吳名華

1 傳統(tǒng)防火墻技術(shù)分析

1.1 簡單包過濾技術(shù)

作為第一代防火墻技術(shù)，簡單包過濾技術(shù)的防火墻功能是通過檢查流經(jīng)網(wǎng)絡(luò)防火墻的每個(gè)數(shù)據(jù)包，并依照既定的安全策略判斷數(shù)據(jù)包是否符合通過要求得以實(shí)現(xiàn)的。該技術(shù)產(chǎn)生于1985年，是從Cisco的IOS軟件中分離并處理而得到的，經(jīng)過多項(xiàng)功能的修補(bǔ)與完善，其運(yùn)行速度和數(shù)據(jù)包檢測效率等功能都得到了極大提升。簡單包過濾技術(shù)的基礎(chǔ)是對(duì)數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)和內(nèi)容進(jìn)行全面分析，并基于數(shù)據(jù)包中的源地址、目的地址、每項(xiàng)IP包的端口號(hào)以及應(yīng)用協(xié)議等數(shù)據(jù)內(nèi)容對(duì)數(shù)據(jù)包的通過權(quán)限進(jìn)行判斷，以此保證數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容不會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生不良影響。在簡單包過濾技術(shù)中，其數(shù)據(jù)包過濾規(guī)則主要包括源地址、目的地址、源端口、目的端口及協(xié)議類型等內(nèi)容。該過濾技術(shù)依照數(shù)據(jù)過濾規(guī)則首先對(duì)數(shù)據(jù)頭部進(jìn)行檢測，檢測后決定是否將其呈遞給下一級(jí)數(shù)據(jù)判斷協(xié)議。盡管簡單包過濾技術(shù)的檢測速度快且費(fèi)用較低，但由于該技術(shù)的實(shí)現(xiàn)是以IP層面為基礎(chǔ)的，無法對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行深入檢測，所以其在數(shù)據(jù)包處理中針對(duì)更高協(xié)議的信息并不具備良好的理解能力。

1.2 應(yīng)用層網(wǎng)關(guān)代理技術(shù)

應(yīng)用層網(wǎng)關(guān)代理技術(shù)是由美國電報(bào)公司實(shí)驗(yàn)室提出的。在該技術(shù)中，防火墻技術(shù)應(yīng)用到了數(shù)據(jù)應(yīng)用層，并以應(yīng)用層協(xié)議為基準(zhǔn)，對(duì)應(yīng)用層的數(shù)據(jù)編程和數(shù)據(jù)包開展針對(duì)性的驗(yàn)證與檢查。在該網(wǎng)關(guān)代理技術(shù)中，防火墻能夠?qū)M(jìn)出向數(shù)據(jù)包進(jìn)行檢測，從應(yīng)用協(xié)議層和用戶層之間提取訪問控制，并通過網(wǎng)關(guān)復(fù)制傳輸數(shù)據(jù)，以有效防止客戶機(jī)與不受信任的主機(jī)建立聯(lián)系。

1.3 電路層網(wǎng)關(guān)代理技術(shù)

電路網(wǎng)關(guān)代理技術(shù)的開發(fā)始于20世紀(jì)80年代，該技術(shù)的實(shí)現(xiàn)是以數(shù)據(jù)傳輸層為基礎(chǔ)的，并在內(nèi)部端口和外部端點(diǎn)的TCP連接過程中設(shè)立了連接限制。這就使得數(shù)據(jù)包內(nèi)容檢測分為了兩個(gè)TCP連接部分，一個(gè)設(shè)立在外部主機(jī)和防火墻之間，另一個(gè)則建立于防火墻和顳部主機(jī)之間。TCP連接部分的分離使得不受系統(tǒng)限制的TCP連接在中轉(zhuǎn)過程中，其IP地址以電路層網(wǎng)關(guān)地址的方式呈現(xiàn)，并使外界能夠更為直觀地得知網(wǎng)關(guān)的目的地址的連接關(guān)系。電路層網(wǎng)關(guān)代理技術(shù)所開展的數(shù)據(jù)服務(wù)更多的是在傳輸層對(duì)非交互式應(yīng)用程序進(jìn)行數(shù)據(jù)分析與處理。一旦用戶能夠通過該網(wǎng)關(guān)的技術(shù)檢驗(yàn)，那么系統(tǒng)便允許用戶穿越網(wǎng)關(guān)進(jìn)行系統(tǒng)訪問與服務(wù)。在這一過程中，該網(wǎng)關(guān)代理技術(shù)僅用于用戶和服務(wù)器間的連接，而無法對(duì)更深層的數(shù)據(jù)包進(jìn)行訪問和認(rèn)證。

