淺談防火墻技術

摘要：防火墻是目前網絡安全領域廣泛使用的設備，其主要目的就是限制非法流量，以保護內部子網。從部署位置來看，防火墻往往位于網絡出口，是內部網和外部網之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產品能否成功的一個關鍵問題。

關鍵詞：計算機 防火墻 Internet 安全 技術特征

1引言

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互連環境之中，尤以Internet網絡為最甚。Internet的迅猛發展，使得防火墻產品在短短的幾年內異軍突起，很快形成了一個產業。

防火墻是一種網絡技術，最初它被定為一個實施某些安全策略保護一個可信網絡，用以防止來自一個不可信的網絡（如Internet）的攻擊的裝置。

防火墻就是一個或多組網絡設備，可用來在兩個或多個網絡間加強訪問控制。它的實現有好多種方式，有的實現還是很復雜的，但基本原理卻很簡單。可以把它想象成一個開關，一個是用來阻止輸入，另一個用來允許輸入。防火墻可以設置在不同的網絡之間（如可信任的企業內部網和不可信的公共網）或網絡安全域之間。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全策略控制（允許、拒絕、檢測）出入網絡的信息流，且本身也具有較強的攻擊能力。它是提供信息安全服務、實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效的監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

2防火墻的概述

2.1防火墻的概述

人們常在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所。在網絡上，如果一個網絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵，提供扼守本網絡的安全和審計的唯一關卡，它的作用與建筑的防火磚墻有類似之處，因此我們把這個屏障就叫做"防火墻"。

防火墻就是一個位于電腦和它所連接的網絡之間的軟件。該電腦流入流出的所有網絡通信均要經過此防火墻。

防火墻是一個或一組系統，它在網絡之間執行訪問控制策略。實現防火墻的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。

2.2防火墻的功能

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標電腦。可以將防火墻配置成許多不同保護級別。

防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標電腦上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

2.2.1訪問控制功能

通過防火墻的包內容設置：包過濾防火墻的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火墻的數據包的處理方法，對于沒有明確定義的數據包，應該有一個缺省處理方法；過濾規則應易于理解，易于編輯修改；同時應具備一致性檢測機制，防止沖突。

IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議字段表明封裝協議為ICMP、TCP或UDP，那么再根據ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執行過濾，其他的還有MAC地址過濾。

應用層協議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態包過濾技術等。

在應用層提供代理支持：指防火墻是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等。

在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如HTTP、POP3 。

支持網絡地址轉換（NAT）：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉換以解決IP地址匱乏問題。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，這是一種比較安全的身份認證技術。

2.2.2防御功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。

提供內容過濾： 是否支持內容過濾，信息內容過濾指防火墻在HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制。

防火墻控制的結果是：允許通過、修改后允許通過、禁止通過、記錄日志、報警等。

過濾內容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防御的DoS攻擊類型：拒絕服務攻擊（DoS）就是攻擊者過多地占用共享資源，導致服務器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內容過濾，防火墻應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發現危險代碼時，向服務器報警。

3網絡安全

3.1網絡安全問題

安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是："計算機系統的硬件、軟件、數據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統能連續正常運行。"

3.2網絡安全措施

網絡信息安全涉及方方面面的問題，是一個復雜的系統。一個完整的網絡信息安全體系至少應包括三類措施：

一是法律政策、規章制度以及安全教育等外部軟環境。

二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網絡防毒等。

三是管理措施，包括技術與社會措施。

主要措施有：提供實時改變安全策略的能力、實時監控企業安全狀態、對現有的安全系統實施漏洞檢查等，以防患于未然。

這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。

4結束語

隨著Internet/Intranet技術的飛速發展和應用，網絡安全越來越引起人們的關注。如何保護企業和個人在網絡上的敏感信息不受侵犯己成為當前擺在人們面前的一個重大問題。

防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當，可以在很大程度上提高網絡安全。算機網絡和計算機網絡安全就像矛和盾，自計算機誕生之日起就彼消此長。但是沒有一種技術可以百分之百地解決網絡上的所有問題，防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。

參考文獻

1.石志國等編著.計算機網絡安全教程. 北京：清華大學出版社，2004.2

2.楚狂等編著.網絡安全與防火墻技術. 北京：人民郵電出版社，2000.4

3.劉衍衍等編著.計算機安全技術.吉林：吉林科技技術出版社.1997.8

4.高永強等.網絡安全技術與應用. 北京：人民郵電出版社，2003.3

作者簡介：

趙昆（1983-），男，湖北襄陽人，大學本科，主要從事計算機科學與基礎的教學工作。