龔德中

【摘要】? ? 計算機的大規(guī)模普及帶來了新的生活和工作方式，然而計算機世界存在著大量的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全涉及用戶的隱私，嚴(yán)重的還會侵犯人身財產(chǎn)安全，因此計算機的安全防護不可小覷。計算機中的防火墻相當(dāng)于計算機的城墻，是保護計算機安全的有效措施，本文主要分析了防火墻所包含的技術(shù)，并對其安全性進行了分析，以方便相關(guān)人員增進對防火墻的認(rèn)識。

【關(guān)鍵詞】? ? 防火墻? ? 包過濾? ? 網(wǎng)絡(luò)安全

引言：

計算機的誕生給人類社會帶來了巨大的革新，改變了人們以往的生活方式，拉進了人們之間的距離。近些年來，計算機技術(shù)的發(fā)展更是日新月異，人與人之間的信息交流也更加便攜，與此同時，也有一些不法分子擾亂網(wǎng)絡(luò)秩序，網(wǎng)絡(luò)安全的問題日趨嚴(yán)重。防火墻可以及時發(fā)現(xiàn)并制止?jié)摬氐娘L(fēng)險隱患，給計算機用戶進行提醒，保障用戶信息安全和計算機網(wǎng)絡(luò)安全。

一、防火墻技術(shù)原理

1.1防火墻概念介紹

防火墻的英文名稱是”FireWall”，傳統(tǒng)意義上的防火墻是指可以防止火勢蔓延的墻壁或其它屏障，在計算機網(wǎng)絡(luò)世界中，防火墻要隔絕的不再是火，而是一些有害或者無關(guān)的網(wǎng)絡(luò)信息，比如木馬病毒、入侵程序等。防火墻的基本原理就是分辨出計算機的內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)，在這兩種網(wǎng)絡(luò)之間建立一個過濾網(wǎng)，過濾網(wǎng)一方面可以保證內(nèi)部信息不受侵害，另一方面也可以保證內(nèi)部信息與外部信息的互通交流[1]。

1.2防火墻工作原理

防火墻是內(nèi)部和外部信息交互的唯一途徑，防火墻對內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一切信息流進行嚴(yán)格監(jiān)查，整體的工作原理如圖1所示。

二、防火墻主要類型及技術(shù)

從軟硬件的角度來看，防火墻大致可以分為兩種：一是軟件方面的防火墻;二是硬件方面的防火墻。在防火墻發(fā)展的初始時期，防火墻和集線器、交換機的性質(zhì)是相同的，也是硬件產(chǎn)品中的一員，這時的防火墻就可以稱之為硬件方面的防火墻;軟件方面的防火墻別名個人防火墻，它是在防火墻的不斷發(fā)展和應(yīng)用普及中產(chǎn)生的，由于不同的用戶對于防火墻的需求不同，技術(shù)人員在開發(fā)防火墻時不斷進行技術(shù)革新，實現(xiàn)了在純軟件的基礎(chǔ)上開發(fā)防火墻，這種方式得到的防火墻就被稱為軟件防火墻。

從防火墻的技術(shù)角度來看，防火墻大致可以分為以下三類：一種是過濾型作用的防火墻;第二種是應(yīng)用代理型作用的防火墻;第三種是復(fù)合型作用的防火墻。

2.1過濾型防火墻

過濾型防火墻通常是在網(wǎng)絡(luò)層和傳輸層之中，檢查通過的信息是否達到防火墻要求的標(biāo)準(zhǔn)，之后對于符合標(biāo)準(zhǔn)的信息可以準(zhǔn)許通過，對于不符合標(biāo)準(zhǔn)的信息視為不安全因素，防火墻會對其進行阻止，這類信息就不能正常進行傳遞。過濾型防火墻用到的技術(shù)主要有兩大類，一種是簡單包過濾技術(shù)，另一種是狀態(tài)檢測技術(shù)。簡單包過濾技術(shù)是在網(wǎng)絡(luò)層進行信息過濾，在進行信息過濾時根據(jù)之前制定的標(biāo)準(zhǔn)規(guī)則檢測IP包頭的有關(guān)信息，比如IP源、TCP協(xié)議、TCP/UDP目標(biāo)端口、ICMP消息類型等，將檢測到的這些信息和標(biāo)準(zhǔn)規(guī)則進行對比，對于符合標(biāo)準(zhǔn)可以通過的信息進行正常傳遞，不符合標(biāo)準(zhǔn)的數(shù)據(jù)進行阻攔[2]。使用簡單包過濾技術(shù)的防火墻在眾多防火墻類型中的安全性是最低的。狀態(tài)檢測技術(shù)是2002年左右發(fā)展起來的技術(shù)，通過網(wǎng)絡(luò)通信狀態(tài)和信息的分析使用，采用狀態(tài)監(jiān)測機制進行工作。主要使用的網(wǎng)絡(luò)通信狀態(tài)和信息以及其中包含的信息如表1。

