玄文啟 云南財(cái)經(jīng)大學(xué)信息學(xué)院 650221

基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)及實(shí)現(xiàn)

玄文啟 云南財(cái)經(jīng)大學(xué)信息學(xué)院 650221

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，特別是隨著Internet技術(shù)的飛速發(fā)展，基于計(jì)算機(jī)網(wǎng)絡(luò)的安全問題已成了人們?nèi)遮呹P(guān)注的焦點(diǎn)。如何能更好地建立安全防線，確保信息傳輸安全，防火墻已成為人們?cè)谟?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)中所研究的重要問題之一。

1 、前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，人們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計(jì)算機(jī)系統(tǒng)來存儲(chǔ)和處理，可以說，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)滲透到人們?nèi)粘Ｉ畹母鱾€(gè)方面，并對(duì)社會(huì)各個(gè)領(lǐng)域產(chǎn)生了重要影響。

然而，由于網(wǎng)絡(luò)自身的開放特性越來越突出，這使互聯(lián)網(wǎng)上的信息共享與信息安全之間的矛盾也顯得越來越尖銳。在復(fù)雜的計(jì)算機(jī)環(huán)境中存在大量的各種威脅，如何能更好地建立安全防線，確保信息傳輸安全，防火墻已成為人們?cè)谟?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)中所研究的重要問題之一。

2 、防火墻的基本原理

防火墻（如圖1）是設(shè)置在不同網(wǎng)絡(luò)或者不同網(wǎng)絡(luò)安全域之間的一系列控制裝置（包括軟件和硬件）的組合。它是控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息和數(shù)據(jù)的唯一出入口，它能夠根據(jù)網(wǎng)絡(luò)管理人員制定的網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的各種數(shù)據(jù)信息流，從而對(duì)所受保護(hù)的網(wǎng)絡(luò)提供信息安全服務(wù)。它還能有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)，對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。

3 、常見的防火墻技術(shù)及實(shí)現(xiàn)

防火墻從原理上主要有三種技術(shù)：包過濾(PacketFiltering)技術(shù)、代理服務(wù)(ProxyService)技術(shù)和狀態(tài)檢測(cè)(StateInspection)技術(shù)。

（1）、包過濾(PacketFiltering)技術(shù)：在基于TCP/IP 協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)上，所有網(wǎng)絡(luò)上的計(jì)算機(jī)都是用IP 地址來唯一地標(biāo)識(shí)其在網(wǎng)絡(luò)中的位置的，而所有來往于計(jì)算機(jī)之間的信息都是以一定格式的數(shù)據(jù)包的形式傳輸?shù)模瑪?shù)據(jù)包中包含了標(biāo)識(shí)發(fā)送者位置的 IP 地址、端口號(hào)和接受者位置的 IP 地址、端口號(hào)等地址信息。當(dāng)這些數(shù)據(jù)包被送上計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，路由器會(huì)讀取數(shù)據(jù)包中接受者的 IP地址，并根據(jù)這一 IP 地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去，當(dāng)所有的數(shù)據(jù)包都到達(dá)目的主機(jī)之后再被重新組裝還原。

所以，在計(jì)算機(jī)網(wǎng)絡(luò)的安全控制中，包過濾防火墻首先會(huì)檢查所有通過它的數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的 IP 包頭信息，然后按照網(wǎng)絡(luò)管理員所設(shè)定的過濾規(guī)則進(jìn)行過濾。如果對(duì)防火墻設(shè)定某一IP 地址的站點(diǎn)為不適宜的話，那么所有從這個(gè)地址傳輸過來的數(shù)據(jù)包都會(huì)被過濾掉。

（2）、代理服務(wù)(ProxyService)技術(shù)：代理實(shí)際是設(shè)置在Internet防火墻網(wǎng)關(guān)上有特殊功能的應(yīng)用層代碼，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，還可應(yīng)用于實(shí)施數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。在應(yīng)用層，提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其他接點(diǎn)的直接請(qǐng)求。