2 新型防火墻技術(shù)分析

2.1 多級(jí)過濾技術(shù)

為了有效地提升計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的防護(hù)水平和安全性，新型防火墻技術(shù)的開發(fā)采用了多級(jí)過濾技術(shù)，通過對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行多級(jí)鑒別，以實(shí)現(xiàn)對(duì)假冒IP地址和危險(xiǎn)數(shù)據(jù)的有效濾除。新型多級(jí)過濾技術(shù)通常分為三個(gè)過濾級(jí):第一過濾級(jí)是分組過濾，能夠過濾掉所有假冒的IP地址和源路由器分組IP地址;第二過濾級(jí)是應(yīng)用網(wǎng)關(guān)進(jìn)行過濾，如SMTP、FTP等網(wǎng)關(guān)，以實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行服務(wù)器的有效實(shí)時(shí)監(jiān)測與控制;電路網(wǎng)關(guān)作為最后一級(jí)，是實(shí)現(xiàn)外部站點(diǎn)和內(nèi)部主機(jī)連接的關(guān)鍵，同時(shí)對(duì)網(wǎng)絡(luò)的運(yùn)營與服務(wù)進(jìn)行嚴(yán)格的控制與管理。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

在新型防火墻的構(gòu)建中，NAT技術(shù)有效地實(shí)現(xiàn)了計(jì)算機(jī)所有內(nèi)部地址的透明轉(zhuǎn)換，通過對(duì)計(jì)算機(jī)網(wǎng)關(guān)的內(nèi)部數(shù)據(jù)進(jìn)行透明化處理，使得外部網(wǎng)絡(luò)無法獲知計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的具體數(shù)據(jù)結(jié)構(gòu)。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在對(duì)內(nèi)部數(shù)據(jù)結(jié)構(gòu)進(jìn)行透明化處理的同時(shí)，也為計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的專用網(wǎng)絡(luò)和IP源地址提供了訪問權(quán)限，進(jìn)而使得新型防火墻能夠?qū)γ總€(gè)主機(jī)的通信內(nèi)容進(jìn)行記錄，以有力保證不同分組送往地址的正確性。

2.3 透明的訪問方式

傳統(tǒng)防火墻技術(shù)在應(yīng)用中通常會(huì)要求用戶進(jìn)行系統(tǒng)登錄，或利用SOCKS等數(shù)據(jù)庫路徑對(duì)客戶機(jī)的應(yīng)用進(jìn)行修改，而這些都是以數(shù)據(jù)表層結(jié)構(gòu)為基礎(chǔ)得以實(shí)現(xiàn)的，其本質(zhì)并不具備對(duì)IP地址判斷識(shí)別或數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換的能力。在新型防火墻技術(shù)中，透明訪問方式的采用則進(jìn)一步深化了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)對(duì)用戶信息的處理層，進(jìn)而有效地控制了系統(tǒng)登錄和數(shù)據(jù)庫訪問式登錄的錯(cuò)誤和風(fēng)險(xiǎn)發(fā)生概率。

2.4 用戶鑒別和加密技術(shù)

在防火墻產(chǎn)品的實(shí)際應(yīng)用中，為了有效降低Telnet FTP等服務(wù)在數(shù)據(jù)遠(yuǎn)程管理中的安全風(fēng)險(xiǎn)，采取一定的用戶鑒別措施和加密技術(shù)是十分必要的。新型防火墻技術(shù)則在自身系統(tǒng)中加入了用戶鑒別和加密技術(shù)，通過采用一次性使用的口令字技術(shù)極大地提升了系統(tǒng)自身的用戶鑒別效率和數(shù)據(jù)郵件的安全性。

