防火墻技術原理及其安全脆弱性分析

龔德中

【摘要】? ? 計算機的大規模普及帶來了新的生活和工作方式，然而計算機世界存在著大量的網絡安全問題，網絡安全涉及用戶的隱私，嚴重的還會侵犯人身財產安全，因此計算機的安全防護不可小覷。計算機中的防火墻相當于計算機的城墻，是保護計算機安全的有效措施，本文主要分析了防火墻所包含的技術，并對其安全性進行了分析，以方便相關人員增進對防火墻的認識。

【關鍵詞】? ? 防火墻? ? 包過濾? ? 網絡安全

引言：

計算機的誕生給人類社會帶來了巨大的革新，改變了人們以往的生活方式，拉進了人們之間的距離。近些年來，計算機技術的發展更是日新月異，人與人之間的信息交流也更加便攜，與此同時，也有一些不法分子擾亂網絡秩序，網絡安全的問題日趨嚴重。防火墻可以及時發現并制止潛藏的風險隱患，給計算機用戶進行提醒，保障用戶信息安全和計算機網絡安全。

一、防火墻技術原理

1.1防火墻概念介紹

防火墻的英文名稱是”FireWall”，傳統意義上的防火墻是指可以防止火勢蔓延的墻壁或其它屏障，在計算機網絡世界中，防火墻要隔絕的不再是火，而是一些有害或者無關的網絡信息，比如木馬病毒、入侵程序等。防火墻的基本原理就是分辨出計算機的內部網絡和公共網絡，在這兩種網絡之間建立一個過濾網，過濾網一方面可以保證內部信息不受侵害，另一方面也可以保證內部信息與外部信息的互通交流[1]。

1.2防火墻工作原理

防火墻是內部和外部信息交互的唯一途徑，防火墻對內部網絡和公共網絡之間的一切信息流進行嚴格監查，整體的工作原理如圖1所示。

二、防火墻主要類型及技術

從軟硬件的角度來看，防火墻大致可以分為兩種：一是軟件方面的防火墻;二是硬件方面的防火墻。在防火墻發展的初始時期，防火墻和集線器、交換機的性質是相同的，也是硬件產品中的一員，這時的防火墻就可以稱之為硬件方面的防火墻;軟件方面的防火墻別名個人防火墻，它是在防火墻的不斷發展和應用普及中產生的，由于不同的用戶對于防火墻的需求不同，技術人員在開發防火墻時不斷進行技術革新，實現了在純軟件的基礎上開發防火墻，這種方式得到的防火墻就被稱為軟件防火墻。

從防火墻的技術角度來看，防火墻大致可以分為以下三類：一種是過濾型作用的防火墻;第二種是應用代理型作用的防火墻;第三種是復合型作用的防火墻。

2.1過濾型防火墻

過濾型防火墻通常是在網絡層和傳輸層之中，檢查通過的信息是否達到防火墻要求的標準，之后對于符合標準的信息可以準許通過，對于不符合標準的信息視為不安全因素，防火墻會對其進行阻止，這類信息就不能正常進行傳遞。過濾型防火墻用到的技術主要有兩大類，一種是簡單包過濾技術，另一種是狀態檢測技術。簡單包過濾技術是在網絡層進行信息過濾，在進行信息過濾時根據之前制定的標準規則檢測IP包頭的有關信息，比如IP源、TCP協議、TCP/UDP目標端口、ICMP消息類型等，將檢測到的這些信息和標準規則進行對比，對于符合標準可以通過的信息進行正常傳遞，不符合標準的數據進行阻攔[2]。使用簡單包過濾技術的防火墻在眾多防火墻類型中的安全性是最低的。狀態檢測技術是2002年左右發展起來的技術，通過網絡通信狀態和信息的分析使用，采用狀態監測機制進行工作。主要使用的網絡通信狀態和信息以及其中包含的信息如表1。

