處于失效狀態，導致其安全防護性能急劇下降。

（3）內部攻擊。這一點需要特別注意。防火墻可以禁止特定網絡的接入訪問，而無法拒絕內部網絡的攻擊。一些不懷好意的人會利用這個漏洞對防火墻發起攻勢。攻擊的目標常常是防火墻或運行中的服務器，這類攻擊最為棘手也最難以防范。

4 防火墻在網絡安全中的應用

4.1 安全服務區配置

安全服務隔離區（Demilitarized Zone）簡稱DMZ，又稱為“非軍事區”，主要作用是將部分必須公開的服務功能設置在外網可訪問的區域，為確保安全而又不能使外網直接訪問，如WEB服務和FTP服務。[5]此區域并不是將其中設備完全獨立，它依舊是內網的一部分。對其進行單獨劃分是為了服務器系統正常履行義務的同時保障其安全性。安全服務隔離區的建立最好結合NAT技術使用，將內網服務器或者需要被外網訪問的主機通過地址轉換服務向外網開放，外網用戶可以訪問轉換后的IP地址，但并不清楚真實的內網IP。如此，即便被發起攻擊，目標也只是一個虛擬的IP，起到很好的內網防護作用。同時還可以使用NAPT技術大幅度減少對公網IP的租用數量，節約企業開支。對于部分企業網已經了具備邊界路由器的情況，可以在不去除原有設備的前提下進行加裝。如在邊界路由器上添加ACL訪問控制列表，這樣路由器就具備了包過濾防火墻的功能，之后將路由器和內網進行連接，在路由器的另一個端口單獨設置一個網段用來做DMZ區域；或者防火墻與邊界路由器相結合使用，組成兩道安全防線，同時可以在這兩者之間設置DMZ區域，用來放置需要被外網訪問的服務器設備。

4.2 訪問策略配置

對于防火墻來說，合理的配置訪問策略是最為重要的。一個完善的訪問策略必須經過實地考察、推演和實踐，并結合已有的成功案例，不能盲目設置。在與用戶探討需求分析過程中，必須要了解企業的內外網絡應用，以及這些應用使用的源地址、目的地址和服務端口。收集以上信息后，結合應用的使用頻率制訂合理的訪問策略，在規則表中進行細致的排序，如將訪問次數最多的配置策略設置在控制列表的前列并做到最簡化，以提高執行效率。

4.3 日志監控

眾所周知，日志監控是安全管理一個必不可少的措施。網絡正常運行中，日志監控可能起不到非常重要作用。但是，當網絡安全受到威脅的時候，可以從其中找到蛛絲馬跡以提前預警。在受到網絡攻擊后，也可利用相關的記錄信息進行分析和總結經驗教訓，對后期網絡的安全問題進行預防。

5 總結

快速發展的信息化社會離不開網絡的支持，網絡在保證高速運行的同時，不能忽略其安全性，沒有安全的網絡就沒有存在的價值。文章對防火墻技術在計算機網絡安全中的應用進行了初步的研究，介紹了防火墻的基本功能、分類、非法攻擊防火墻的方法及其在網絡安全中的應用。

［1］唐建國.防火墻的安全及其效能分析［J］.信息科技，2007，（4）.

［2］王正.網絡安全中的防火墻技術探討［J］.通信技術2008，（4）.

［3］Karanjit S,Chirs H.Internet. Firewall and Network Security[M].New York：New Riders publishing，2010，192-218.

［4］詹柳春.論防火墻體系結構［J］.科技信息,2010年（7）.

［5］張燁.防火墻的研究［J］.科技視界，2012，（16）．

TP393.08

A

1673-2014（2017）05-0035-03

2017—03—18

李秀峰（1987— ），男，山西長治人，碩士，主要從事計算機網絡研究。

（責任編輯 張劍妹）