2.5 審計(jì)和告警

為了進(jìn)一步完善防火墻產(chǎn)品，新型防火墻技術(shù)還加入了數(shù)據(jù)審計(jì)和告警功能。其中，系統(tǒng)數(shù)據(jù)審計(jì)文件主要包括內(nèi)核信息、一般信息、接受郵件信息及其已發(fā)信息等，并通過將不同IP地址間的數(shù)據(jù)傳輸內(nèi)容進(jìn)行對(duì)比與認(rèn)證，確保計(jì)算機(jī)主機(jī)系統(tǒng)與其他服務(wù)器間的正常連接，從而保證數(shù)據(jù)傳輸準(zhǔn)確性，并為計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的傳輸?shù)於〝?shù)據(jù)傳輸基礎(chǔ)。防火墻中所采用的告警功能能夠?qū)γ總€(gè)數(shù)據(jù)包的UDP或TCP進(jìn)行探尋處理，一旦發(fā)現(xiàn)數(shù)據(jù)包中的UDP或TCP存在異常，便能夠通過發(fā)出聲響或呈遞郵件的形式報(bào)警，以便計(jì)算機(jī)網(wǎng)路系統(tǒng)及時(shí)地進(jìn)行處理，有效地避免了數(shù)據(jù)包中潛在威脅對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的影響。

3 新型防火墻技術(shù)發(fā)展方向

3.1 智能防火墻技術(shù)

所謂的智能防火墻是指通過對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、處理等操作來實(shí)現(xiàn)對(duì)數(shù)據(jù)的識(shí)別，從而實(shí)現(xiàn)對(duì)訪問的控制功能。利用智能防火墻能夠有效地防控非正規(guī)數(shù)據(jù)的訪問，尤其是一些惡意數(shù)據(jù)，最關(guān)鍵的是在檢測出非正常數(shù)據(jù)后自動(dòng)對(duì)其實(shí)施阻斷攔截。目前智能防火墻廣泛地應(yīng)用在對(duì)木馬病毒的防控中。智能防火墻的智能化還體現(xiàn)在對(duì)黑客非法行為的監(jiān)控上，比如智能防火墻能夠識(shí)別出黑客的掃描行為，并且進(jìn)行有效的阻斷。最新的智能防火墻在自身防護(hù)性能上又進(jìn)了一步，增加了反掃描技術(shù)，補(bǔ)充和完善了對(duì)惡意代碼的識(shí)別種類。擦洗技術(shù)也是智能防火墻技術(shù)中的一項(xiàng)強(qiáng)大功能，能夠?qū)P、ICMP等協(xié)議進(jìn)行擦洗操作，保證網(wǎng)絡(luò)協(xié)議的正?；\(yùn)行，避免網(wǎng)絡(luò)協(xié)議中出現(xiàn)潛在的風(fēng)險(xiǎn)影響系統(tǒng)運(yùn)行的穩(wěn)定性，并且智能防火墻在傳統(tǒng)防火墻的基礎(chǔ)上，完善了身份識(shí)別技術(shù)，從而有效地控制了訪問身份。總體來說，智能防火墻技術(shù)解決了高危病毒易傳播以及高級(jí)應(yīng)用的非法入侵問題，是防火墻技術(shù)未來的一種主要趨勢，勢必在應(yīng)對(duì)黑客攻擊、消除系統(tǒng)潛在風(fēng)險(xiǎn)等領(lǐng)域取得更為廣泛的應(yīng)用。對(duì)于企業(yè)而言，智能防火墻還能實(shí)現(xiàn)對(duì)內(nèi)部局域網(wǎng)的有效管理和監(jiān)控效果。

3.2 分布式防火墻技術(shù)

分布式防火墻技術(shù)指依存于網(wǎng)絡(luò)安全防護(hù)軟件中的維護(hù)技術(shù)，主要包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻兩種類型。其中網(wǎng)絡(luò)防火墻主要用于對(duì)局域網(wǎng)與互聯(lián)網(wǎng)之間的子網(wǎng)保護(hù)方面，而主機(jī)防火墻的應(yīng)用較為廣泛一些，主要是由于主機(jī)的位置可能在局域網(wǎng)內(nèi)，也可能在局域網(wǎng)外。分布式防火墻有效改善了傳統(tǒng)網(wǎng)絡(luò)的不足，降低了主機(jī)位置對(duì)網(wǎng)絡(luò)防護(hù)的影響，保護(hù)了系統(tǒng)的服務(wù)器以及桌面，并且支持具有身份認(rèn)證的網(wǎng)絡(luò)應(yīng)用以及移動(dòng)計(jì)算。分布式防火墻主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)中，在彌補(bǔ)局域網(wǎng)內(nèi)部缺陷的同時(shí)，還能防控住局域網(wǎng)的內(nèi)部攻擊，從而實(shí)現(xiàn)對(duì)主機(jī)的有效防護(hù)。

3.3 嵌入式防火墻技術(shù)

