1.引言

網絡安全是一個不容忽視的問題，當人們在享受網絡帶來的方便與快捷的同時，也要時時面對網絡開放帶來的數據安全方面的新挑戰(zhàn)和新危險。為了保障網絡安全，當園區(qū)網與外部網連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網絡進行攻擊，非法訪問，并提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術。它通過監(jiān)測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況、阻止外部網絡中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網絡的安全運行。

2.防火墻的定義

Internet防火墻是一個或一組系統(tǒng)，它能增強機構內部網絡的安全性，用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取，防火墻系統(tǒng)還決定了哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的服務，以及哪些外部服務何時可以被內部人員訪問。

防火墻作為內部網與外部網之間的一種訪問控制設備，常常安裝在內部網和外部網連接的點上。Internet防火墻是由路由器、堡壘主機、或任何提供網絡安全的設備的組合，是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源。安全策略應告訴用戶應有對的責任，公司規(guī)定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。

防火墻系統(tǒng)可以是路由器，也可以是個人主機、主系統(tǒng)和一批主系統(tǒng)，用于把網絡或子網同那些可能被子網外的主系統(tǒng)濫用的協(xié)議和服務隔絕。防火墻系統(tǒng)通常位于等級較高的網關或網點與Internet的連接處，但是防火墻系統(tǒng)也可以位于等級較低的網關，以便為某些數量較少的主系統(tǒng)或子網提供保護。

防火墻的局限性：

1）不能防范惡意的知情者；

2）不能防范不通過它的連接；

3）不能防范全部的威脅；

4）不能防范病毒。

由此可見，要想建立一個真正行之有效的安全的計算機網絡，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如加密技術、防病毒技術等綜合應用。

3.防火墻的技術原理

3.1 包過濾技術

包過濾技術是一種基于網絡層的防火墻技術。根據設置好的過濾規(guī)則，通過檢查IP數據包來確定是否該數據包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網絡系統(tǒng)的安全。該技術通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術，其最大優(yōu)點就是價格便宜，實現邏輯簡單便于安裝和使用。

缺點：

1）過濾規(guī)則難以配置和測試；

2）包過濾只訪問網絡層和傳輸層的信息，訪問信息有限，對網絡更高協(xié)議層的信息無理解能力；

3）對一些協(xié)議，如UDP和RPC難以有效的過濾。

3.2 代理技術

代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”，兩邊的網絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器，它運行在兩個網絡之間，對網絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉發(fā)到真實的服務器上，并將答復再轉發(fā)給用戶。代理服務器是針對某種應用服務而寫的，工作在應用層。

優(yōu)點：它將內部用戶和外界隔離開來，使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比，代理技術是一種更安全的技術。

缺點：在應用支持方面存在不足，執(zhí)行速度較慢。

3.3 狀態(tài)監(jiān)視技術

這是第三代防火墻技術，集成了前兩者的優(yōu)點。能對網絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過己知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

圖1 包過濾防火墻

圖2 雙宿主主機防火墻

圖3 屏蔽主機網關防火墻

圖4 屏蔽子網防火墻

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現應用和服務的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現網絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數據，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。

4.防火墻的體系結構

4.1 包過濾防火墻

包過濾防火墻也稱作過濾過濾路由器，它是最基本、最簡單的一種防火墻，可以在一般的路由器上實現，也可以在基于主機的路由器上實現。配置圖如圖1所示。

內部網絡的所有出入都必須通過過濾路由器，路由器審查每個數據包，根據過濾規(guī)則決定允許或拒絕數據包。

優(yōu)點：

1）易實現；

2）不要求運行的應用程序做任何改動或安裝特定的軟件，也無需對用戶進行特定的培訓。

缺點：

1）依賴一個單一的設備來保護系統(tǒng)，一旦該設備（過濾路由器）發(fā)生故障，則網絡門戶開放；

2）很少或沒有日志記錄能力，當網絡被入侵時，無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網絡。

4.2 雙宿主主機防火墻

這種防火墻系統(tǒng)由一種特殊的主機來實現。這臺主機擁有兩個不同的網絡接口，一端接外部網絡，一端接需要保護的內部網絡，并運行代理服務器，故被稱為雙宿主主機防火墻。它不使用包過濾規(guī)則，而是在外部網絡和被保護的內部網絡之間設置一個網關，隔斷IP層之間的直接傳輸。兩個網絡中的主機不能直接通信，兩個網絡之間的通信通過應用層數據共享或應用層代理服務來實現。如圖2所示。

優(yōu)點：

1）網關將被保護的網絡與外界完全隔離開；

2）提供日志，有助于發(fā)現入侵；

3）內部網絡的名字和IP地址對外界來說是不可見的。

缺點：代理服務，代理服務器必須為每種應用專門設計，所有的服務依賴于網關提供的在某些要求靈活的場合不太適用。

4.3 屏蔽主機網關防火墻

它由一臺過濾路由器和一臺堡壘主機組成。在這種配置下，堡壘主機配置在內部網絡上，過濾路由器則放置在內部網路和外部網絡之間。外部網絡的主機只能訪問該堡壘主機，而不能直接訪問內部網絡的其它主機。內部網絡在向外通信時，必須先到堡壘主機，由該堡壘主機決定是否允許訪問外部網絡。這樣堡壘主機成為內部網絡與外部網絡通信的唯一通道。如圖3所示。

優(yōu)點：

1）配置更為靈活，它可以通過配置過濾路由器將某些通信直接傳到內部網絡的其它站點而不是堡壘主機；

2）包過濾路由器的規(guī)則較簡單。

缺點：一旦堡壘主機被攻破，內部網絡將完全暴露。

4.4 屏蔽子網防火墻

屏蔽子網防火墻在屏蔽主機網關防火墻的配置上加上另一個包過濾路由器，如圖4所示。

在屏蔽主機網關防火墻中，堡壘主機最易受到攻擊。而且內部網對堡壘主機是完全公開的，入侵者只要破壞了這一層的保護，那么入侵也就成功了。屏蔽子網防火墻被憑就是在被屏蔽主機結構中再增加一臺路由器的安全機制，這臺路由器的意義就在于它能夠在內部網和外部網之間構筑出一個安全子網，從而使得內部網與外部網之間有兩層隔斷。用子網來隔離堡壘主機與內部網，就能減輕入侵者沖開堡壘主機后而給內部網帶來的沖擊力。

優(yōu)點：提供多層保護，一個入侵者必須通過兩個路由器和一個應用網關，是目前最為安全的防火墻系統(tǒng)。

缺點：

1）價格較貴；

2）整個系統(tǒng)的配置較為困難。

該防火墻適合大、中型企業(yè)，以及對安全性要求高的單位。

[1]陳莉.計算機網絡安全與防火墻技術研究[J].中國科技信息,2005(23):25.

[2]張景田.計算機網絡安全技淺析[J].統(tǒng)計與查詢,2005(4):31.

[3]史忠植.高級計算機網絡[M].北京:電子工業(yè)出版社,2002.

[4]張漢文.計算機網絡安全與防范問題初探[J].信息安全與通信保密,2005(10):40.

[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

[6]John Viega,Gary McGraw,構建安全的軟件[M].鐘向群,王鵬譯清華大學出版社,2003,04.