摘 要：隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用范圍不斷擴(kuò)大，使人們對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的依賴程度增大。然而，互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展直接導(dǎo)致了網(wǎng)絡(luò)入侵行為日益嚴(yán)重，防御網(wǎng)絡(luò)入侵的防御對策之一——網(wǎng)絡(luò)防火墻，它技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。探討了防火墻系統(tǒng)的結(jié)構(gòu)以及防火墻系統(tǒng)功能、結(jié)構(gòu)的選擇。

關(guān)鍵詞：防火墻；包過濾；網(wǎng)絡(luò)安全策略；屏蔽路由器；TCP/IP

中圖分類號：F49文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3198（2012）03-0252-01

1 防火墻的概念

計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)用建筑行業(yè)的“防火墻”來命名，主要是兩者之間有很多相似之處。在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是根據(jù)訪問安全策略對兩個或者更多網(wǎng)絡(luò)之間的通信進(jìn)行限制的軟件或硬件的集合。

2 防火墻的功能

防火墻能夠確保在互聯(lián)網(wǎng)中系統(tǒng)間信息交換的安全。如電子郵件，文件傳輸，遠(yuǎn)程登錄等。防火墻的主要功能如下：防火墻是網(wǎng)絡(luò)安全的屏障；可以強(qiáng)化網(wǎng)絡(luò)安全策略；對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)；防止內(nèi)部信息的外泄等。

3 防火墻技術(shù)分類

（1）包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過濾方式是一種通用、廉價和有效的安全手段。

（2）應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

4 防火墻的體系結(jié)構(gòu)

（1）屏蔽路由器結(jié)構(gòu)。屏蔽路由器一般是一個多口IP路由器，用于在內(nèi)部和外部的主機(jī)之間發(fā)送數(shù)據(jù)包，它不但對數(shù)據(jù)包進(jìn)行路由發(fā)送，還依據(jù)一定的安全規(guī)則檢查數(shù)據(jù)包，決定是否發(fā)送。

（2）雙宿主機(jī)結(jié)構(gòu)。雙宿主主機(jī)結(jié)構(gòu)是圍繞著至少具有兩個網(wǎng)絡(luò)接口的雙宿主主機(jī)（又稱堡壘主機(jī)）而構(gòu)成的。雙宿主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)是唯一隔開內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙宿主主機(jī)的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會被入侵，所以為了保證內(nèi)部網(wǎng)的安全，雙宿主主機(jī)首先要禁止網(wǎng)絡(luò)層的路由功能，還應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，盡量減少防火墻上用戶的賬戶數(shù)。

（3）屏蔽主機(jī)結(jié)構(gòu)。屏蔽主機(jī)結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連，還有一臺單獨(dú)的過濾路由器，這一臺路由器的意義就在于強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包被發(fā)送到被屏蔽主機(jī)。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高。過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵，過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，否則如果遭到破壞，則數(shù)據(jù)包就不會被路由到堡壘主機(jī)上。

（4）屏蔽子網(wǎng)體系結(jié)構(gòu)。屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。

5 防火墻的設(shè)計(jì)策略

防火墻的設(shè)計(jì)策略是具體地針對防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來實(shí)施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執(zhí)行以下兩種基本策略中的一種：除非明確不允許，否則允許某種服務(wù)；除非明確允許，否則將禁止某項(xiàng)服務(wù)。

執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。一個站點(diǎn)可以把一些必須的而又不能通過防火墻的服務(wù)放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

6 設(shè)計(jì)時需要考慮的問題

為了確定防火墻設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開始，即除非明確允許，否則禁止某種服務(wù)。策略應(yīng)該解決以下的問題：需要什么服務(wù)；在哪里使用這些服務(wù)；是否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等服務(wù)；提供這些服務(wù)的風(fēng)險是什么；若提供這種保護(hù)，可能會導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響，這些影響會有多大，是否值付出這種代價；和可用性相比，站點(diǎn)的安全性放在什么位置。

7 防火墻的不足

防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢W(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會工程攻擊——一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來。而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。

參考文獻(xiàn)

［1］黎連業(yè).防火墻及其實(shí)用技術(shù)［M］.北京：清華大學(xué)出版社，2004.

［2］常紅.網(wǎng)絡(luò)完全技術(shù)與反黑客［M］.冶金工業(yè)出版社，2001.