邵學(xué)海

摘要：隨著Internet的應(yīng)用日益普及，針對網(wǎng)絡(luò)的攻擊頻率和密度也在顯著增長，這給網(wǎng)絡(luò)安全帶來了越來越多的安全隱患。我們可以通過很多網(wǎng)絡(luò)工具、設(shè)備和策略來保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外，從而降低了網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

關(guān)鍵詞：防火墻；安全訪問；訪問控制

1概述

TCP／IP通信協(xié)議和Internet最初是面向科研人員的，因此，設(shè)計(jì)此協(xié)議的工作組認(rèn)為用戶和主機(jī)之間互相信任。大家能夠進(jìn)行自由開放的信息交換和共享，不會有人故意進(jìn)行破壞。在這樣的環(huán)境里，使用Internet的人實(shí)際上就是創(chuàng)建Internet的人。隨著時(shí)間的推移。Inter-net變得更加有用和可靠，更多的用戶參與進(jìn)來，人越來越多，風(fēng)險(xiǎn)也越來越大。1988年11月的Internet蠕蟲染指了數(shù)千臺主機(jī)。從那時(shí)起，就不斷有侵犯安全的事件報(bào)道。

如今Internet的安全問題成了人們關(guān)注的焦點(diǎn)，給認(rèn)為Internet已經(jīng)完全勝任商務(wù)活動的過高期望潑了一盆冷水，計(jì)算機(jī)和通信界一片恐慌。

從本質(zhì)上，Internet的安全性可以通過提供以下兩方面的安全服務(wù)來達(dá)到：一是訪問控制服務(wù)，用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用；二是通信安全服務(wù)，用來提供認(rèn)證、數(shù)據(jù)機(jī)要性、完整性和各通信端的不可否認(rèn)性服務(wù)。這兩種服務(wù)的實(shí)現(xiàn)，主要依賴于防火墻技術(shù)和加密技術(shù)。

防火墻的概念實(shí)際上是借用了建筑學(xué)上的一個(gè)術(shù)語。建筑學(xué)中的防火墻是用來防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)上的防火墻是用來防止來自互聯(lián)網(wǎng)的破壞，如黑客攻擊、資源被盜用或文件被篡改等波及內(nèi)部網(wǎng)絡(luò)的危害。

隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段。也有可能來自配置上的低級錯(cuò)誤或不合適的口令選擇。因此，防火墻可以定義如下：它是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)；在開放和封閉的界面上構(gòu)造一個(gè)保護(hù)層，屬于內(nèi)部范圍的業(yè)務(wù)，依照協(xié)議在授權(quán)許可下進(jìn)行；外部對內(nèi)部網(wǎng)絡(luò)的訪問受到的限制。

防火墻的設(shè)計(jì)包括以下兩方面原則：

(1)過濾不安全服務(wù)

基于這個(gè)準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對希望提供的安全服務(wù)逐項(xiàng)開放，對不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個(gè)準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照IP地址對未經(jīng)授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。

總之，防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問；要使一個(gè)防火墻有效，所有來自和通向外界的信息都必須經(jīng)過防火墻，接受防火墻的檢查；防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。

2防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類：代理型和包過濾型。代理型防火墻又包括電路級網(wǎng)關(guān)防火墻和應(yīng)用級網(wǎng)關(guān)防火墻。包過濾防火墻又可以分為靜態(tài)包過濾型和狀態(tài)監(jiān)測型防火墻。

(1)電路級網(wǎng)關(guān)防火墻

它是一個(gè)通用代理服務(wù)器，它工作于OSI互聯(lián)模型的會話層或是TCP／JP協(xié)議的TOP層。它適用于多個(gè)協(xié)議，但不能識別在同一個(gè)協(xié)議棧上運(yùn)行的不同的應(yīng)用，當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的代理模塊，但這種代理對客戶端做適當(dāng)修改。它接受客戶端的請求。代理客戶端完成網(wǎng)絡(luò)連接。通過電路級網(wǎng)關(guān)的傳遞的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護(hù)網(wǎng)絡(luò)的信息。

(2)應(yīng)用級網(wǎng)關(guān)防火墻

通常也稱為應(yīng)用代理服務(wù)器。它工作于OSI模型的應(yīng)用層。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時(shí)起到轉(zhuǎn)接作用。

其工作過程為：首先，它對該用戶的身份進(jìn)行驗(yàn)證。若為合法用戶，則把請求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)，同時(shí)監(jiān)控用戶的操作，拒絕不合法的訪問。當(dāng)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時(shí)，代理服務(wù)器的工作過程剛好相反。應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過濾更詳細(xì)的日志記錄。

