路　云

摘要：自從1986年美國(guó)Digital公司在Intemet上安裝了全球第一個(gè)商用防火墻系統(tǒng)、提出防火墻的概念以來(lái)，防火墻技術(shù)得到了飛速的發(fā)展。本文首先介紹了防火墻的作用，然后詳細(xì)介紹了防火墻技術(shù)的發(fā)展趨勢(shì)。

關(guān)鍵詞：防火墻技術(shù) 作用 發(fā)展

“防火墻”是一個(gè)通用術(shù)語(yǔ)，是指在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。防火墻通常是由軟件系統(tǒng)和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建起安全的保護(hù)屏障。

一、防火墻的作用

一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑工作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。

除了安全作用，防火墻還支持具有Intemet服務(wù)特性的企業(yè)內(nèi)部技術(shù)體系VPN，通過(guò)VPN，將企事業(yè)單位在地域上分布在世界各地的LAN或?qū)Ｓ米泳W(wǎng)有機(jī)地聯(lián)成一個(gè)整體，不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

二、防火墻技術(shù)的發(fā)展趨勢(shì)

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，新一代防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從防火墻體系結(jié)構(gòu)、包過(guò)濾技術(shù)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。

1、防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的加強(qiáng)，對(duì)網(wǎng)絡(luò)寬帶提出了更高的要球。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。

2、防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(l)使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少企業(yè)的損失。

(2)多級(jí)過(guò)濾技術(shù)。所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Iniemet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

3、防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì)，主要體現(xiàn)在以下幾個(gè)方面:

(l)首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來(lái)的趨勢(shì)。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性?？焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco(思科)、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)并成功，也就是目前所稱的“分布式防火墻:和“嵌入式防火墻”。

(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早的發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還讓可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，對(duì)及時(shí)地調(diào)整安全策略等方面管理具有非常大的幫助。不過(guò)具有這種功能的防火墻通常是比較高級(jí)的，早期的靜態(tài)包過(guò)濾防火墻是不具有的。

(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化。通過(guò)建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來(lái)入侵?！?/p>

參考文獻(xiàn)：

[1] 張連銀. 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]. 科技資訊, 2007, (09) .

[2] 孔令峰. 防火墻技術(shù)的發(fā)展[J]. 常州信息職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2005, (01) .