防火墻發(fā)展現(xiàn)狀及未來展望

榮二虎

中山大學(xué)信息科學(xué)與技術(shù)學(xué)院 廣東 510006

0 引言

隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用，越來越多的生產(chǎn)活動(dòng)已經(jīng)離不開網(wǎng)絡(luò)。同時(shí)，基于網(wǎng)絡(luò)的安全威脅引起了越來越廣泛的關(guān)注。作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的屏障，防火墻在應(yīng)對來自網(wǎng)絡(luò)的威脅顯得尤為重要，吸引了廣泛的研究興趣。

1 防火墻的基本概念

1.1 防火墻

防火墻是計(jì)算機(jī)硬件與軟件的結(jié)合，它是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、專用網(wǎng)和公用網(wǎng)之間構(gòu)建的一道雙向流量都必須經(jīng)過的屏障，從而保證內(nèi)部網(wǎng)或?qū)Ｓ镁W(wǎng)不受來自外部網(wǎng)絡(luò)或公用網(wǎng)的非法訪問。

防火墻本質(zhì)上是一種隔離技術(shù)，主要作用是在內(nèi)部網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)與外網(wǎng)或公用網(wǎng)通信時(shí)，既能允許合法的訪問和數(shù)據(jù)進(jìn)出，同時(shí)阻止非法的訪問和數(shù)據(jù)。

1.2 防火墻的必要

對于一個(gè)組織，互聯(lián)網(wǎng)的連通性的必要的。但是互聯(lián)網(wǎng)訪問為組織帶來益處時(shí)，也給組織帶來了來自外部世界的非法交互的威脅。盡管可以為組織內(nèi)的各個(gè)工作站和服務(wù)器配備強(qiáng)大的安全措施，如入侵檢測系統(tǒng)，但這卻是一種極為不實(shí)用的策略。防火墻設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間，提供內(nèi)部網(wǎng)與外部網(wǎng)的可控連接，有效地應(yīng)對了來自網(wǎng)絡(luò)的安全威脅。防火墻對于網(wǎng)絡(luò)安全已經(jīng)顯得非常必要。

1.3 防火墻的設(shè)計(jì)目標(biāo)

防火墻的設(shè)計(jì)有以下目標(biāo)：

(1) 所有進(jìn)入和離開的網(wǎng)絡(luò)流量都必須通過防火墻；

(2) 只有合法的網(wǎng)絡(luò)流量才被允許通過防火墻。

(3) 防火墻本身不能被攻破。

2 防火墻技術(shù)

防火墻主要采用包過濾、狀態(tài)檢測、應(yīng)用層代理和鏈路層代理等技術(shù)。

2.1 包過濾防火墻

包過濾防火墻的思想是將防火墻作為過濾器使用。包過濾防火墻建立一個(gè)規(guī)則庫，對每個(gè)經(jīng)過防火墻的IP包應(yīng)用其中的規(guī)則。防火墻既可以設(shè)計(jì)為允許滿足特定條件的包通過，也可以設(shè)計(jì)為拒絕滿足一定條件的包通過。這取決于對過濾規(guī)則的配置設(shè)計(jì)。

過濾規(guī)則主要關(guān)注的IP包信息包括源IP地址、目的IP地址、源端口、目的端口和IP協(xié)議域等。

典型的配置是將過濾規(guī)則設(shè)置成與IP和TCP協(xié)議中頭部信息域匹配的規(guī)則。如果被檢測的包與其中的某條規(guī)則匹配，則調(diào)用此規(guī)則決定丟棄還是傳遞該包。如果沒有匹配的規(guī)則，執(zhí)行默認(rèn)操作。默認(rèn)操作可設(shè)置為丟棄，也可設(shè)置為傳遞，這取決于對安全性的需求。

2.2 狀態(tài)檢測防火墻

包過濾防火墻僅僅對單個(gè)包進(jìn)行判斷，不能考慮上下文的信息。狀態(tài)檢測防火墻檢查的信息與包過濾防火墻相同，但卻同時(shí)記錄有關(guān)通信狀態(tài)的TCP連接信息，能夠?qū)崿F(xiàn)動(dòng)態(tài)的過濾機(jī)制，增強(qiáng)了對網(wǎng)絡(luò)流量的控制能力。

2.3 應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)也稱為代理服務(wù)器，能夠?qū)碜詰?yīng)用層的流量提供緩沖。

當(dāng)內(nèi)部網(wǎng)的用戶請求訪問外部網(wǎng)絡(luò)上的服務(wù)時(shí)，該應(yīng)用被引導(dǎo)至防火墻中的代理服務(wù)器。代理服務(wù)器將自己視為外部網(wǎng)絡(luò)的服務(wù)器，對請求進(jìn)行評估，并根據(jù)一套規(guī)則決定允許或拒絕該請求。圖1為應(yīng)用層網(wǎng)關(guān)示意圖。

圖1 應(yīng)用層網(wǎng)關(guān)示意圖

2.4 鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)又稱鏈路層代理。鏈路層網(wǎng)關(guān)建立自身與內(nèi)部主機(jī)TCP用戶的連接，自身與外部主機(jī)TCP用戶的連接，不允許內(nèi)部主機(jī)TCP用戶與外部主機(jī)TCP用戶建立點(diǎn)對點(diǎn)的連接。其主要安全功能是判斷哪些連接是合法的，并且只為合法連接建立代理連接。一旦代理連接建立，不需要檢查這兩個(gè)連接之間傳遞的內(nèi)容。圖2為鏈路層網(wǎng)關(guān)示意圖。

