隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的人親身體會到信息化給人們帶來的實實在在的便利和實惠。信息化帶動了工業(yè)化，并由此帶動全球經(jīng)濟以前所未有的驚人的速度向前發(fā)展。然而任何事情都有兩面性，信息化也是如此，它在給經(jīng)濟帶來新高、給人們帶來實惠的同時，也由此產(chǎn)生了新的威脅。特別應(yīng)用在與通信或者商務(wù)服務(wù)的internet相連接的網(wǎng)絡(luò)中。網(wǎng)絡(luò)安全性中，近來最重要的一個發(fā)展就是，防火墻已經(jīng)成為一個重要角色。由于黑客與恐怖分子的公開攻擊、病毒和其他入侵軟件的蔓延，防火墻已經(jīng)成為一個基本安全工具。防火墻現(xiàn)在實質(zhì)上已不是每個網(wǎng)絡(luò)以及許多pc機上可有可無的部分，而是不可或缺的一部分。

一、防火墻概述

防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法，實際上是一種隔離控制技術(shù)。在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信，以達到防止非法用戶侵犯受保護網(wǎng)絡(luò)的目的。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它對兩個網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡(luò)之問的通信是否被允許：其中被保護的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，未保護的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時，首先要明確防火墻的缺省策略，是接受還是拒絕。如果缺省策略是接受，那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻；如果缺省策略是拒絕，那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。

防火墻不是一個單獨的計算機程序或設(shè)備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換，而允許那些可接受的通信。從邏輯上講，防火墻是分離器、限制器、分析器；從物理上講，防火墻由一組硬件設(shè)備（路由器、主計算機或者路由器、主計算機和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合）和適當(dāng)?shù)能浖M成。

二、防火墻的基本類型

防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測。

1.包過濾

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。

3.應(yīng)用代理

應(yīng)用代理完全接管了用戶與服務(wù)器的訪問，把用戶主機與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機連接到內(nèi)部的網(wǎng)絡(luò)，只允許內(nèi)部主機使用代理服務(wù)器訪問Internet主機，同時只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實際的應(yīng)用中，應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

4.狀態(tài)檢測

防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù)，傳統(tǒng)上防火墻基本分為兩大類，即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻，這兩種防火墻由于其受限的地方，逐漸不能適應(yīng)當(dāng)前的需求，因此新一代的防火墻Stateful-inspection防火墻應(yīng)運而生，這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點，又克服了傳統(tǒng)防火墻的缺點，是一種革新式的防火墻。

Stateful-inspection防火墻是新一代的防火墻技術(shù)，由Check Point公司引入。它監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同，Stateful-inspection防火墻使用用戶定義的過濾規(guī)則，不依賴預(yù)先的應(yīng)用信息，執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高，而且它不識別特定的應(yīng)用信息，因此不用對不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則，伸縮性好

三、防火墻的發(fā)展趨勢

1.新需求引發(fā)的技術(shù)走向

防火墻技術(shù)的發(fā)展離不開社會需求的變化，著眼未來，防火墻技術(shù)有的新需求如下：遠程辦公的增長：企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現(xiàn)在一些廠商推出的VPN（虛擬專用網(wǎng)）技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。

2.黑客攻擊引發(fā)的技術(shù)走向

防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測：IT業(yè)界權(quán)威機構(gòu)Gagner認(rèn)為代理不是阻止未來黑客攻擊的關(guān)鍵，但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術(shù)方案需要增加簽名檢測等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。協(xié)同性：從黑客攻擊事件分析，對外提供Web等應(yīng)用的服務(wù)器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同，共同完成保護網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動和認(rèn)證服務(wù)器進行聯(lián)動。

現(xiàn)有防火墻技術(shù)仍無法給我們一個相當(dāng)安全的網(wǎng)絡(luò)。攻擊時的變數(shù)太大，所以對網(wǎng)絡(luò)安全的需求對防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔(dān)當(dāng)了更重的任務(wù)。未來，防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。