宋穎

（大慶地質(zhì)錄井一公司資料解釋評價中心，黑龍江 大慶 163411）

1 防火墻的基本概念

防火墻是在一個被認為是安全和可信的內(nèi)部網(wǎng)和一個被認為不那么安全和可信的外部網(wǎng)（如Internet）之間提供的一個由軟件和硬件設備共同組成的安全防御工具。它是不同網(wǎng)絡（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕 、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

2 防火墻的主要功能

2.1動態(tài)包過濾技術。根據(jù)所設置的安全規(guī)則動態(tài)維護通過防火墻的所有通信的狀態(tài)（連接），基于連接的過濾；

2.2部署NAT（Network Address Translation，網(wǎng)絡地址變換）。防火墻是部署NAT的理想位置，利用NAT技術，將有限的公有IP地址動態(tài)或靜態(tài)地與內(nèi)部的私有IP地址進行映射，用以保護內(nèi)部網(wǎng)絡并可以緩解互聯(lián)網(wǎng)地址空間短缺的問題；

2.3控制不安全的服務。通過設置信任域與不信任域之間數(shù)據(jù)出入的策略，一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。還可以可以定義規(guī)則計劃，使得系統(tǒng)在某一時可以自動啟用和關閉策略；

2.4集中的安全保護。通過以防火墻為中心的安全方案配置，一個子網(wǎng)的所有或大部分需要改動的軟件以及附加的安全軟件（如口令、加密、身份認證、審計等）能集中地放在防火墻系統(tǒng)中。這與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。

2.5加強對網(wǎng)絡系統(tǒng)的訪問控制。一個防火墻的主要功能是對整個網(wǎng)絡的訪問控制。比如防火墻設置內(nèi)部用戶對外部網(wǎng)絡特殊站點的訪問策略，也可以針對可以屏蔽部分主機的特定服務，使得外部網(wǎng)絡可以訪問該主機的其它服務（如WWW服務），但無法訪問該主機的特定服務（如Telnet服務）。

2.6網(wǎng)絡連接的日志記錄及使用統(tǒng)計。防火墻系統(tǒng)能提供符合規(guī)則報文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的日志記錄。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡使用情況作出統(tǒng)計。通過對統(tǒng)計結(jié)果的分析,可以使得網(wǎng)絡資源到更好的使用。

2.7報警功能。如具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)送郵件通知網(wǎng)絡管理員

3 防火墻的基本構件和技術

3.1 篩選路由器

許多路由器產(chǎn)品都具有根據(jù)給定規(guī)則對報文分組進行篩選的功能，這些規(guī)則包括協(xié)議的類型、特定協(xié)議類型的源地址和目的地址字段以及作為協(xié)議一部分的控制字段。例如在常用的Cisco路由器上就具有這種對報文分組進行篩選的功能，這種路由器被稱為篩選路由器.最早的Cisco路由器只能根據(jù)IP數(shù)據(jù)報頭部內(nèi)容進行過濾，而目前的產(chǎn)品還可以根據(jù)TCP端口及連接建立的情況進行過濾,而且在過濾語法上也有了一定改進。

篩選路由器提供了一種強有力的機制，可用于控制任何網(wǎng)絡段上的通信業(yè)務類型。而通過控制一個網(wǎng)絡段上的通信業(yè)務類型，篩選路由器可以控制該網(wǎng)絡段上網(wǎng)絡服務的類型，從而可以限制對網(wǎng)絡安全有害的服務。篩選路由器可以根據(jù)協(xié)議類型和報文分組中有關協(xié)議字段的值來區(qū)別不同的網(wǎng)絡通信業(yè)務。路由器根據(jù)與協(xié)議相關的準則來區(qū)別和限制通過其端口的報文分組的能力被稱為報文分組過濾。因此，篩選路由器又稱為分組過濾路由器。

3.2 分組過濾技術

篩選路由器可以采用分組過濾功能以增強網(wǎng)絡的安全性。篩選功能也可以由許多商業(yè)防火墻產(chǎn)品和一些類似于Karlbridge的基于純軟件的產(chǎn)品來實現(xiàn)。但是，許多商業(yè)路由器產(chǎn)品都可以被編程以用來執(zhí)行分組過濾功能。許多路由器廠商，象 Cisco、Bay Networks、3COM、DEC、IBM等，他們的路由器產(chǎn)品都可以用來通過編程實現(xiàn)分組過濾功能。

