王非

【摘 要】隨著計算機技術和通訊技術的迅速發(fā)展，特別是Internet的出現(xiàn)，使網絡的重要性和社會的影響越來越大，網絡安全問題也變得越來越重要。 防火墻在網絡信息安全中的重要作用不容忽視。

【關鍵詞】防火墻；網絡安全

1.防火墻技術的概述

防火墻是防范網絡攻擊最常用的方法，從技術理論上看，如今的防火墻經過了多年的不斷改進，已經成為一種先進和復雜的基于應用層的網關，不僅能完成傳統(tǒng)防火墻的過濾任務，同時也能夠針對各種網絡應用提供相應的安全服務。防火墻技術的基本思想是限制網絡訪問，它把網絡分為兩個部分：外部網絡和受保護網絡（內部網絡）。相比企業(yè)而言，外部網絡一般指的是Internet，而受保護網絡一般指企業(yè)自己建立的Internet 防火墻，放在受保護網絡和外部網絡之間， 防火墻（阻塞類防火墻）可以確保除非通過檢查點的審查，否則你從網中將不能直接到達因特網。

2.防火墻的應用現(xiàn)狀

2.1 包過濾防火墻和代理

防火墻的發(fā)展，經歷了從早期的簡單包過濾，到今天廣泛應用的狀態(tài)包過濾技術和應用代理。其中狀態(tài)包過濾技術因為其安全性較好，速度快，得到最廣泛的應用。應用代理雖然安全性更好，但它需要針對每一種協(xié)議開發(fā)特定的代理協(xié)議，對應用的支持不夠好。從國外公開的防火墻測試報告來看，代理防火墻性能表現(xiàn)比較差，因此在網絡帶寬迅猛發(fā)展的情況下，已經不能完全滿足需要。

此外，有的防火墻支持SOCK代理，這種代理屏蔽了協(xié)議本身，只要客戶端支持SOCK代理，該應用在防火墻上就可以穿越。這種代理對于部分不公開的協(xié)議，如QQ的語音和視頻協(xié)議，采用其他技術，在NAT情況下很難實現(xiàn)對該協(xié)議的支持，但QQ軟件本身支持SOCK代理，如果防火墻支持SOCK代理協(xié)議，就可以實現(xiàn)對防火墻的穿越。但對于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對該協(xié)議失去了監(jiān)測能力。

2.2 狀態(tài)檢測技術

下面，重點描述一下防火墻的狀態(tài)檢測技術。狀態(tài)檢測技術最早是CheckPoint提出的，也就是要監(jiān)視每個連接發(fā)起到結束的全過程。對于部分協(xié)議，如FTP、H.323 等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對這些協(xié)議進行分析，以便知道什么時候，從哪個方向允許特定的連接進入和關閉。例如FTP，除了開始要建立命令通道外，還要動態(tài)協(xié)商數(shù)據(jù)通道。以PORT方式為例，PORT模式下的工作過程如下：

（1） 客戶端向服務器21端口發(fā)起連接，建立控制命令通道；

（2） 客戶端向服務器發(fā)出命令，要求建立數(shù)據(jù)連接；

（3） 客戶端打開一個端口；

（4） 客戶端通過PORT命令，從控制通道把端口號發(fā)給服務器；

（5） 服務器向客戶端該端口發(fā)送一個主動連接。

從上述過程可以看出，客戶端打開的端口號是未知的，所以防火墻必須對FTP控制通道的命令進行解碼，從而知道協(xié)商后的端口號。然后，防火墻臨時打開一個通道，允許服務器連接客戶端的這個端口。對于狀態(tài)防火墻，只需要通過ACL設置，開放該客戶端對服務器的21端口連接。但對于以前的簡單包過濾防火墻，如果想支持PORT模式，還得對外開放所有的端口，這顯然是不安全的。

2.3 高保障防火墻

防火墻因為軟件復雜，實現(xiàn)的功能較多，必須有操作系統(tǒng)支持，操作系統(tǒng)的安全是防火墻安全的基石。1998年，在中國一家機構和美國計算機學會ACM共同舉辦的國際會議上，我國首次提出了高保障防火墻的概念，其核心是防火墻與安全操作系統(tǒng)無縫集成，在防火墻上實現(xiàn)類似B級操作系統(tǒng)的機制，如標記、MAC、強實體認證等。建立了防止內部敏感信息泄漏的機制，達到既防外又防內的目標，又實現(xiàn)了傳統(tǒng)防火墻的全部功能。