所謂的嵌入式防火墻技術(shù)基于路由器內(nèi)部的防火墻技術(shù)，主要工作對(duì)象是IP層，從這個(gè)角度來講，嵌入式防火墻技術(shù)無法應(yīng)對(duì)來自應(yīng)用層面的病毒攻擊。但是嵌入式防火墻技術(shù)也有自身優(yōu)點(diǎn)，比如不管企業(yè)內(nèi)部網(wǎng)絡(luò)如何進(jìn)行變化，嵌入式防火墻技術(shù)都能夠?qū)W(wǎng)絡(luò)甚至是網(wǎng)絡(luò)邊緣進(jìn)行防護(hù)，也就是說，嵌入式防火墻技術(shù)能夠保證互聯(lián)網(wǎng)來訪企業(yè)內(nèi)部網(wǎng)絡(luò)的操作安全。

4 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

4.1 深層檢測防火墻技術(shù)

深層檢測防火墻技術(shù)是未來防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中的改進(jìn)方向。深層檢測防火墻技術(shù)能夠在識(shí)別到網(wǎng)絡(luò)信息后，對(duì)其內(nèi)部數(shù)據(jù)定向到TCP/IP堆棧，并且按照基本的檢測方式進(jìn)行檢測。深層檢測防火墻技術(shù)在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上，補(bǔ)充和完善了對(duì)于惡意入侵信息的防護(hù)功能。未來的深層檢測防火墻技術(shù)不僅能夠?qū)W(wǎng)絡(luò)層進(jìn)行實(shí)時(shí)保護(hù)，還能對(duì)網(wǎng)絡(luò)應(yīng)用層進(jìn)行防控。尤其是對(duì)網(wǎng)絡(luò)應(yīng)用層的防護(hù)，深層檢測防火墻技術(shù)憑借其更加廣的檢測范圍以及更加有效的防控技術(shù)，勢必會(huì)在網(wǎng)絡(luò)應(yīng)用層的防護(hù)中占得一席之地。

4.2 流過濾防火墻技術(shù)

流過濾防火墻技術(shù)防護(hù)原理主要是在對(duì)包過濾進(jìn)行檢測的基礎(chǔ)上，通過專業(yè)的內(nèi)嵌式TCP協(xié)議棧，來實(shí)現(xiàn)對(duì)TCP層中應(yīng)用協(xié)議信息的過濾操作。與深度檢測技術(shù)相比，流過濾技術(shù)的主要優(yōu)勢在于能夠?qū)π畔⑦M(jìn)行識(shí)別以及滯留重組，并且還能夠?qū)⒅亟M的信息流交給應(yīng)用層進(jìn)行過濾，實(shí)現(xiàn)對(duì)進(jìn)入防火墻的數(shù)據(jù)實(shí)現(xiàn)完整的重組，從而實(shí)現(xiàn)對(duì)惡意攻擊行為的有效攔截。

4.3 防火墻的發(fā)展趨勢

未來的防火墻技術(shù)勢必會(huì)向著高性能、多功能的方向進(jìn)步發(fā)展，其中可以通過對(duì)ASIC硬件加速技術(shù)來提高防火墻的運(yùn)行速度，利用網(wǎng)絡(luò)處理器，通過微碼編程技術(shù)來實(shí)現(xiàn)系統(tǒng)的自由升級(jí)，就像現(xiàn)在的安卓系統(tǒng)一樣，如果技術(shù)過硬，還有可能實(shí)現(xiàn)對(duì)IPv6的支持。未來的防火墻技術(shù)勢必會(huì)集成更多的網(wǎng)絡(luò)安全防護(hù)功能，實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)功能的高度集成化，利用模塊形式存放到防火墻的機(jī)箱中，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的有效結(jié)合。隨著我國市場經(jīng)濟(jì)的不斷完善和發(fā)展，防火墻防護(hù)技術(shù)勢必也會(huì)走向產(chǎn)業(yè)化。目前我國的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用發(fā)展面臨多方面的安全問題。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全維護(hù)，不僅可以提高網(wǎng)絡(luò)運(yùn)行的安全性，也為計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

［1］孫劍.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)常見故障處理及維護(hù)方法［J］.科技博覽，2010(12):80.

［2］陳健.計(jì)算機(jī)網(wǎng)絡(luò)安全常見問題與對(duì)策［J］.信息系統(tǒng)工程，2012(3):68－69.

［3］郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問題的探討［J］.科技資訊，2011(26):9－10.

［4］朱翔.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展與應(yīng)用［J］.中國科技信息，2007(10):106－107.