陳惠娟

（新會廣播電視臺，廣東 新會 529100）

1 防火墻的概念及功能

防火墻是網(wǎng)絡(luò)安全的首道門戶和重要屏障，它實現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，內(nèi)部不同網(wǎng)絡(luò)區(qū)域之間的安全隔離與訪問控制，保證了網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的安全性、穩(wěn)定性與可靠性。防火墻可以根據(jù)不同的安全策略，對數(shù)據(jù)包進行檢查，從而控制進出防火墻的信息流，防止已知的或不可預(yù)測的入侵行為。防火墻主要有以下的功能：

1.1 數(shù)據(jù)包過濾

網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進行傳輸?shù)模恳粋€數(shù)據(jù)包中都會包含一些特定的信息，如數(shù)據(jù)的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪問控制規(guī)則進行比較，進而確定是否需對數(shù)據(jù)包進行處理和操作。數(shù)據(jù)包過濾可以防止外部不合法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，但由于不能檢測數(shù)據(jù)包的具體內(nèi)容，所以不能識別具有非法內(nèi)容的數(shù)據(jù)包，無法實施對應(yīng)用層協(xié)議的安全處理。

1.2 防止信息外泄

防火墻通過對內(nèi)外網(wǎng)絡(luò)、內(nèi)部不同區(qū)域網(wǎng)絡(luò)進行劃分，實現(xiàn)了各網(wǎng)絡(luò)及網(wǎng)段的隔離，限制各網(wǎng)絡(luò)之間的互訪，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全，避免內(nèi)部信息的外泄。

1.3 網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換

網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換是一種將私有ⅠP地址轉(zhuǎn)化為公網(wǎng)ⅠP地址的技術(shù)，它被廣泛應(yīng)用于各種類型的網(wǎng)絡(luò)和互聯(lián)網(wǎng)的接人中。網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實ⅠP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有ⅠP地址，從而有效解決了公網(wǎng)ⅠP地址不足的問題。

1.4 虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)將分布在不同地域上的局域網(wǎng)或計算機通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個整體，不僅省去了建設(shè)專用通信線路的費用，還有效地保證了網(wǎng)絡(luò)通信的安全。

1.5 日志記錄與事件通知

進出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻，防火墻通過日志對其進行記錄，能提供網(wǎng)絡(luò)使用的詳細統(tǒng)計信息。當發(fā)生可疑事件時，防火墻更能根據(jù)機制進行報警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

2 防火墻的分類

根據(jù)防火墻的不同工作原理，可以分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)監(jiān)測防火墻三類：

2.1 包過濾防火墻

包過濾防火墻把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則進行比較，決定對數(shù)據(jù)包進行阻止或放行。包過濾防火墻一般都安裝在路由器上，工作在OSⅠ網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，過濾的規(guī)則是根據(jù)數(shù)據(jù)包頭的地址、端口號和協(xié)議類型等標志確定是否允許通過。因為與應(yīng)用層無關(guān)，包過濾防火墻具有非常好的傳輸性以及擴展能力，它的處理速度是最快的。但是因為無法判定應(yīng)用層的信息，所以可能會被黑客用欺騙技術(shù)攻破，同時由于其過濾規(guī)則的不完善，所以也存在一定的漏洞，安全性比較低。

2.2 狀態(tài)監(jiān)測防火墻

狀態(tài)監(jiān)測防火墻把網(wǎng)絡(luò)中的不同連接階段表現(xiàn)為狀態(tài)，狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標志位參數(shù)的不同。在建立連接時，狀態(tài)監(jiān)測防火墻檢查預(yù)先設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過，并記錄相關(guān)信息，動態(tài)生成狀態(tài)表。狀態(tài)監(jiān)測防火墻的內(nèi)部放置了分布探測器，這些探測器安置在各種應(yīng)用服務(wù)器和相關(guān)網(wǎng)絡(luò)節(jié)點上，不僅能防范外網(wǎng)的入侵也能制止內(nèi)部的隱患，具有雙重防范作用。狀態(tài)監(jiān)測防火墻比包過濾防火墻更為安全，但由于多了記錄、檢測和分析這些步驟，可能會導致網(wǎng)絡(luò)整體性能的下降。

