防火墻關鍵技術的分析與實現

◆余慧婷

(福建林業職業技術學院 福建 353000)

0 引言

網絡安全問題的研究具有特殊性，我國進行獨立研發和自主開發信息系統的時間較短，受諸多原因限制，起步較晚，而且很多新技術不是很成熟，與國外先進技術相比較還有一定的差距。近年，有關網絡安全技術的研究開始受到更多的重視，也取得了長足的進展。現在解決網絡安全問題的有效方法之一是建立內網與外網相連接的防火墻設置，這無論是從理論指導上還是實際應用上都有著十分重要的意義。

1 防火墻的概念

防火墻主要的作用是強化網絡的控制量，用節點連接網絡設備，控制網絡訪問量。比如，路由器、網關等，均是由多個網絡傳輸構成的，通過數據包或者鏈接的方式按照安全措施的要求進行檢查，從而決定網絡間通訊是否被允許，這不但能提高內部控制網絡與外部控制網絡之間的數據傳輸效率，同時也能讓內部網絡信息免受因外部非授權用戶的訪問而產生安全漏洞。

防火墻細致劃分可以分為軟件防火墻和硬件防火墻這兩類。軟件防火墻是以現有網絡為前提開展的網絡化系統操作，所以多選用UNIX操作系統，特點是以操作系統的內核穩定性為前提開設的。穩健的操作系統不容易被下三層的攻擊形式所影響，在充分利用操作系統功能性的同時，能讓安全系統更為完善。但存在的不足是當操作系統出現問題以后，會影響到防火墻的安全性能，而且要額外購置安裝操作系統。硬件防火墻均是自己獨立開發出來的操作系統，或者是部分經過改造的操作系統這些系統均要在特定的硬件系統上才能運行，不但能摒除原有系統中不必要的麻煩，也能讓其整體性能達到最佳狀態，從而能達到源代碼保密的作用。

2 防火墻的關鍵性技術

2.1 數據包過濾技術

數據包過濾技術是根據系統內部的過濾邏輯進行選擇和分析，在網絡層進行防護的技術。這項技術的應用，必須要依靠訪問控制表。數據過濾時需要對數據流當中所包含的所有數據包進行全面檢查，包括源地址、目的地址等等，從而確定數據包的安全性，再決定是否允許通過。只有滿足既定規則的數據包才可以進行發送，不能滿足相應規則的數據包將會被刪除。這項技術以過濾算法的設計做為安全防護的核心。

2.2 應用網關技術

應用網關主要是在網絡應用上通過協議過濾的方式針對具體提出的問題開展對應的網絡化服務，既通過協議過濾網的方式，讓數據包分析相關的報告。應用網關是對某些容易登錄或者容易控制的通信環境進行控制，這能防止部分具有價值的程序免于被盜。另外，他的另一個功能是記錄信息，運用不同的用戶連接點，是信息能在具體的使用中滿足其需求，從而建立起專用型較好的工作系統。

2.3 網絡地址轉換技術

網絡地址轉換可以對內部地址進行轉換，其轉換過程以透明方式進行。利用這種方式，防止內部網絡的結構出現泄露，同時保護主機資源，防止外部網絡訪問。這種技術的應用，使得黑客無法攻擊內部網絡，同時允許內部網絡用戶重新設定自己的IP，從而解決內部IP不足的問題。

2.4 套接技術

Sockets是網絡應用層內的國家化標準。在受到網絡保護后需要與外界網絡進行互動聯系，防火墻使用套接服務的關鍵是用于檢查開戶源的信息和 IP地址，在經過確認以后，所有的套接服務才能與外界開展連接。從用戶的角度考慮，受到保護的網絡與外部網絡間的信息交換是透明的，是很難感受到防火墻的存在的，原因是網絡用戶不需要直接登錄到防火墻上面，但是客戶端的應用需要支持“socketsified API”。

2.5 安全IP通道

安全IP通道實現安全防護的主要形式是通過IP安全協議完成的。需要將 IP數據包進行封裝并加密處理之后再進行傳送。包在網絡通道的起始端進行加密，傳送到末端后進行解密。加密系統處理后的數據包，可以使得不同的用戶利用公共網絡安全的建立虛擬私網，并在其中交換數據，有效的防止黑客攻擊。利用IP通道技術，可以形成多個用戶共同完成安全數據交流，使得由多個用戶形成的用戶群在公共網絡之中也能進行安全的數據公開交互，形成類似于局域網一樣的虛擬私有網絡。

2.6 郵件技術

當防火墻采用多種安全防護技術，使得安全防護工作得到一定的保障，使得外部網絡僅能獲得防火墻的 IP以及域名，外部網絡所發送的數據郵件便只能傳送到防火墻上。這時防火墻便可以對郵件進行規則內的全面檢查，當郵件的源主機在規則內是允許通過的時，防火墻便對郵件進行地址的轉換，使其得到目的地址并轉送到內部的郵件服務器，再由內部服務器進行轉發。

2.7 身份認證技術

與包過濾技術和訪問控制技術不同，這兩種技術都是基于對要訪問的服務器進行有效安全防護的，而身份認證技術所針對的對象卻是想要對網絡進行有效訪問的個人。身份認證技術以用戶權限所能控制的SEED值、迭代值以及用戶所設計的密碼為基礎進行加密口令的生成，從而防止黑客利用 SNIFFER獲得用戶自身的登錄口令。同時，防火墻本身的用戶數據庫以及增強數據庫會對用戶所登錄的網絡服務器進行驗證，從而限制對網絡資源的的訪問。

