摘要：本文針對(duì)網(wǎng)絡(luò)安全問題，從防火墻的概念、傳統(tǒng)防火墻的不足、新一代防火墻的技術(shù)應(yīng)用及發(fā)展趨勢(shì)幾個(gè)方面，論述了防火墻在網(wǎng)絡(luò)安全中起的重要作用及未來防火墻技術(shù)展望。

關(guān)鍵詞：防火墻；功能；不足；新一代防火墻

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)09-11593-02

The Network Firewall Function and Role

SUN Wei

(Fushun Vocational and Technical College， Fushun 113006， China)

Abstract: In this paper the issue of network security， firewall concept， the lack of traditional firewall， a new generation of firewall technology application and development of several trends， which is the firewall in network security play an important role in firewall technology and the future outlook.

Key words: firewall; Functional; Insufficient；a new generation of firewall

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地?cái)[在各類用戶的面前。目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)遭受過黑客的困擾。網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)心的問題。目前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種：一種是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅；另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。其中，來自外部和內(nèi)部人員的惡意攻擊是當(dāng)前因特網(wǎng)所面臨的最大威脅，是網(wǎng)絡(luò)安全策略最需要解決的問題。目前解決網(wǎng)絡(luò)安全問題的最有效辦法是采用防火墻。

1 防火墻概述

從字面上看，防火墻就是一種防止外界侵犯，保護(hù)自己的設(shè)施，從本質(zhì)上說，是一種保護(hù)裝置，是用來保護(hù)網(wǎng)絡(luò)資源和數(shù)據(jù)以及用戶的信譽(yù)，

具體來說，防火墻是一類硬件配合相應(yīng)的軟件，用來保護(hù)數(shù)據(jù)安全的設(shè)施。

2 什么是防火墻

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。我們通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)。從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。原則上，防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過。那么，防火墻究竟是什么呢？實(shí)際上，防火墻是加強(qiáng)Internet與內(nèi)部網(wǎng)之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備（包括路由器、服務(wù)器）及相應(yīng)軟件構(gòu)成。

3 傳統(tǒng)的網(wǎng)絡(luò)防火墻存在的不足

傳統(tǒng)的防火墻如包過濾防火墻、代理防火墻、狀態(tài)監(jiān)視防火墻都是采用逐一匹配方法，

計(jì)算量太大。因此，它們都有一個(gè)共同的缺陷——安全性越高，檢查的越多，效率越低。用一個(gè)定律來描述，就是防火墻的安全性與效率成反比。

沒有人懷疑防火墻在所有的安全設(shè)備采購中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是：以拒絕訪問（DDOS）為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題。而這三大問題，傳統(tǒng)的防火墻是無能為力的。

4新一代防火墻技術(shù)及應(yīng)用

新一代防火墻技術(shù)不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對(duì)抗IP欺騙、SYN Flood、ICMP、ARP等

攻擊手段方面有顯著優(yōu)勢(shì)，增強(qiáng)代理服務(wù)，并使其與包過濾相融合，再加上智能過濾技術(shù)，使防火墻的安全性提升到又一高度。

4.1 新一代分布式防火墻技術(shù)

(1)概念：分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：

①網(wǎng)絡(luò)防火墻；②主機(jī)防火墻；③中心管理。

(2)優(yōu)勢(shì)：在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。

①增強(qiáng)系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略；②提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能；③系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力；④實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)；⑤應(yīng)用更為廣泛，支持VPN通信

4.2 新一代嵌入式防火墻技術(shù)

(1)概念：嵌入式防火墻就是內(nèi)嵌于路由器或交換機(jī)的防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機(jī)中。嵌入式防火墻也被稱為阻塞點(diǎn)防火墻。

(2)優(yōu)勢(shì)：嵌入式防火墻能夠?qū)⒎婪度肭值墓δ芊植嫉骄W(wǎng)絡(luò)中的每一臺(tái)PC、筆記本以及服務(wù)器。分布于整個(gè)網(wǎng)絡(luò)的嵌入式防火墻使用戶可以方便地訪問信息，并且不會(huì)將網(wǎng)絡(luò)資源暴露在非法入侵者面前。嵌入式防火墻的分布結(jié)構(gòu)還可以避免由于發(fā)生某一臺(tái)端點(diǎn)系統(tǒng)的入侵而導(dǎo)致整個(gè)網(wǎng)絡(luò)受影響的情況，同時(shí)也使通過公共賬號(hào)登錄網(wǎng)絡(luò)的用戶無法進(jìn)入限制訪問權(quán)限的計(jì)算機(jī)系統(tǒng)。

嵌入式防火墻解決方案能將安全防范的功能延伸到邊緣防火墻的范圍之外，并分布到網(wǎng)絡(luò)的終端。這一策略使網(wǎng)絡(luò)幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火墻的防護(hù)并取得了運(yùn)行防火墻主機(jī)的控制權(quán)，也將寸步難行。

