摘要：從信息安全的角度出發(fā)，闡述了網(wǎng)絡(luò)安全的重要性，并從防火墻的基本類型著手，論述了防火墻部署原則，又從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)

中圖分類號(hào)：D92 文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1673-291X（2011）18-0117-02

一、概述

21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，中國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

自從1986年美國Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。

防火墻處于五層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上，企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”，則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

安裝防火墻的基本原則是:只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

二、防火墻的基本類型

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

1.包過濾型。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。

2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊的IP地址。

3.代理型。代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

4.監(jiān)測型。監(jiān)測型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。

三、防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，根據(jù)實(shí)際情況選擇也不完全相同，但最重要的是以下幾條:

1.總擁有成本。防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

2.防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

3.管理與培訓(xùn)。管理和培訓(xùn)是評價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到，在計(jì)算防火墻的成本時(shí)，不能只簡單地計(jì)算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

4.可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升，此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提高，用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大了產(chǎn)品覆蓋面。

5.防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實(shí)際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險(xiǎn)的，所以用戶在選擇防火墻產(chǎn)品時(shí)，應(yīng)該盡量選擇占市場份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

參考文獻(xiàn)：

[1]陳偉.寬帶網(wǎng)絡(luò)技術(shù)原理與應(yīng)用[M].武漢:科學(xué)技術(shù)出版社，2006.

[2]計(jì)算機(jī)網(wǎng)絡(luò):第3版[M].熊桂喜，王小虎，譯.北京:清華大學(xué)出版社，2000.

[3]Roger B Marks.The IEEE 802.16 Working Group on Broadband Wireless[EB/OL].

[4]ARTZ.D..The Eternity Service，Proc.First Int’l Conf.On Theory and Appl.of Cryp-tology，CTU Publishhing House，1996.

[5]BROWN，S.:Implementing Virtual Private Networks，New York:McGraw-Hill，1999.

Network Security and Firewall Technology

JIN Li-ming

（School of Electronic Information Engineering，YGXY，Xinyu 338029，China）

Abstract：From the point of view of information security，explained the importance of network security，and proceed from the basic types of firewalls，discussed the deployment of a firewall，the firewall deployment from the position of a detailed explanation of the criteria for selecting a firewall.

Key words：network security；firewall；technology

[責(zé)任編輯 陳鳳雪]