(3)靜態(tài)包過濾防火墻

在網(wǎng)絡(luò)層對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略進(jìn)行篩選，允許授權(quán)信息通過，拒絕非授權(quán)信息。信息過濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎(chǔ)。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。路由器起著一夫當(dāng)關(guān)的作用。因此，包過濾型防火墻一般通過路由器實(shí)現(xiàn)，因而也稱為包過濾路由器。

包過濾型防火墻的優(yōu)點(diǎn)是邏輯簡單，實(shí)施費(fèi)用低廉，對網(wǎng)絡(luò)的影響較小，有較強(qiáng)的透明性。并且它的工作與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)上的應(yīng)用程序。易于安裝和使用。其弱點(diǎn)是：配置基于包過濾方式的防火墻。需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題：不提供用戶的鑒別機(jī)制。

(4)狀態(tài)監(jiān)測型防火墻

就是對包過濾技術(shù)的增強(qiáng)。這種防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)測模塊。它工作在鏈路層和網(wǎng)絡(luò)層之間，對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測分析，提取相關(guān)的通信和狀態(tài)信息，并在動態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲和更新，這些表被持續(xù)更新，為下一個(gè)通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個(gè)優(yōu)點(diǎn)是：能夠提供對基于無連接的協(xié)議的應(yīng)用(如DNS)及基于端口動態(tài)分配的協(xié)議的應(yīng)用(如NFS)的安全支持，靜態(tài)的包過濾和代理網(wǎng)關(guān)都不支持此類應(yīng)用?？傊?，這類防火墻減少了端口的開放時(shí)間，提供了對幾乎所有服務(wù)的支持，缺點(diǎn)是它也允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。

另外，新近推出的自適應(yīng)代理(Adaptive Proxy)防火墻技術(shù)。本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)。組成這種類型防火墻的基本要素有兩個(gè)：動態(tài)包過濾器與自適應(yīng)代理服務(wù)器。它結(jié)合了代理服務(wù)防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。

3防火墻配置的實(shí)現(xiàn)

(1)雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一臺特殊主機(jī)來實(shí)現(xiàn)。這臺主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口：一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，故被稱為雙宿主主機(jī)，也成為雙宿主網(wǎng)關(guān)。防火墻不使用包過濾規(guī)則，而是通過在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置這個(gè)網(wǎng)關(guān)(雙宿主網(wǎng)關(guān))，隔斷IP層之間的直接傳輸。被保護(hù)網(wǎng)絡(luò)中的主機(jī)與該網(wǎng)關(guān)可以通信，外部網(wǎng)絡(luò)中主機(jī)也能與該網(wǎng)關(guān)通信。但是兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信，兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實(shí)現(xiàn)，其配置實(shí)現(xiàn)如圖1所示。

(2)屏蔽主機(jī)防火墻

屏蔽主機(jī)防火墻由一臺過濾路由器和一臺堡壘主機(jī)組成，其配置實(shí)現(xiàn)如圖2所示。在這種配置中，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上進(jìn)行安裝。使得外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī)，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其他主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí)，也必須首先到達(dá)堡壘主機(jī)，由該堡壘主機(jī)來決定是否允許訪問外部網(wǎng)絡(luò)。這樣，堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。

堡壘主機(jī)是運(yùn)行代理軟件的計(jì)算機(jī)。它暴露在被保護(hù)的網(wǎng)絡(luò)之外，入侵者如果穿透了過濾路由器，必須首先把該主機(jī)攻克。才能夠進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

(3)屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻是目前流行的一種結(jié)構(gòu)，其配置實(shí)現(xiàn)如圖3所示。采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”，有時(shí)也稱作周邊網(wǎng)，用于放置堡壘主機(jī)、WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過子網(wǎng)通信。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護(hù)。

屏蔽子網(wǎng)防火墻的主要優(yōu)點(diǎn)是它又提供了一層保護(hù)。一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān)，這比起屏蔽主機(jī)防火墻來要困難得多。

4結(jié)束語

防火墻是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、國際標(biāo)準(zhǔn)化組織(ISO)的安全規(guī)范以及安全操作系統(tǒng)等方面。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界點(diǎn)上。在實(shí)際的應(yīng)用中，如果認(rèn)為單純地采用防火墻后網(wǎng)絡(luò)將變得絕對安全。將是很幼稚的。Internet防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它更是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。