2.2應用代理型防火墻

應用代理型防火墻是在在應用層之上進行工作，應用代理型防火墻的核心技術就是代理方面的內容。所謂的代理技術就是將需要傳入傳出的數據載代理防火墻處可以隱藏來源，經過代理防火墻的數據只能知道是從防火墻處發出的，無法追蹤到它的來源處的網絡內部結構，從而可以提高網絡的安全性，達到保護的目的。

代理技術具體的工作流程如下：代理服務器在接收并核實用戶的提出的申請之后，將申請轉送到Proxy應用程序上，Proxy將申請進行處理并將其傳給真實服務器，真實服務器接收到申請后給予反應，Proxy再接收服務器的反應并進行處理，將處理后的反應傳遞給最初發出申請的用戶。

代理機制下的防火墻可以完全隔離網絡之間的交流通信，相比過濾型防火墻應用代理型防火墻的安全性更高，保護作用更強，這也是應用代理型防火墻的最大的特點。根據代理技術的工作流程可以看出每次進行連接時都需要Proxy應用程序作為中間媒介進行信息處理和傳遞，同時不同的代理所需要的應用軟件進程不同，導致應用代理型防火墻的可移植性比較差。

2.3復合型防火墻

復合型防火墻是過濾型和應用代理型兩種防火墻共同結合的結晶，可以根據不同的安全策略選用不同的對應策略，如果接收到的安全策略是代理策略，就選擇代理型防火墻的應對方式，主要檢查報文內容，如果接收到的是包過濾策略，就選用過濾型的應對方法，判斷報頭部分。這樣一來，復合型防火墻就相當于吸收了過濾型和代理型二者的長處，同時也拋棄了兩者的一些缺點，使得防火墻使用效率更高、效果更好也更方便和靈活。

三、防火墻探測技術

防火墻的探測也是防火墻工作中的一個比較重要的部分，目前較多使用的探測技術主要有以下幾種：

3.1根據探測數據包的返回信息進行判斷

根據防火墻的探測，探測數據包可以判斷是否存在防火墻或者另外方面的一些信息，使用方便簡單。比如登錄主機某一端口時，可以輸入相應的關鍵字，對于這些關鍵字不同的防火墻就會返回不同的字符串，根據這些返回的字符串就能知道探測包遇到的防火墻的種類。

3.2使用探測工具

常見的防火墻探測工具有Firewalking、NMAPing、Traceroute等，這些探測工具會將探測結果返回，根據探測結果進行分析，可以獲取防火墻的位置以及防火墻的端口信息等[2]。

3.3其它方式

除了以上兩種探測方式外，還可以使用端口掃描和ICMP報文、錯誤CRC防火墻探測以及Xmas Tree、Null掃描等技術進行探測。值得說明的是，這些探測技術各有優缺點，并且在實際使用過程中這些技術的探測精度一般都不太高，需要結合多種探測方法，對得到的所有的結果進行分析。

四、防火墻安全脆弱性及防護措施

4.1安全脆弱性分析

防火墻對于網絡安全的作用影響深遠，它可以抵御絕大部分的惡意攻擊，但防火墻并不是毫無漏洞的存在。因此需要通過分析確定防火墻需要完善和改進之處，以此來提升防火墻技術。防火墻的分析方案要盡量科學系統全面，可以從以下幾點進行分析：1.防火墻基本信息：包括防火墻生產的公司、防火墻的版本、類型;2.防火墻的過濾技術;3.應用程序;4.過濾規則;5.操作系統，判斷防火墻公的操作系統弄的安全性如何;6.安全漏洞，包括設計上的漏洞和運行過程中發現的漏洞。

本文中，遵循上述科學分析原則，針對幾種常用的防火墻（Checkpoint Firewall-1、Cisco PIX、NAI Gauntlet）進行具體的安全脆弱性分析，詳細內容如下：

