浅析防火墙技术

(三门峡职业技术学院，河南  三门峡 472000)
摘 要：文章在介绍防火墙概念的基础上，阐述了防火墙 的作用，防火墙的类型以及防火墙的构建等。同时论述了防火墙的优缺点。
关键词：防火墙技术；网络安全；计算机网络安全
中图分类号：TP393.08  文献标识码：A  文章编号 ：1007—6921(2008)14—0227—02

据中国互联网络信息中心2008年1月发布的《中国互联网络发展状况统计报告》显示，截至2 007年12月，网民数已达到2.1亿人。年增长率为533%。随着互联网络的速度发展，网络安 全问题日益突出，如何保障网络的正常运行，使网络免受病毒、恶意软件、黑客的攻击，就 显得尤为重要。目前，保护内部网免遭外部入侵的比较有效的方法为防火墙技术。
1 防火墙的基本概念

防火墙只不过是古代中世纪安全设施(在城堡周围挖一条很深的护城河)的现代数字改编版 ，在古代，这种设计强迫每个进出城堡的人都要经过一座吊桥，而他们在通过吊桥的时候， I/O警察可以对他们进行检查，在网络中，强迫进出内部网的所有流量必须通过一座电子吊 桥(防火墙)，由防火墙对数据包进行检查。

AT&T的两位工程师William Cheswich和Steven Bellovin给出了明确的定义：①所有的从外 部到内部或内部到外部的通信都必须经过它。②只有有内部访问策略授权的通信才能被允许 通过。③系统本身具有很强的高可靠性。
2 防火墙的作用
2.1 防火墙是网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部 网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才 能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止不安全的 NFS 协议进出受保 护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以 保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径 。防火墙可以拒绝以上类型攻击的报文并通知网络管理员。
2.2 防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计 等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更 经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各 个主机上，而集中在防火墙身上。 
2.3 对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记 录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时 ，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个 网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者 的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分 析等而言也是非常重要的。
3 防火墙的基本类型
3.1 包过滤防火墙

在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许多一定长度的数据包，包中 包含发送者的IP地址和接收者的IP地址等信息，包过滤根据数据包的源IP地址、目的IP地址 、源端口、目的端口及包传递方向等报头信息来判断是否允许数据包通过。由于只对数据包 的IP地址、TCP、UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
3.2 应用网关防火墙

应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务，如超文本传输 (HTTP)，远程文件传输(FTP)等等。在网关上执行一些特定的应用程序和服务器程序，实现 协议过滤和转发功能。
3.3 代理服务防火墙

使用代理技术来阻断内部网络和外部网络的通信达到隐蔽内部网络的目的。
3.4 状态检测防火墙

用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络 正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息， 并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可 以很容易地实现应用和服务的扩充。通过状态检测技术动态记录、维护各个连接的协议状态 ，并在网络层和IP之间插入一个检查模块，对IP包的信息进行分析检测，决定是否允许通过 。
3.5 自适应代理技术

自适应代理技术是应用代理技术的一种，它结合代理类型防火墙的安 全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能 提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器 。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅 将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后 ，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网 络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全 性的双重要求。
4 防火墙的构建
4.1 屏蔽路由器

可由路由器或主机来实现，屏蔽路由器作为内外连接的唯一通道，所有的报文都在此通过检 查，要求所有的报文都必须在此通过检查，实现报文过滤的功能。
4.2 双穴主机网关

用一台拥有两块网卡的主机作防火墙，两块网卡各自与受保护网和外网相连，主机运行防火 墙软件，转发应用程序、提供服务。
4.3 屏蔽主机网关

过滤路由器连接外网，一堡垒主机安装在内网上，在路由器上设置过滤策略，使这个堡垒主 机成为外部网络唯一可直接到达的主机，保护内网主机不被攻击。
4.4 屏蔽子网

是双穴主机和屏蔽主机的变形，增加了一层周边网络的安全机制，用两台过滤路由器将这一 子网分别与内网和外网隔开，形成所谓的“非军事区”。这样内部网络和外部网络没有直接 连接，需要通过非军事区域中转，增加了攻击的难度。
5 防火墙的主要优点

①防火墙可以通过执行访问控制策略而保护整个网络的安全,并且可以将通信约束在一个可 管理和可靠性高的范围之内。②防火墙可以用于限制对某些特殊服务的访问。③防火墙功 能单一,不需要在安全性,可用性和功能上做取舍。④防火墙有审记和报警功能,有足够的 日志空间和记录功能,可以延长安全响应的周期。
6 传统防火墙的缺点

①网络应用受到结构性限制：随着虚拟专用网(VPN)的普及，物理的边界日趋模糊，传统防 火墙依赖于物理的拓扑结构，影响了防火墙在VPN的应用；②内部安全隐患仍在：过滤规则 的设定受到网络拓扑的制约，对加密的报文无法过滤。③效率低、故障率高，从性能角度看 ，防火墙极易成为网络流量的瓶颈；④很难防止病毒或受病毒感染的文件或软件的传输；⑤不能防范不经由防火墙的外界攻击；⑥不能防止数据驱动式攻击。
7 防火墙的未来

目前的防火墙的技术结构，往往是安全性高效率就低，效率高就会以牺牲安全为代价。未来 防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

重新设计防火墙的技术架构是未来防火墙的方向之一。这些可能存在的方向包括以下几点： 

①在包过滤中引入鉴别授权机制；②复变包过滤技术：指防火墙采用多级并行或串行或串并 行混合的复杂结构方式，根据状态和条件确定下一级转发去向，在每一级都有一个子包过滤 的复杂结构的防火墙；③虚拟专用防火墙(VPF)：VPF像VPN一样，具有极大的安全性，而且 是透明的，基本上接近线速，是高安全性、高性能、应用透明的下一代防火墙；④多级防火 墙：未来的硬件在同时支持路由、交换和防火墙方面完全可能，而且性能比目前的体系结构 要好很多。
8 结语

任何一种防火墙只是为内部网络提供安全保障，但网络安全不能完全依赖于防火墙，还需要 加强内部的安全管理，完善安全管理制度，提高用户的安全意识，从而形成全方位的安全防 御体系。
［参考文献］
［1］ Andrew S.Tanenbaum 著.计算机网络(第4版).北京：清华大学出版社，2004.
［2］ 张剑平.Internet和Intrannet应用.北京：中央广播电视大学出版社，2001.
［3］ 雷震甲.网络工程师教程(第2版).北京：清华大学出版社，2006.

推荐访问:浅析 防火墙 技术