防火墻在網(wǎng)絡安全中的作用

摘要：現(xiàn)在的網(wǎng)絡安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件的竊密。而殺毒軟件是被動殺毒，光靠殺毒軟件是無法保證我們的系統(tǒng)安全。該文主要介紹防火墻的作用及應用，為計算機的安全，提供一些借鑒。

關(guān)鍵詞：網(wǎng)絡；防火墻；系統(tǒng)漏洞；授權(quán)；協(xié)議

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1055-02

接觸網(wǎng)絡的人都知道網(wǎng)絡黑客專門利用各種網(wǎng)絡和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息，為自己謀利益。隨著軟件技術(shù)的不斷發(fā)展，如今攻擊網(wǎng)絡系統(tǒng)和竊取信息已經(jīng)不需要自己“嘔心瀝血。網(wǎng)絡中散布著大量的網(wǎng)絡攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執(zhí)行就可以給網(wǎng)絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網(wǎng)絡。這種情況使得近幾年的網(wǎng)絡攻擊頻率和密度顯著增長，給網(wǎng)絡安全帶來越來越多的安全隱患。

為了有效地保護我們的計算機及信息資源不受侵害，我們采取了許多辦法來保護不可信任的網(wǎng)絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以有效地防御網(wǎng)絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為拒之門外。從而降低網(wǎng)絡運行的風險。

1 防火墻的作用

“防火墻（Firewall）”一詞，在網(wǎng)絡術(shù)語中是指一種軟件，它可以在用戶的計算機和Internet之間建立起一道屏障，把用戶和網(wǎng)絡隔離開來；用戶可以通過設定規(guī)則來決定哪些情況下防火墻應該隔斷計算機與Internet間的數(shù)據(jù)傳輸，哪些情況下允許兩者間的數(shù)據(jù)傳輸。通過這樣的方式，防火墻承受住所有對用戶的網(wǎng)絡攻擊，從而保障用戶的網(wǎng)絡安全。防火墻的基本功能是對網(wǎng)絡通信進行篩選、屏蔽，以防止未授權(quán)的訪問進出計算機網(wǎng)絡，簡單的概括就是，對網(wǎng)絡進行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡和不可信任網(wǎng)絡之間。防火墻一般有三個特性：1) 所有的通信都經(jīng)過防火墻；2) 防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡流量；3) 防火墻能經(jīng)受對其本身的攻擊。

因此，防火墻是在可信任網(wǎng)絡和不可信任網(wǎng)絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器，一臺多個網(wǎng)絡接口的計算機或服務器等，被配置成保護指定網(wǎng)絡，使其免受來自于非信任網(wǎng)絡區(qū)域的某些協(xié)議與服務的影響。所以一般情況下防火墻都位于網(wǎng)絡的邊界，例如保護企業(yè)網(wǎng)絡的防火墻，將部署在內(nèi)部網(wǎng)絡到外部網(wǎng)絡的核心區(qū)域上。

2 防火墻的主要類型

如今市場上的防火墻形式多樣。有以軟件形式運行在普通計算機之上的，也有以固件形式設計在路由器之中的。總的來說可以分為三種：包過濾防火墻、代理服務器和狀態(tài)監(jiān)視器。

1) 包過濾防火墻：包過濾防火墻設置在網(wǎng)絡層，可以在路由器上實現(xiàn)包過濾。這種防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術(shù)不能識別有危險的信息包，無法實施對應用級協(xié)議的處理，也無法處理UDP、RPC或動態(tài)的協(xié)議。

2) 代理防火墻：代理防火墻又稱應用層網(wǎng)關(guān)級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器負責網(wǎng)絡互連，并對數(shù)據(jù)進行嚴格選擇，然后將篩選過的數(shù)據(jù)傳送給代理服務器。代理服務器起到外部網(wǎng)絡申請訪問內(nèi)部網(wǎng)絡的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，當外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請某種網(wǎng)絡服務時，代理服務器接受申請，然后它根據(jù)其服務類型、服務內(nèi)容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內(nèi)部網(wǎng)絡轉(zhuǎn)發(fā)這項請求。代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務（如多媒體）。現(xiàn)要較為流行的代理服務器軟件是WinGate和Proxy Server。

3) 狀態(tài)監(jiān)視器

狀態(tài)監(jiān)視器作為防火墻技術(shù)其安全特性最佳，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后制定安全決策的參考。檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充。與其它安全方案不同，當用戶訪問到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并作下記錄向系統(tǒng)管理器報告網(wǎng)絡狀態(tài)。狀態(tài)監(jiān)視器的另一個優(yōu)點就是可以監(jiān)測RemoteProcedureCall和User DatagrqamProtocol類的端口信息。問題當然也有，即狀態(tài)監(jiān)視器的配置非常復雜，而且會降低網(wǎng)絡的速度。