2.2應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是在在應(yīng)用層之上進行工作，應(yīng)用代理型防火墻的核心技術(shù)就是代理方面的內(nèi)容。所謂的代理技術(shù)就是將需要傳入傳出的數(shù)據(jù)載代理防火墻處可以隱藏來源，經(jīng)過代理防火墻的數(shù)據(jù)只能知道是從防火墻處發(fā)出的，無法追蹤到它的來源處的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，從而可以提高網(wǎng)絡(luò)的安全性，達到保護的目的。

代理技術(shù)具體的工作流程如下：代理服務(wù)器在接收并核實用戶的提出的申請之后，將申請轉(zhuǎn)送到Proxy應(yīng)用程序上，Proxy將申請進行處理并將其傳給真實服務(wù)器，真實服務(wù)器接收到申請后給予反應(yīng)，Proxy再接收服務(wù)器的反應(yīng)并進行處理，將處理后的反應(yīng)傳遞給最初發(fā)出申請的用戶。

代理機制下的防火墻可以完全隔離網(wǎng)絡(luò)之間的交流通信，相比過濾型防火墻應(yīng)用代理型防火墻的安全性更高，保護作用更強，這也是應(yīng)用代理型防火墻的最大的特點。根據(jù)代理技術(shù)的工作流程可以看出每次進行連接時都需要Proxy應(yīng)用程序作為中間媒介進行信息處理和傳遞，同時不同的代理所需要的應(yīng)用軟件進程不同，導(dǎo)致應(yīng)用代理型防火墻的可移植性比較差。

2.3復(fù)合型防火墻

復(fù)合型防火墻是過濾型和應(yīng)用代理型兩種防火墻共同結(jié)合的結(jié)晶，可以根據(jù)不同的安全策略選用不同的對應(yīng)策略，如果接收到的安全策略是代理策略，就選擇代理型防火墻的應(yīng)對方式，主要檢查報文內(nèi)容，如果接收到的是包過濾策略，就選用過濾型的應(yīng)對方法，判斷報頭部分。這樣一來，復(fù)合型防火墻就相當(dāng)于吸收了過濾型和代理型二者的長處，同時也拋棄了兩者的一些缺點，使得防火墻使用效率更高、效果更好也更方便和靈活。

三、防火墻探測技術(shù)

防火墻的探測也是防火墻工作中的一個比較重要的部分，目前較多使用的探測技術(shù)主要有以下幾種：

3.1根據(jù)探測數(shù)據(jù)包的返回信息進行判斷

根據(jù)防火墻的探測，探測數(shù)據(jù)包可以判斷是否存在防火墻或者另外方面的一些信息，使用方便簡單。比如登錄主機某一端口時，可以輸入相應(yīng)的關(guān)鍵字，對于這些關(guān)鍵字不同的防火墻就會返回不同的字符串，根據(jù)這些返回的字符串就能知道探測包遇到的防火墻的種類。

3.2使用探測工具

常見的防火墻探測工具有Firewalking、NMAPing、Traceroute等，這些探測工具會將探測結(jié)果返回，根據(jù)探測結(jié)果進行分析，可以獲取防火墻的位置以及防火墻的端口信息等[2]。

3.3其它方式

除了以上兩種探測方式外，還可以使用端口掃描和ICMP報文、錯誤CRC防火墻探測以及Xmas Tree、Null掃描等技術(shù)進行探測。值得說明的是，這些探測技術(shù)各有優(yōu)缺點，并且在實際使用過程中這些技術(shù)的探測精度一般都不太高，需要結(jié)合多種探測方法，對得到的所有的結(jié)果進行分析。

四、防火墻安全脆弱性及防護措施

4.1安全脆弱性分析

防火墻對于網(wǎng)絡(luò)安全的作用影響深遠，它可以抵御絕大部分的惡意攻擊，但防火墻并不是毫無漏洞的存在。因此需要通過分析確定防火墻需要完善和改進之處，以此來提升防火墻技術(shù)。防火墻的分析方案要盡量科學(xué)系統(tǒng)全面，可以從以下幾點進行分析：1.防火墻基本信息：包括防火墻生產(chǎn)的公司、防火墻的版本、類型;2.防火墻的過濾技術(shù);3.應(yīng)用程序;4.過濾規(guī)則;5.操作系統(tǒng)，判斷防火墻公的操作系統(tǒng)弄的安全性如何;6.安全漏洞，包括設(shè)計上的漏洞和運行過程中發(fā)現(xiàn)的漏洞。

本文中，遵循上述科學(xué)分析原則，針對幾種常用的防火墻（Checkpoint Firewall-1、Cisco PIX、NAI Gauntlet）進行具體的安全脆弱性分析，詳細內(nèi)容如下：