2.8 代理服務器

代理服務器技術通常被使用在應用層，它能提供有效的應用層服務相關控制。當內部網絡申請向外部網絡進行訪問，并發送數據時，有代理服務器進行轉接。內部網絡對于外部網絡的各個接點所發送的數據直接拒絕，只由代理服務器進行相關數據的接收，并尤其進行數據由外向內的轉接工作。

代理服務器在防火墻主機上是單獨存在的一種應用程序，或者是一種服務器類的程序。防火墻主機可以成為一種雙宿主主機，其在功能上，可以同時具有外部幾口和內部接口。這種主機可以對網絡進行訪問，并且內部主機也可以進行有效訪問堡壘主機。用戶對網絡的請求由這些程序進行處理，并以固定的安全策略，將其進行轉發，從而實現實際服務。代理服務器可以為內部主機提供一種代替性的連接，由代理服務器與外部網絡進行連接，并且充當所有數據交互服務當中的網關。

3 防火墻的局限性

防火墻在使用時可以防止信息泄露，但是也有很多局限性存在，具體細化內容如下：

Internet防火墻很難防范外界其他途徑帶來的攻擊。例如，如果允許向受到保護的網絡內部撥號，內網用戶就能直接使用SLIP或者PPP進入到Internet。但有部分用戶需要借用附加認證的方式進行代理，這就讓人感覺很厭煩，導致很多人放棄這一環節，所以在向ISP購買SLIP或者PPP連接的時候，可以繞過精心預設的防火墻為其提供安全系統，給后門攻擊提供了極大的可能性。網絡上用戶需要對這種類型進行簡單的了解，通過系統性的防護盡量避免這種狀況的發生。

Interent防火墻很難防范出來自于內部的攻擊和部分用戶不規范操作所帶來的威脅。公司內部的員工竊取數據后，均可以將內容直接拷貝到硬盤上，然后帶離公司，而防火墻此時不能發揮作用。防火墻不能防范攻擊者是偽裝成超級用戶和一些新雇員的攻擊行為。此外還有一些非法分子為獲得信息，直接誘導老雇員在警惕性較低的情況下將用戶密碼公開或者授予新員工較高的臨時訪問權限，最終導致計算機系統中的信息被非法用戶所盜取。

防火墻不能避免病毒文件的傳送。病毒的種類較多，所以對應的操作系統也有很多種，由于編碼與壓縮二進制文件的方式各不相同，所以在使用時不能要求Internet對每一個系統文件進行掃描，查找潛在病毒。所以，對病毒特別擔心的機構需要在桌面上面部署防病毒的軟件，這能避免病毒直接入侵軟件進入到網絡系統內。

防火墻很難防范數據驅動系統所帶來的攻擊。數據驅動系統的攻擊從表面上看是一種無害的數據，直接將其郵寄或者拷貝到Internet的主機上面，但是在執行時就容易產生攻擊。例如，一個數據性的攻擊能讓主機先于安全相關的文件，讓入侵者在獲取到系統訪問權后能看到堡壘主機部署的代理服務器是禁止從外部直接進行訪問的，從而以減少數據驅動型攻擊。

4 IPSec在Linux系統平臺上的實現

4.1 數據封裝負載（ESP）分析

以安全封裝負載的方式進行安全防護時，將會對數據包當中的所有數據進行加密，從而取保信息的安全性和機密性，這樣可以有效的確保信息在傳遞過程當中不被其他用戶監聽，從而防止信息交換的內容泄露。這種安全防措施的應用當中，只有受信任用戶才能通過密鑰將信息打開。ESP的工作當中，還包括了認證的提供以及數據完整性的維持工作。由于ESP的防范措施會使得所有的數據都被加密，所以它在進行數據處理時，會占用很多時間，使得性能降低。

4.2 互聯網密鑰管理協議

互聯網密鑰管理協議當中的密鑰由兩部分組成，分別是密鑰確定以及分發，密鑰的個數最多可以設定為四個，AH和ESP分別占有兩個發送和接收密鑰。密鑰以十六進制表示，譬如一個56位的密鑰可以表示為5F39DA752E0C25B4。這種56位的密鑰，便能夠滿足絕大多數的應用了。

密鑰管理上，可以進行手動管理，也可以進行自動管理。手動管理需要管理員通過手工操作進行系統設置，這種方法可以在小型網絡當中得到有效的使用，能夠滿足有限的安全需要。自動管理能夠對所有的應用給予回應。自動管理系統可以在密鑰的確定和分發過程中實行動態管理。管理過程中通過中央控制點進行統一操作，使得密鑰管理者能夠進行集中，完全發揮IPSec效用。

5 結束語

網絡安全的重要性應當得到充分的重視，防火墻技術的應用便是非常有效的手段。防火墻可以對未經授權的訪問進行拒絕，防止用戶信息泄露，同時對于合法用戶提供不限制的訪問。防火墻的使用，可以有效的提高網絡安全性，但其并不能應對所有的威脅，譬如防火墻雖然可以有效的應對外部攻擊，但是內部攻擊的防護能力卻很弱。因此需要對防火墻加以正確的使用，使得網絡安全得到保護。

[1]高旭平.基于B/S架構的防火墻策略審計系統的設計與實現[J].北京郵電大學，2014.

[2]張建莊，張葵葵.基于Windows環境的個人防火墻系統的研究與實現[J].武漢理工大學，2015.

[3]李釗洪.基于 Linux操作系統的分布式防火墻系統研究[J].電子科技大學，2014.