代理的工作原理比較簡(jiǎn)單。首先是用戶與代理服務(wù)器建立連接，然后將目的站點(diǎn)告知代理，對(duì)于合法的請(qǐng)求，代理以自己的身份(應(yīng)用層網(wǎng)關(guān))與目的站點(diǎn)建立連接，然后代理在這兩個(gè)連接中轉(zhuǎn)發(fā)數(shù)據(jù)。其主要特點(diǎn)是有狀態(tài)性，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，能提供全部的審計(jì)和日志功能,能隱藏內(nèi)部IP地址，能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略。它針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)代理模塊，管理員可以根據(jù)自己的需要安裝相應(yīng)的代理。一般加一條新規(guī)則，而不需要在代理技術(shù)中那樣還要編寫應(yīng)用轉(zhuǎn)換程序，因而具有很好的可伸縮性和擴(kuò)展性。應(yīng)用范圍廣：狀態(tài)檢測(cè)不僅支持TCP應(yīng)用，而且支持其它基于無連接協(xié)議的應(yīng)用，如RPC基于UDP應(yīng)用 (如NS、WAIS、ARCHIE)等。

（3）狀態(tài)檢測(cè)(State Inspection)技術(shù)：狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過濾，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)(狀態(tài)信息)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，并動(dòng)態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。但其配置非常復(fù)雜，而且會(huì)降低網(wǎng)絡(luò)的速度。

4 、防火墻技術(shù)的實(shí)現(xiàn)過程

從防火墻的防護(hù)實(shí)現(xiàn)中，主要應(yīng)用以下技術(shù)：

（1）、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)：NAT現(xiàn)在已成為防火墻的主要技術(shù)之一。通過此項(xiàng)功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對(duì)內(nèi)部網(wǎng)絡(luò)用戶起到了保護(hù)作用。NAT又分“SNAT(Source NAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)是屏蔽的，使得外部非法用戶對(duì)內(nèi)部主機(jī)的攻擊更加困難。而DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng)絡(luò)主機(jī)發(fā)出通訊連接時(shí)，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信，這樣就有效地保護(hù)了內(nèi)部主機(jī)的信息安全。

（2）、加密技術(shù)：加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰匙，這種加密方法可簡(jiǎn)化加密處理過程。在非對(duì)稱加密體系中，密鑰被分解為一對(duì)(即公開密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密?，F(xiàn)在許多種類的防火墻產(chǎn)品都采用了加密技術(shù)來保證信息的安全。

（3）、多級(jí)的過濾技術(shù)：防火墻采用分組、應(yīng)用網(wǎng)關(guān)和電路網(wǎng)關(guān)的三級(jí)過濾措施來實(shí)現(xiàn)其功能。在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的執(zhí)行嚴(yán)格控制。

5 、未來防火墻技術(shù)發(fā)展趨勢(shì)

計(jì)算機(jī)網(wǎng)絡(luò)的安全是一個(gè)動(dòng)態(tài)管理的過程，而對(duì)于入侵行為的預(yù)見和智能切斷，作為網(wǎng)絡(luò)邊界安全設(shè)備的防火墻來說，也是未來發(fā)展的一大技術(shù)課題，從技術(shù)實(shí)現(xiàn)而言，隨著網(wǎng)絡(luò)處理器和ASIC芯片技術(shù)的不斷革新，如何能實(shí)現(xiàn)高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度，并對(duì)入侵行為智能切斷以及增強(qiáng)抗攻擊能力的防火墻，將是未來防火墻技術(shù)發(fā)展的重要趨勢(shì)。

[1]安葳鵬等.網(wǎng)絡(luò)信息安全.清華大學(xué)出版社.2010.6.

[2]熊平.信息安全原理及應(yīng)用.清華大學(xué)出版社.2010.8.

[3]曾慶凱.信息安全體系結(jié)構(gòu).電子工業(yè)出版社.2010.8.

玄文啟，男，1971年4月生，云南嵩明人，云南財(cái)經(jīng)大學(xué)副教授，碩士，主要從事計(jì)算機(jī)應(yīng)用技術(shù)研究。

10.3969/j.issn.1001-8972.2010.20.046

計(jì)算機(jī)網(wǎng)絡(luò)；防火墻技術(shù)