計算機網(wǎng)絡(luò)防火墻技術(shù)研究

摘要：本文細致分析了各種網(wǎng)絡(luò)安全問題，以及一種相應(yīng)的防御對策-網(wǎng)絡(luò)防火墻，它技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。然后分析比較了各種防火墻技術(shù)的特點，為網(wǎng)絡(luò)安全提供了指導(dǎo)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；分組過濾；代理服務(wù)；雙宿主機

1網(wǎng)絡(luò)安全

1.1網(wǎng)絡(luò)安全概念

國際標準化組織(ISO)對計算機系統(tǒng)安全的定義是:為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)的安全理解為:通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

1.2 Internet的安全隱患主要體現(xiàn)

Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客(Hacker)經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓； Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施；Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務(wù)；在計算機上存儲、傳輸和處理的普通信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來維系的；電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險；計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

網(wǎng)絡(luò)安全防范的內(nèi)容。一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全等。因此針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護方案以確保計算機網(wǎng)絡(luò)自身的安全性是每一個計算機網(wǎng)絡(luò)都要認真對待的一個重要問題。網(wǎng)絡(luò)安全防范的重點主要有兩個方面:一是計算機病毒，二是黑客犯罪。

2 防火墻

概念：網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。設(shè)立防火墻的主要目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。防火墻相當于一個控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行，在這種情況下，防火墻檢查進入和離去的報文分組的IP和TCP頭部，根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。

防火墻的基本構(gòu)件和技術(shù)

篩選路由器(Screening Router)。許多路由器產(chǎn)品都具有根據(jù)給定規(guī)則對報文分組進行篩選的功能，這些規(guī)則包括協(xié)議的類型、特定協(xié)議類型的源地址和目的地址字段以及作為協(xié)議一部分的控制字段。篩選路由器又稱為分組過濾路由器。從我們自己的角度上看， INTERNET中的地區(qū)網(wǎng)、國家網(wǎng)和主干網(wǎng)都代表著一個危險區(qū)域，在危險區(qū)域內(nèi)的主機對于外來攻擊的防范是很脆弱的。因此，我們當然希望把自己的網(wǎng)絡(luò)和主機置于危險區(qū)域之外。然而，沒有相應(yīng)的設(shè)備去攔截對自己網(wǎng)絡(luò)的攻擊，則危險區(qū)域?qū)由熘磷约旱木W(wǎng)絡(luò)上。篩選路由器就是這樣一種設(shè)備，它可以用來減小危險區(qū)域，從而使其不能滲透到我們網(wǎng)絡(luò)的安全防線之內(nèi)。

分組過濾(PacketFiltering)技術(shù)。分組過濾技術(shù)以增強篩選路由器網(wǎng)絡(luò)的安全性。分組過濾功能可以由許多商業(yè)防火墻產(chǎn)品和一些類似于Karlbridge的基于純軟件的產(chǎn)品來實現(xiàn)。但是，許多商業(yè)路由器產(chǎn)品都可以被編程以用來執(zhí)行分組過濾功能。由于分組過濾執(zhí)行在OSI模型的網(wǎng)絡(luò)層和傳輸層，而不是在應(yīng)用層，所以這種途徑通常提供更強的透明性。在分組過濾裝置的每一個端口都可以實施網(wǎng)絡(luò)安全策略，這種策略描述通過該端口可存取的網(wǎng)絡(luò)服務(wù)的類型。如果同時有許多網(wǎng)段同該過濾裝置相連，則分組過濾裝置所實施的策略將變得很復(fù)雜。在解決網(wǎng)絡(luò)安全問題時應(yīng)該避免過于復(fù)雜的方案，首先是為了便于維護和減少在配置過濾規(guī)則時出錯；其次是為了避免執(zhí)行復(fù)雜的方案對設(shè)備的性能產(chǎn)生負作用。由于分組過濾規(guī)則的設(shè)計原則是有利于內(nèi)部網(wǎng)絡(luò)連向外部網(wǎng)絡(luò)，所以在篩選路由器兩側(cè)所執(zhí)行的過濾規(guī)則是不同的。

雙宿主機(Dual-HomedHost)。在TCP/IP網(wǎng)絡(luò)中，術(shù)語多宿主機被用來描述一臺配有多個網(wǎng)絡(luò)接口的主機。通常，每一個網(wǎng)絡(luò)接口與一個網(wǎng)絡(luò)相連。在以前，這種多宿主機也可以用來在幾個不同的網(wǎng)段間進行尋徑，術(shù)語網(wǎng)關(guān)用來描述由多宿主機執(zhí)行的尋徑功能。但近年來人們一般用術(shù)語路由器來描述這種尋徑功能，而網(wǎng)關(guān)則用于描述相當于OSI模型上幾層中所進行的尋徑功能。下面介紹在雙宿主機防火墻中禁止尋徑的方法。

大多數(shù)防火墻建立在運行UNIX的機器上。為了在基于UNIX的雙宿主機中禁止進行尋徑，需要重新配置和編譯內(nèi)核。在BSD UNIX系統(tǒng)中雙宿主機防火墻的也存在安全隱患。對安全最大的危脅是一個攻擊者掌握了直接登錄到雙宿主機的權(quán)限。登錄到一個雙宿主機上總是應(yīng)該通過雙宿主機上的一個應(yīng)用層代理進行。對從外部不可信任網(wǎng)絡(luò)進行登錄應(yīng)該進行嚴格的身份驗證。還應(yīng)該從雙宿主機防火墻中移走所有的影響到安全的程序、工具和服務(wù)，以免落入攻擊者的手中。

代理服務(wù)和應(yīng)用層網(wǎng)關(guān)。代理服務(wù)(Proxy Service)使用的的方法與分組過濾器不同，代理(Proxy)使用一個客戶程序(或許經(jīng)過修改)，與特定的中間結(jié)點連接，然后中間結(jié)點與期望的服務(wù)器進行實際連接。與分組過濾器所不同的是，使用這類防火墻時外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接。因此，即使防火墻發(fā)生了問題，外部網(wǎng)絡(luò)也無法與被保護的網(wǎng)絡(luò)連接。中間結(jié)點通常為雙宿主機。代理服務(wù)可提供詳細的日志記錄( log)及審計(audit)功能，這大大提高了網(wǎng)絡(luò)的安全性，也為改進現(xiàn)有軟件的安全性能提供了可能性。

3總結(jié)

隨著Internet在我國的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對國外信息安全和防火墻技術(shù)的發(fā)展進行跟蹤，另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術(shù)提供安全保證，對其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個發(fā)展階段，仍有許多問題有待解決。因此，密切關(guān)注防火墻的最新發(fā)展，對推動Internet在我國的健康發(fā)展有著重要的意義。

參考文獻

[1]梅杰，許榕生.Internet防火墻技術(shù)最新發(fā)展. 微電腦世界， 2005， (6): 27-30.。

[2]袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù). 北京:清華大學出版社， 2005.

[3]常紅.網(wǎng)絡(luò)完全技術(shù)與反黑客. 北京:冶金工業(yè)出版社， 2004.