1. Checkpoint Firewall-1。Checkpoint Firewall-1防火墻受到世界排名靠前的多個大企業的青睞，它由Inspection Module、FireWall Module、Management Module三個基本模塊組成，此外它還有多個可選模塊，比如Connect Control、GUI以及Router Security Management等。它在應用層由于不對閾值進行檢查，極易遭受拒絕服務攻擊;在規則設定層，不懂內置規則的用戶進行的規則設置可能會導致一些潛在的安全問題;在操作系統層面，雖然該防火墻支持多種系統，但在具體安裝時如果不注意一些系統補丁和不需要的服務也會造成一些不必要的問題。總之，Checkpoint Firewall-1存在校本過濾規則、外泄內部地址、霸占遠程資源等問題。2. Cisco PIX。PIX是典型的硬件防火墻之一，其工作速度比較快，也方便用戶使用。Cisco PIX防火墻具有多級狀態檢測功能，同時還具有與代理相像的功能。它的過濾規則中有一條規則拒絕了所有沒有認證的用戶，也就是說沒有通過認證的用戶無論是哪種類型都不會通過這種防火墻，都會受到阻攔。對于認證的合理用戶，用戶在防火墻處傳遞的消息不用全部一一檢查，由于這一特性，在配置規則時新用戶需要特別小心。PIX操作系統使用公司專屬的IOS系統，同時需要不斷進行補丁升級。PIX的主要問題是不能妥當處理子網地址，對于假冒的RST、TCP數據包的入侵也存在安全問題。（3）NAI Gauntlet。NAI Gauntlet防火墻是應用層網關一級產品，代理技術是其核心，具有高加密的特點。NAI Gauntlet防火墻同樣不會查驗閾值，在進行規則設置時由于缺乏GUI界面，只能基于命令行進行設置，不夠直觀友好。它也不具有Integrated Web Cache功能、缺乏企業級防火墻陣列的支持能力，因此NAI Gauntlet難以擔任整體系統的防御能力。

4.2防護措施

防火墻受到的沖擊主要是三個方面，分別是防火墻探測、繞過防火墻攻擊和破壞性沖擊。針對防火墻探測沖擊可以重新設置防火墻過濾規則，或者嚴格檢查進入防火墻的信息數據，此外將防火墻一些不必要的端口進行關閉也可以達到一定的保護目的[3]。對于繞過防火墻的沖擊，可以通過設置防火墻，避免內部地址的數據包進入，避免欺騙攻擊。破壞性攻擊最常見的就是木馬沖擊，對于這種類型的沖擊用戶可以安裝一些口碑比較好的木馬檢測程序，一旦發現立刻對木馬進行消滅處理。總之，為了達到更高的防護作用，一方面用戶需要對一般的防火墻進行自定義設置，提高過濾標準，另一方面也要采取一些輔助措施。

五、結束語

防火墻對于網絡安全做出來巨大貢獻，可以有效地保護內部網絡安全，保護計算機用戶的信息資料不外泄、不丟失，不同類型的防火墻有著各不相同的防護能力，可供不同需求的用戶自由選擇。但也要注意防火墻并不是能百分之百抵當網絡侵犯，需要全方面地分析防火墻的安全脆弱性，提出相應的方法，提高網絡總體的安全。需要注意不同類型的防火墻它們的優缺點不同，在進行分析時要實事求是，根據具體的防火墻嚴格按照分析方案采取相應的措施，進而提出改進策略，提升防火墻的防御能力。

參? 考? 文? 獻

[1] 曾強. 基于計算機網絡安全中防火墻技術應用分析[J]. 電腦知識與技術. 2020，16（02）：14-15.

[2] 邵野. 計算機網絡防火墻技術安全與對策分析 [J]. 數字通信世界. 2021，（04）：110-111.

[3] 藍杰. 關于計算機網絡安全及防火墻技術的研究[J]. 信息記錄材料. 2021，22（06）：77-78.