1.引言

網(wǎng)絡(luò)安全是一個(gè)不容忽視的問題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。

2.防火墻的定義

Internet防火墻是一個(gè)或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。

防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)連接的點(diǎn)上。Internet防火墻是由路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。安全策略應(yīng)告訴用戶應(yīng)有對(duì)的責(zé)任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及雇員培訓(xùn)等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

防火墻系統(tǒng)可以是路由器，也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng)，用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)或網(wǎng)點(diǎn)與Internet的連接處，但是防火墻系統(tǒng)也可以位于等級(jí)較低的網(wǎng)關(guān)，以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。

防火墻的局限性：

1）不能防范惡意的知情者；

2）不能防范不通過它的連接；

3）不能防范全部的威脅；

4）不能防范病毒。

由此可見，要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實(shí)際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用。

3.防火墻的技術(shù)原理

3.1 包過濾技術(shù)

包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包：源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡單便于安裝和使用。

缺點(diǎn)：

1）過濾規(guī)則難以配置和測試；

2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力；

3）對(duì)一些協(xié)議，如UDP和RPC難以有效的過濾。

3.2 代理技術(shù)

代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信，但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后，會(huì)檢查用戶請(qǐng)求合法性。若合法，則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。

優(yōu)點(diǎn)：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)。

缺點(diǎn)：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。

3.3 狀態(tài)監(jiān)視技術(shù)

這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號(hào)以及TCP標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。

圖1 包過濾防火墻

圖2 雙宿主主機(jī)防火墻

圖3 屏蔽主機(jī)網(wǎng)關(guān)防火墻

圖4 屏蔽子網(wǎng)防火墻

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對(duì)各層進(jìn)行監(jiān)測，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對(duì)用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。

4.防火墻的體系結(jié)構(gòu)

4.1 包過濾防火墻

包過濾防火墻也稱作過濾過濾路由器，它是最基本、最簡單的一種防火墻，可以在一般的路由器上實(shí)現(xiàn)，也可以在基于主機(jī)的路由器上實(shí)現(xiàn)。配置圖如圖1所示。

內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器，路由器審查每個(gè)數(shù)據(jù)包，根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。

優(yōu)點(diǎn)：

1）易實(shí)現(xiàn)；

2）不要求運(yùn)行的應(yīng)用程序做任何改動(dòng)或安裝特定的軟件，也無需對(duì)用戶進(jìn)行特定的培訓(xùn)。

缺點(diǎn)：

1）依賴一個(gè)單一的設(shè)備來保護(hù)系統(tǒng)，一旦該設(shè)備（過濾路由器）發(fā)生故障，則網(wǎng)絡(luò)門戶開放；

2）很少或沒有日志記錄能力，當(dāng)網(wǎng)絡(luò)被入侵時(shí)，無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網(wǎng)絡(luò)。

4.2 雙宿主主機(jī)防火墻

這種防火墻系統(tǒng)由一種特殊的主機(jī)來實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口，一端接外部網(wǎng)絡(luò)，一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò)，并運(yùn)行代理服務(wù)器，故被稱為雙宿主主機(jī)防火墻。它不使用包過濾規(guī)則，而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān)，隔斷IP層之間的直接傳輸。兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信，兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。如圖2所示。

優(yōu)點(diǎn)：

1）網(wǎng)關(guān)將被保護(hù)的網(wǎng)絡(luò)與外界完全隔離開；

2）提供日志，有助于發(fā)現(xiàn)入侵；

3）內(nèi)部網(wǎng)絡(luò)的名字和IP地址對(duì)外界來說是不可見的。

缺點(diǎn)：代理服務(wù)，代理服務(wù)器必須為每種應(yīng)用專門設(shè)計(jì)，所有的服務(wù)依賴于網(wǎng)關(guān)提供的在某些要求靈活的場合不太適用。

4.3 屏蔽主機(jī)網(wǎng)關(guān)防火墻

它由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置下，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī)，而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí)，必須先到堡壘主機(jī)，由該堡壘主機(jī)決定是否允許訪問外部網(wǎng)絡(luò)。這樣堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。如圖3所示。

優(yōu)點(diǎn)：

1）配置更為靈活，它可以通過配置過濾路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的其它站點(diǎn)而不是堡壘主機(jī)；

2）包過濾路由器的規(guī)則較簡單。

缺點(diǎn)：一旦堡壘主機(jī)被攻破，內(nèi)部網(wǎng)絡(luò)將完全暴露。

4.4 屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器，如圖4所示。

在屏蔽主機(jī)網(wǎng)關(guān)防火墻中，堡壘主機(jī)最易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的，入侵者只要破壞了這一層的保護(hù)，那么入侵也就成功了。屏蔽子網(wǎng)防火墻被憑就是在被屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器的安全機(jī)制，這臺(tái)路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng)，從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。用子網(wǎng)來隔離堡壘主機(jī)與內(nèi)部網(wǎng)，就能減輕入侵者沖開堡壘主機(jī)后而給內(nèi)部網(wǎng)帶來的沖擊力。

優(yōu)點(diǎn)：提供多層保護(hù)，一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān)，是目前最為安全的防火墻系統(tǒng)。

缺點(diǎn)：

1）價(jià)格較貴；

2）整個(gè)系統(tǒng)的配置較為困難。

該防火墻適合大、中型企業(yè)，以及對(duì)安全性要求高的單位。

[1]陳莉.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國科技信息,2005(23):25.

[2]張景田.計(jì)算機(jī)網(wǎng)絡(luò)安全技淺析[J].統(tǒng)計(jì)與查詢,2005(4):31.

[3]史忠植.高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.

[4]張漢文.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范問題初探[J].信息安全與通信保密,2005(10):40.

[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

[6]John Viega,Gary McGraw,構(gòu)建安全的軟件[M].鐘向群,王鵬譯清華大學(xué)出版社,2003,04.