4.3 新一代智能防火墻技術(shù)

智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。

智能防火墻的關(guān)鍵技術(shù)有：

(1)防范惡意數(shù)據(jù)攻擊；(2)防范黑客攻擊；(3)防范MAC欺騙和IP欺騙；(4)入侵防御；(5)防范潛在風(fēng)險(xiǎn)與傳統(tǒng)防火墻相比，智能防火墻在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、

保護(hù)必需的應(yīng)用安全、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面，都有廣泛的應(yīng)用價(jià)值。

5 防火墻技術(shù)展望

隨著網(wǎng)絡(luò)處理器和ASIC芯片技術(shù)的不斷革新，高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對(duì)入侵行為智能切斷、以及增強(qiáng)抗DoS攻擊能力的防火墻，將是未來防火墻發(fā)展的趨勢(shì)。

5.1 高性能的防火墻需求

高性能防火墻是未來發(fā)展的趨勢(shì)，突破高性能的極限就是對(duì)防火墻硬件結(jié)構(gòu)的調(diào)整。ASIC技術(shù)雖然開發(fā)難度大，但卻能夠保障系統(tǒng)的效率并很好地集成防火墻的功能，在今后網(wǎng)絡(luò)安全防護(hù)的路途上，防火墻采用ASIC芯片技術(shù)將要成為主導(dǎo)地位。

5.2 管理接口和SOC的整合

如果把信息安全技術(shù)看做是一個(gè)整體行為的話，那么面對(duì)防火墻未來的發(fā)展趨勢(shì)，管理接口和SOC整合也必須考慮在內(nèi)，畢竟安全是一個(gè)整體，而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運(yùn)營工作的推行，SOC做為一種安全管理的解決方案已經(jīng)得到大力推廣。

5.3 抗DoS能力

從近年來網(wǎng)絡(luò)惡性攻擊事件情況分析來看，解決DoS攻擊也是防火墻必須要考慮的問題了。利用ASIC芯片架構(gòu)的防火墻，可以利用自身處理網(wǎng)絡(luò)流量速度快的能力，來解決存在于這個(gè)問題上的攻擊事件。但是，解決這個(gè)問題并不是單單靠ASIC芯片架構(gòu)就可以的，更多的還是面向?qū)?yīng)用層攻擊的問題，有待于新技術(shù)的出現(xiàn)。

5.4 減慢蠕蟲和垃圾郵件的傳播速度的功能

作為網(wǎng)絡(luò)邊界的安全設(shè)備，未來防火墻發(fā)展趨勢(shì)中，減緩和降低蠕蟲病毒與垃圾郵件的傳播速度，是必不可少的一部分了。加強(qiáng)防火墻對(duì)數(shù)據(jù)處理中的粒度和力度，已經(jīng)成為未來防火墻對(duì)數(shù)據(jù)檢測(cè)高粒度的發(fā)展趨勢(shì)。

5.5 對(duì)入侵行為的智能切斷

安全是一個(gè)動(dòng)態(tài)的過程，而對(duì)于入侵行為的預(yù)見和智能切斷，做為邊界安全設(shè)備的防火墻來說，也是未來發(fā)展的一大課題。從IPS的出發(fā)角度考慮，未來防火墻必須具備這項(xiàng)功能。具備對(duì)入侵行為智能切斷的一個(gè)整合型、多功能的防火墻，將是市場(chǎng)的需求。

5.6 多端口并適合靈活配置

多端口的防火墻能為用戶更好的提供安全解決方案，而做為多端口、靈活配置的防火墻，也是未來防火墻發(fā)展的趨勢(shì)。

5.7 專業(yè)化的發(fā)展

單向防火墻、電子郵件防火墻、FTP防火墻等針對(duì)特定服務(wù)的專業(yè)化防火墻將作為一種產(chǎn)品門類出現(xiàn)。 總的來說，未來的防火墻將是智能化、高速度、低成本、功能更加完善、管理更加人性化的網(wǎng)絡(luò)安全產(chǎn)品的主力軍。

參考文獻(xiàn)：

[1] 袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社，2002.

[2] 常紅.網(wǎng)絡(luò)完全技術(shù)與反黑客[M].長春:冶金工業(yè)出版社，2001.

[3] 張兆信.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].北京:機(jī)械工業(yè)出版社，2005.

[4] 李大友.計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社，2005.

[5] 徐國愛.網(wǎng)絡(luò)安全.北京:北京郵電大學(xué)出版社，2003.

[6] 屈長青.防火墻及其維護(hù)技術(shù)研究.沈陽化工學(xué)院學(xué)報(bào)，2002，15.