1. Checkpoint Firewall-1。Checkpoint Firewall-1防火墻受到世界排名靠前的多個大企業(yè)的青睞，它由Inspection Module、FireWall Module、Management Module三個基本模塊組成，此外它還有多個可選模塊，比如Connect Control、GUI以及Router Security Management等。它在應(yīng)用層由于不對閾值進行檢查，極易遭受拒絕服務(wù)攻擊;在規(guī)則設(shè)定層，不懂內(nèi)置規(guī)則的用戶進行的規(guī)則設(shè)置可能會導(dǎo)致一些潛在的安全問題;在操作系統(tǒng)層面，雖然該防火墻支持多種系統(tǒng)，但在具體安裝時如果不注意一些系統(tǒng)補丁和不需要的服務(wù)也會造成一些不必要的問題?？傊?，Checkpoint Firewall-1存在校本過濾規(guī)則、外泄內(nèi)部地址、霸占遠程資源等問題。2. Cisco PIX。PIX是典型的硬件防火墻之一，其工作速度比較快，也方便用戶使用。Cisco PIX防火墻具有多級狀態(tài)檢測功能，同時還具有與代理相像的功能。它的過濾規(guī)則中有一條規(guī)則拒絕了所有沒有認(rèn)證的用戶，也就是說沒有通過認(rèn)證的用戶無論是哪種類型都不會通過這種防火墻，都會受到阻攔。對于認(rèn)證的合理用戶，用戶在防火墻處傳遞的消息不用全部一一檢查，由于這一特性，在配置規(guī)則時新用戶需要特別小心。PIX操作系統(tǒng)使用公司專屬的IOS系統(tǒng)，同時需要不斷進行補丁升級。PIX的主要問題是不能妥當(dāng)處理子網(wǎng)地址，對于假冒的RST、TCP數(shù)據(jù)包的入侵也存在安全問題。（3）NAI Gauntlet。NAI Gauntlet防火墻是應(yīng)用層網(wǎng)關(guān)一級產(chǎn)品，代理技術(shù)是其核心，具有高加密的特點。NAI Gauntlet防火墻同樣不會查驗閾值，在進行規(guī)則設(shè)置時由于缺乏GUI界面，只能基于命令行進行設(shè)置，不夠直觀友好。它也不具有Integrated Web Cache功能、缺乏企業(yè)級防火墻陣列的支持能力，因此NAI Gauntlet難以擔(dān)任整體系統(tǒng)的防御能力。

4.2防護措施

防火墻受到的沖擊主要是三個方面，分別是防火墻探測、繞過防火墻攻擊和破壞性沖擊。針對防火墻探測沖擊可以重新設(shè)置防火墻過濾規(guī)則，或者嚴(yán)格檢查進入防火墻的信息數(shù)據(jù)，此外將防火墻一些不必要的端口進行關(guān)閉也可以達到一定的保護目的[3]。對于繞過防火墻的沖擊，可以通過設(shè)置防火墻，避免內(nèi)部地址的數(shù)據(jù)包進入，避免欺騙攻擊。破壞性攻擊最常見的就是木馬沖擊，對于這種類型的沖擊用戶可以安裝一些口碑比較好的木馬檢測程序，一旦發(fā)現(xiàn)立刻對木馬進行消滅處理。總之，為了達到更高的防護作用，一方面用戶需要對一般的防火墻進行自定義設(shè)置，提高過濾標(biāo)準(zhǔn)，另一方面也要采取一些輔助措施。

五、結(jié)束語

防火墻對于網(wǎng)絡(luò)安全做出來巨大貢獻，可以有效地保護內(nèi)部網(wǎng)絡(luò)安全，保護計算機用戶的信息資料不外泄、不丟失，不同類型的防火墻有著各不相同的防護能力，可供不同需求的用戶自由選擇。但也要注意防火墻并不是能百分之百抵當(dāng)網(wǎng)絡(luò)侵犯，需要全方面地分析防火墻的安全脆弱性，提出相應(yīng)的方法，提高網(wǎng)絡(luò)總體的安全。需要注意不同類型的防火墻它們的優(yōu)缺點不同，在進行分析時要實事求是，根據(jù)具體的防火墻嚴(yán)格按照分析方案采取相應(yīng)的措施，進而提出改進策略，提升防火墻的防御能力。

參? 考? 文? 獻

[1] 曾強. 基于計算機網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析[J]. 電腦知識與技術(shù). 2020，16（02）：14-15.

[2] 邵野. 計算機網(wǎng)絡(luò)防火墻技術(shù)安全與對策分析 [J]. 數(shù)字通信世界. 2021，（04）：110-111.

[3] 藍杰. 關(guān)于計算機網(wǎng)絡(luò)安全及防火墻技術(shù)的研究[J]. 信息記錄材料. 2021，22（06）：77-78.