3.新型防火墻技術與優(yōu)點

新型防火墻更應該加強放行數(shù)據(jù)的安全性，因為網絡安全的真實需求是既要保證安全，也必須保證應用的正常進行。新型防火墻技術主要是綜合包過濾和代理技術，克服二者在安全方面的缺陷；能從數(shù)據(jù)鏈路層一直到應用層施加全方位的控制；TCP/IP協(xié)議和代理的直接相互配合，使系統(tǒng)的防欺騙能力和運行的健壯性都大大提高；并且能夠實現(xiàn)TCP/IP協(xié)議的微內核，從而在TCP/IP協(xié)議層能進行各項安全控制；基于上述微內核，使速度超過傳統(tǒng)的包過濾防火墻；提供透明代理模式，減輕客戶端的配置工作；支持數(shù)據(jù)加密、解密（DES和RSA），提供對虛擬網VPN的強大支持；內部信息完全隱藏等。新型防火墻技術不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對抗IP欺騙、SYNFlood、ICMP、ARP等攻擊手段方面有顯著優(yōu)勢，增強代理服務，并使其與包過濾相融合，再加上智能過濾技術，使防火墻的安全性能有很大提高。

3.1 分布式防火墻技術

在新的安全體系結構下，分布式防火墻代表新型防火墻技術的發(fā)展潮流，它可以在網絡的任何交界和節(jié)點處設置屏障，從而形成了一個多層次，多協(xié)議，內外皆防的全方位安全體系，它的主要功能如下：

（1）Internet訪問控制依據(jù)工作站名稱、設備指紋等屬陛，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時間段內是否允許/禁止訪問模板或網址列表中所規(guī)定的Internet Web服務器，某個用戶可否基于某工作站訪問www服務器，同時當某個工作站/用戶達到規(guī)定流量后確定是否斷網。

（2）應用訪問控制通過對網絡通訊從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網/Internet的應用服務請求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

（3）網絡狀態(tài)監(jiān)控實時動態(tài)報告當前網絡中所有的用戶登陸、Internet訪問、內網訪問、網絡入侵事件等信息。

（4）黑客攻擊的防御抵御包括Smurf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內的近百種來自網絡內部以及來自Internet的黑客攻擊手段。

（5）日志管理對工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。

（6）系統(tǒng)工具包括系統(tǒng)層參數(shù)的設定、規(guī)則等配置信息的備份與恢復、流量統(tǒng)計、模板設置、工作站管理等。

分布式防火墻克服了傳統(tǒng)防火墻的缺陷，它的優(yōu)勢在于：在網絡內部增加了另一層安全，有效抵御來自內部的攻擊，消除網絡邊界上的通信瓶頸和單一故障點，支持基于加密和認證的網絡應用；與拓撲無關，支持移動計算。

3.2 嵌入式防火墻技術

嵌入式防火墻就是內嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。嵌入式防火墻也被稱為阻塞點防火墻。由于互聯(lián)網使用的協(xié)議多種多樣，所以不是所

有的網絡服務都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層，所以無法保護網絡免受病毒、蠕蟲和特洛伊木馬程序等來自應用層的威脅。就本質而言，嵌入式防火墻

常是無監(jiān)控狀態(tài)的，它在傳遞信息包時并不考慮以前的連接狀態(tài)。

3.3 智能防火墻技術

智能防火墻從技術特征上，是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。新的數(shù)學方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此被稱為智能防火墻。

4.總結

從目前防火墻產品及其功能上，可以看到防火墻的擴展功能將進一步完善，而且隨著算法的優(yōu)化，使對網絡流量的影響減低到最少IP。的加密需求越來越強，安全協(xié)議的開發(fā)是一大勢點。對網絡攻擊的檢測和告警將成為防火墻的重要功能，將逐步建立和完善入侵檢測數(shù)據(jù)庫。