3 防火墻的特點

3.1 防火墻的優(yōu)點

1) 防火墻能夠強化安全策略

因為網(wǎng)絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。

2) 防火墻能有效地記錄網(wǎng)絡上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄。

3) 防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡進行傳播。

4) 防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

3.2 防火墻的缺點

1) 不能防范惡意的知情者

防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內(nèi)部管理，如主機安全和用戶教育等。

2) 不能防范不通過它的連接

防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔?。例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

3) 不能防備全部的威脅

防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，可以防備新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。

4) 防火墻不能防范病毒

防火墻不能消除網(wǎng)絡上的PC機的病毒。

4 防火墻的應用

為什么要使用防火墻？很多人都會有這個問題，也有人提出，如果把每個單機的系統(tǒng)配置好，其實也能經(jīng)受住攻擊。遺憾的是如今的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，系統(tǒng)無法在安全性，可用性和功能上進行權(quán)衡和妥協(xié)。而防火墻只專注做一件事，在已授權(quán)和未授權(quán)通信之間做出決斷。如果沒有防火墻，整個網(wǎng)絡的安全將倚仗該網(wǎng)絡中所有系統(tǒng)的安全性的平均值。但是整個網(wǎng)絡的安全性被網(wǎng)絡中最脆弱的部分所嚴格制約，即“木桶理論”。沒有人可以保證網(wǎng)絡中每個節(jié)點每個服務都永遠運行在最佳狀態(tài)。網(wǎng)絡越龐大，把網(wǎng)絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網(wǎng)絡安全框架的崩潰。防火墻成為了與不可信任網(wǎng)絡進行聯(lián)絡的唯一紐帶，我們通過部署防火墻，就可以通過關(guān)注防火墻的安全來保護其內(nèi)部的網(wǎng)絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網(wǎng)絡安全犯罪的調(diào)查取證提供了依據(jù)?？傊?，防火墻減輕了網(wǎng)絡和系統(tǒng)被用于非法和惡意目的的風險。

5 防火墻的未來發(fā)展趨勢

目前，防火墻技術(shù)已經(jīng)引起了人們的注意，隨著新技術(shù)的發(fā)展，混合使用包過濾技術(shù)、代理服務技術(shù)和其它一些新技術(shù)的防火墻正向我們走來。

越來越多的客戶端和服務器端的應用程序本身就支持代理服務方式。比如，許多WWW客戶服務軟件包就具有代理能力。而許多象SOCKS這樣的軟件在運行編譯時也支持類代理服務。

包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。比如動態(tài)包過濾系統(tǒng)，在CheckPointFirewall－1、KarlBrige/KarlBrouter以及MorningStarSecureConnectrouter中的包過濾規(guī)則可由路由器靈活、快速的來設置。一個輸出的UDP數(shù)據(jù)包可以引起對應的允許應答UDP創(chuàng)立一個臨時的包過濾規(guī)則，允許其對應的UDP包進入內(nèi)部網(wǎng)。

被稱為\"第三代\"產(chǎn)品的第一批系統(tǒng)已開始進入市場。例如，Border網(wǎng)絡技術(shù)公司的Border產(chǎn)品和Truest信息系統(tǒng)公司的Gauntlet3.0產(chǎn)品從外部向內(nèi)看起來像是代理服務，而由內(nèi)部向外看像一個包過濾系統(tǒng)。這些產(chǎn)品通過對大量內(nèi)部網(wǎng)的外向連接請求的計帳系統(tǒng)和包的批次修改對防火墻的內(nèi)外提供相關(guān)的偽像。KarlBridge/KarlBrouter產(chǎn)品拓展了包過濾的范圍，它對應用層上的包過濾和授權(quán)進行了擴展。這比傳統(tǒng)的包過濾要精細得多。

目前，人們正在設計新的IP協(xié)議。IP協(xié)議的變化將對防火墻的建立與運行產(chǎn)生深刻的影響。同時，目前大多數(shù)網(wǎng)絡上的機器的信息流都有可能被偷看到，但更新式的網(wǎng)絡技術(shù)如幀中繼，異步傳輸模式（ATM）可將數(shù)據(jù)包源地址直接發(fā)送給目的地址，從而防止信息流在傳輸中途被泄露。

參考文獻：

[1] 潘愛民.計算機網(wǎng)絡[M].北京:清華大學出版社，2004.

[2] 徐明.網(wǎng)絡信息安全[M].西安:西安電子科技大學出版社，2006.