3.2.1分組過濾

分組過濾可以用來實現(xiàn)許多種網(wǎng)絡安全策略。網(wǎng)絡安全策略必須明確描述被保護的資源和服務的類型、重要程度和防范對象。

3.2.2網(wǎng)絡安全策略

通常，網(wǎng)絡安全策略主要用于防止外來的入侵，而不是監(jiān)控內(nèi)部用戶。例如，阻止外來者入侵內(nèi)部網(wǎng)絡，對一些敏感數(shù)據(jù)進行存取和破壞網(wǎng)絡服務是更為重要的。這種類型的網(wǎng)絡安全策略決定了篩選路由器將被置于何處，以及如何進行編程用來執(zhí)行分組過濾。良好的網(wǎng)絡安全的實現(xiàn)同時也應該使內(nèi)部用戶難以妨害網(wǎng)絡安全，但這通常不是網(wǎng)絡安全工作的重點。

網(wǎng)絡安全策略的一個主要目標是向用戶提供透明的網(wǎng)絡服務機制。由于分組過濾執(zhí)行在OSI模型的網(wǎng)絡層和傳輸層，而不是在應用層，所以這種途徑通常比防火墻產(chǎn)品提供更強的透明性。我們曾經(jīng)提到防火墻在OSI模型應用層上運行，在這個層次實現(xiàn)的安全措施通常都不夠透明。在許多實際情況下，一般都只采用簡單模型來實現(xiàn)網(wǎng)絡安全策略。在這個模型中只有兩個網(wǎng)段與過濾裝置相連，典型的情況是一個網(wǎng)段連向外部網(wǎng)絡，另一個連向內(nèi)部網(wǎng)絡。通過分組過濾來限制請求被拒絕服務的網(wǎng)絡通信流。由于分組過濾規(guī)則的設計原則是有利于內(nèi)部網(wǎng)絡連向外部網(wǎng)絡，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。換句話說，分組過濾器是不對稱的。

3.3 代理服務和應用層網(wǎng)關

代理服務使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經(jīng)過修改)，與特定的中間結(jié)點連接，然后中間結(jié)點與期望的服務器進行實際連接。與分組過濾器所不同的是，使用這類防火墻時外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間不存在直接連接。因此，即使防火墻發(fā)生了問題，外部網(wǎng)絡也無法與被保護的網(wǎng)絡連接。

代理服務通常由兩個部分構成：代理服務器程序和客戶程序。 相當多的代理服務器要求使用固定的客戶程序。例如SOCKS要求適應SICKS的客戶程序。如果網(wǎng)絡管理員不能改變所有的代理服務器和客戶程序，系統(tǒng)就不能正常工作。代理使網(wǎng)絡管理員有了更大的能力改善網(wǎng)絡的安全特性。然而，它也給軟件開發(fā)者、網(wǎng)絡系統(tǒng)員和最終用戶帶來了很大的不便，這就是使用代理的代價。也有一些標準的客戶程序可以利用代理服務器通過防火墻運行，如mail、FTP 和 telnet等。

應用層網(wǎng)關可以處理存儲轉(zhuǎn)發(fā)通信業(yè)務，也可以處理交互式通信業(yè)務。通過適當?shù)某绦蛟O計，應用層網(wǎng)關可以理解在用戶應用層(OSI模型第七層)的通信業(yè)務。這樣便可以在用戶層或應用層提供訪問控制，并且可以用來對各種應用程序的使用情況維持一個智能性的日志文件。能夠記錄和控制所有進出通信業(yè)務，是采用應用層網(wǎng)關的主要優(yōu)點。在需要時，在網(wǎng)關本身中還可以增加額外的安全措施。

為了使用應用層網(wǎng)關，用戶或者在應用層網(wǎng)關上登錄請求，或者在本地機器上使用一個為該服務特別編制的程序代碼。每個針對特定應用的網(wǎng)關模塊都有自己的一套管理工具和命令語言。

3.4 堡壘主機及其應用

堡壘主機指的是任何對網(wǎng)絡安全至關重要的防火墻主機。堡壘主機是一個組織機構網(wǎng)絡安全的中心主機。因為堡壘主機對網(wǎng)絡安全至關重要，對它必須進行完善的防御。這就是說，堡壘主機是由網(wǎng)絡管理員嚴密監(jiān)視的。堡壘主機軟件和系統(tǒng)的安全情況應該定期地進行審查。對訪問記錄應進行查看，以發(fā)現(xiàn)潛在的安全漏洞和對堡壘主機的試探性攻擊。

4 總結(jié)

隨著Internet在我國的迅速發(fā)展，防火墻技術引起了各方面的廣泛關注。一個好的防火墻應該具有高度安全性、高透明性和高網(wǎng)絡性能。這對推動Internet在我國的健康發(fā)展有著重要的意義。

[1]郭維來,董軍.防火墻與入侵檢測技術[J].信息技術，2003年03期.

[2]李蓉.簡析信息安全[J].情報雜志，1997年06期.