2.3 應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻工作在OSⅠ網(wǎng)絡(luò)參考模型的最高層，即應(yīng)用層。它允許設(shè)置比包過濾防火墻更嚴格的安全策略，通過對每個應(yīng)用層的數(shù)據(jù)包進行檢查，從而有效提高了網(wǎng)絡(luò)的安全性。它的特點是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)檢測和控制應(yīng)用層通信流的作用。應(yīng)用網(wǎng)關(guān)防火墻對硬件的要求較高，靈活性較低。

3 防火墻的局限性

防火墻還是存在一定的局限性，不能完全保證網(wǎng)絡(luò)中計算機的絕對安全。比如防火墻防外不防內(nèi)，不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊；防火墻不能防止規(guī)則配置不當或錯誤配置引起的安全威脅，只有對其規(guī)定好的配置規(guī)則進行工作，對于實時的攻擊或異常的行為不能做出及時的反應(yīng)；防火墻不能阻止被病毒感染的軟件或文件的傳輸，不能預(yù)防來自應(yīng)用層的攻擊；防火墻也無法阻擋利用標準網(wǎng)絡(luò)協(xié)議中的缺陷所發(fā)出的攻擊，一旦防火墻放行了某些標準網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)就有可能被黑客利用該協(xié)議中的缺陷進行攻擊。

4 防火墻的發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，防火墻愈發(fā)成為網(wǎng)絡(luò)的重要安全保障，未來防火墻具有如下的發(fā)展趨勢：

4.1 智能技術(shù)的利用。傳統(tǒng)防火墻的安全策略是靜態(tài)的，靜態(tài)防火墻只能識別一些已知的攻擊行為，對于未知的攻擊則顯得力不從心。根據(jù)網(wǎng)絡(luò)上的動態(tài)威脅，自動學習，自動生成安全策略并自動配置的智能防火墻會成為未來的發(fā)展趨勢之一。

4.2 分布式技術(shù)的利用。分布式技術(shù)是發(fā)展的趨勢，多臺物理防火墻協(xié)同工作，組織成一個強大的、具備并行處理能力、負載均衡的邏輯防火墻，不僅保證了大型網(wǎng)絡(luò)安全策略的一致，而且便于集中管理，大大降低了投入的資金、人力及管理成本。

4.3 成為網(wǎng)絡(luò)安全管理平臺的一個組件。隨著網(wǎng)絡(luò)安全管理平臺的發(fā)展，未來所有的網(wǎng)絡(luò)安全設(shè)備將由安全管理平臺統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺提供接口，成為多個安全系統(tǒng)協(xié)同工作的網(wǎng)絡(luò)安全管理平臺中的重要一員。

4.4 向模塊化演進。防火墻的設(shè)計與開發(fā)離不開用戶的需求，根據(jù)用戶需求和網(wǎng)絡(luò)威脅動態(tài)配置的模塊化防火墻，可以實現(xiàn)更好的擴展性，而且在維護和升級等方面也更加方便，因此防火墻的模塊化發(fā)展是未來的重要發(fā)展趨勢之一。

4.5 深入應(yīng)用防護。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來越少，但應(yīng)用層的安全問題卻越來越突出，將來防火墻會把更多的注意力放在深度應(yīng)用防護上，支持更多的應(yīng)用層協(xié)議，不斷挖掘防護的深度和廣度。

4.6 自身性能和安全性的提升。隨著算法、芯片和硬件技術(shù)的發(fā)展，防火墻的檢測速度、響應(yīng)速度和性能也會不斷提升，其自身的安全性也會得到有效的提高，從而為網(wǎng)絡(luò)提供更高效、穩(wěn)定的安全保障。

結(jié)語

防火墻技術(shù)是非常重要的一種網(wǎng)絡(luò)安全技術(shù)，它簡單實用，透明度高，可被用于消除網(wǎng)絡(luò)通信過程中遇到的各種安全威脅，對提高網(wǎng)絡(luò)的安全性以及保密性具有非常重要的作用。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻已從單純攔截黑客的惡意攻擊，逐步走向全面的網(wǎng)絡(luò)安全管理，防火墻將會成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

[1]朱衡.網(wǎng)絡(luò)安全技術(shù)的應(yīng)用與分析[J].電腦編程技巧與維護，2009（08）.

[2]韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實際應(yīng)用[J].科技資訊.2010(1).

[3]陳家遷.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用.2011(23).