【摘要】防火墻是一個分離器，一個限制器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

【關(guān)鍵詞】防火墻;計算機

【中圖號】TP30【文獻(xiàn)標(biāo)示碼】A【文章編號】1005-1074(2009)03-0081-01

防火墻是一個分離器，一個限制器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。設(shè)置在不同網(wǎng)絡(luò)或不同的安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)無論從技術(shù)上還是產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展階段。第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾技術(shù)。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻的初步結(jié)構(gòu)。1992年，USC信息科學(xué)院開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻是1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，并在其產(chǎn)品中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義。高級應(yīng)用代理的研究，克服速度和安全性之間的矛盾，可以稱之為第五代防火墻。前五代防火墻技術(shù)都是采用逐一匹配方法，計算量太大。包過濾是對IP包進(jìn)行匹配檢查，狀態(tài)檢測包過濾除了對包進(jìn)行匹配檢查外還要對狀態(tài)信息進(jìn)行匹配檢查，應(yīng)用代理對應(yīng)用協(xié)議和應(yīng)用數(shù)據(jù)進(jìn)行匹配檢查。因此，它們都有一個共同的缺陷，安全性越高，檢查的越多，效率越低。就是說防火墻的安全性與效率成反比。

1防火墻的分類

目前按使用技術(shù)劃分為兩類：包過濾型和代理型。包過濾型防火墻又可分為靜態(tài)包過濾和狀態(tài)監(jiān)測型防火墻。

1.1靜態(tài)包過濾防火墻靜態(tài)包過濾防火墻工作在OSI模型的網(wǎng)絡(luò)層或TCP/IP協(xié)議模型的IP層，依據(jù)系統(tǒng)事先制定好的規(guī)則，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的端口號、數(shù)據(jù)的對話協(xié)議、數(shù)據(jù)包頭中的各種標(biāo)志位等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點：邏輯簡單，價格便宜，對網(wǎng)絡(luò)性能的影響較小，有較強的透明性。與應(yīng)用層無關(guān)，無須改動任何客戶機和主機上的應(yīng)用程序，易于安裝和使用。包過濾防火墻的缺點為：配置包過濾防火墻，需要對各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題。各種安全要求難以得到充分的滿足。不能防止地址欺騙、及外部客戶與內(nèi)部主機直接連接，不提供用戶鑒別機制。

1.2狀態(tài)包過濾防火墻由于靜態(tài)包過濾防火墻為了實現(xiàn)通信，它必須保持規(guī)則中允許通訊的端口是開放的。這就為攻擊者提供了機會。在狀態(tài)包過濾中它根據(jù)數(shù)據(jù)包的頭信息打開或關(guān)閉端口。狀態(tài)包過濾防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的模塊，叫監(jiān)測模塊。監(jiān)測模塊工作在鏈路層和IP層之間對網(wǎng)絡(luò)通信的各層實施監(jiān)測分析，提取相關(guān)的通信和狀態(tài)信息，并在動態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲和更新。這些表被持續(xù)更新，為下一個通訊提供累積的數(shù)據(jù)。狀態(tài)包過濾防火墻的優(yōu)點：①減少端口開放時間。②支持幾乎所有服務(wù)。狀態(tài)包過濾防火墻的缺點：①允許外部客戶和內(nèi)部主機的直接連接。②不提供用戶鑒別機制。

1.3代理防火墻代理防火墻又分為：①應(yīng)用級網(wǎng)關(guān)防火墻。②電路級網(wǎng)關(guān)防火墻。

1.3.1應(yīng)用級網(wǎng)關(guān)防火墻應(yīng)用級網(wǎng)關(guān)防火墻也稱為應(yīng)用代理服務(wù)器。工作于OSI模型或者TCP/IP模型的應(yīng)用層，用來控制應(yīng)用層服務(wù)，起內(nèi)外網(wǎng)絡(luò)之間申請服務(wù)時的轉(zhuǎn)接作用。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請示，拒絕外部網(wǎng)絡(luò)中其他節(jié)點直接請求。應(yīng)用網(wǎng)關(guān)的優(yōu)點：易于配置，界面友好。不允許外部網(wǎng)絡(luò)中節(jié)點的直接連接?？梢蕴峁┍劝^濾更詳細(xì)的日志記錄，例如在一個HTTP連接中，包過濾只能記錄單個數(shù)據(jù)包，而應(yīng)用網(wǎng)關(guān)還可以記錄文件名、URL等信息?？梢噪[藏內(nèi)部IP地址?？梢越o單個用戶授權(quán)?？梢詾橛脩籼峁┩该鞯募用軝C制?？梢耘c認(rèn)證、授權(quán)等安全手段方便地集成。代理技術(shù)的缺點：①代理速度比包過濾慢。②代理對用戶不透明，給用戶的使用帶來不便，而這種代理技術(shù)需要針對每種協(xié)議設(shè)置一個不同的代理服務(wù)器。

1.3.2電路級網(wǎng)關(guān)防火墻電路級網(wǎng)關(guān)是一個通用代理服務(wù)器，它工作于OSI互聯(lián)模型的會話層或是TCP/IP協(xié)議模型的TCP層，它適用于多個協(xié)議，但它不能識別在同一個協(xié)議棧上運行的不同的應(yīng)用當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的代理模塊，這種代理需要對客戶端進(jìn)行適當(dāng)?shù)男薷摹ｋ娐芳壘W(wǎng)關(guān)接受客戶端的連接請求，代表客戶端完成網(wǎng)絡(luò)連接，對數(shù)據(jù)包起轉(zhuǎn)發(fā)作用，數(shù)據(jù)包被提交給用戶的應(yīng)用層來處理。通過電路級網(wǎng)關(guān)傳遞的數(shù)據(jù)起源于防火墻，隱藏了被保護的網(wǎng)絡(luò)信息。

2安全評估標(biāo)準(zhǔn)

評估是衡量產(chǎn)品安全性的重要手段。安全評估準(zhǔn)則是對其進(jìn)行評價的重要依據(jù)，還具指導(dǎo)安全產(chǎn)品的發(fā)展的職責(zé)。20世紀(jì)80年代，美國國防部基于軍事計算機系統(tǒng)的保密需要，在20世紀(jì)70年代的基礎(chǔ)理論研究的成果“計算機保密模型”的基礎(chǔ)上，制定了“可信任計算機標(biāo)準(zhǔn)評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等方面的一系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。近年來，6國7方(美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、英、加、德、法、荷)共同提出了“信息技術(shù)安全評價通用準(zhǔn)則”(CC for ITSEC)。CC綜合了多個國家的安全標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)的精華，給出了相應(yīng)框架和原則要求。被ISO頒布為國際標(biāo)準(zhǔn)。我國在充分借鑒國際標(biāo)準(zhǔn)制定了自己的安全評估標(biāo)準(zhǔn)《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，該準(zhǔn)則將計算機系統(tǒng)安全保護能力分為五個等級，自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。隨著安全等級和增高而逐漸增強。