圖2 鏈路層網(wǎng)關(guān)示意圖

3 防火墻的位置

一個(gè)防火墻的定位決定了不可信任的外部網(wǎng)絡(luò)和可信的內(nèi)部網(wǎng)之間的邊界。針對內(nèi)部網(wǎng)的安全需求，安全管理者需要決策防火墻的部署位置。典型的防火墻部署位置有以下幾種。

3.1 非軍事區(qū)網(wǎng)段

非軍事區(qū)網(wǎng)段采用兩種防火墻：內(nèi)部防火墻放在內(nèi)部網(wǎng)需要保護(hù)部分的邊緣；外部防火墻放置在外部網(wǎng)與整個(gè)網(wǎng)的邊界。兩種防火墻之間的區(qū)域被稱為非軍事區(qū)網(wǎng)段(DMZ Networks)，在該區(qū)域放置的設(shè)備通常允許來自外部網(wǎng)絡(luò)的訪問，如該組織的Web服務(wù)器、FTP服務(wù)器和郵件服務(wù)器等。

3.2 虛擬專用網(wǎng)

在分布式環(huán)境中，虛擬專用網(wǎng)(VPN)提供一種極具吸引力的網(wǎng)絡(luò)管理方式。在低協(xié)議層，VPN使用加密和認(rèn)證并通過因特網(wǎng)實(shí)現(xiàn)安全連接。這比真正使用私有線路的網(wǎng)絡(luò)廉價(jià)，但同時(shí)需要兩端具有相同的加解密和認(rèn)證系統(tǒng)以實(shí)現(xiàn)安全性。目前，加密主要通過防火墻來執(zhí)行，最常用的機(jī)制為IPSec。

3.3 分布式防火墻

網(wǎng)絡(luò)管理員可以在組織的服務(wù)器和工作站上配置主機(jī)防火墻，也可以在內(nèi)部網(wǎng)的主機(jī)上配置個(gè)人防火墻。這些防火墻在管理員的策略下與獨(dú)立防火墻協(xié)同工作。獨(dú)立防火墻提供對整個(gè)內(nèi)部網(wǎng)的全局保護(hù)，主機(jī)防火墻和個(gè)人防火墻則與獨(dú)立防火墻形成了內(nèi)部的非軍事區(qū)，提供對服務(wù)器和主機(jī)更嚴(yán)格的保護(hù)。

4 防火墻的優(yōu)缺點(diǎn)

4.1 防火墻的優(yōu)點(diǎn)

(1) 防火墻能強(qiáng)化安全策略。

(2) 防火墻能有效地記錄Internet上的活動(dòng)。

(3) 防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。

(4) 防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。

4.2 防火墻的局限性

(1) 防火墻對繞開防火墻的攻擊無能為力；

(2) 防火墻不能完全防止內(nèi)部威脅。

5 防火墻的未來發(fā)展趨勢

(1) 自身安全性提升

未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻本身的安全會(huì)得到有效地解決方案，為防火墻的應(yīng)用提供更安全的保障。

(2) 檢測速度高速化

大量的測試數(shù)據(jù)表明，防火墻一個(gè)很大的局限性是速度，往往造成網(wǎng)絡(luò)堵塞。檢測速度是防火墻應(yīng)用必須解決的問題之一。目前針對檢測的算法、硬件的研究不斷深入，檢測速度不斷提升，也正朝著高速化的方向邁進(jìn)。

(1) 功能多樣性增加

多功能也是防火墻的發(fā)展方向之一?，F(xiàn)在，組網(wǎng)環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)設(shè)備種類逐漸增多。用盡量少的設(shè)備可以提供盡量多的功能，不僅節(jié)約組網(wǎng)成本，也能給組網(wǎng)帶來方便。

(2) 對非法訪問智能切斷

對于入侵行為的預(yù)見和智能切斷，也是防火墻發(fā)展的一個(gè)方向。及早地切斷非法訪問，不僅能使防火墻的檢測效率大為提升，也能有效地節(jié)約系統(tǒng)資源。

(3) 多端口并適合靈活配置

多端口的防火墻能夠?yàn)橛脩籼峁└鼮槿?、靈活的安全解決方案。多端口、靈活配置的防火墻，也是未來防火墻發(fā)展的趨勢。

6 結(jié)束語

在計(jì)算機(jī)網(wǎng)絡(luò)高速發(fā)展的今天，網(wǎng)絡(luò)安全是一個(gè)不容忽視的研究課題。近年來，關(guān)于防火墻的研究不斷深入，也取得了一系列的重大成果。我們有理由相信，在未來的網(wǎng)絡(luò)世界里，防火墻必將發(fā)揮巨大的作用。

[1]莊健平.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].計(jì)算機(jī)安全技術(shù).2010.

[2]Audin,G.Next-Gen Firewalls:What to Expect [J].Business Communications Review,June.2004.

[3]Bellovin,Cheswick. Network Firewalls [C]IEEE Communic ations Magazine,September 1994.

[4]Chapman,D.and Zwicky,E.Building Internet Firewalls [C].Sebastopol,CA:O’Reilly.2000.

[5]Wilson,J.The future of Firewall[J].Business Communications Review.May 2004.

[6]Lodin,S.and Schuba,C.Firewalls Fend Off Invasion from the Net[J].IEEE Spectrum,February 1998.

[7]Oppliger,R.Internet Security:Firewalls and Beyond[C].Communi cations of ACM.May 1997.

[8]Wack,J.;Cutler,K.;and Pole,J.Guidelines on Firewalls and Firewall Policy[M].NIST Special Publication SP 800-41.January.2002.

[9]William Stallings.Network Security Essentials–Application and Standard[M].Forth Edition.Tsinghua University Press.2011.

[10]玄文啟.基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻及實(shí)現(xiàn)[J].中國科技信息.2010.

[11]毛錦庚,甘衛(wèi)民,黃偉繼.防火墻技術(shù)的研究與發(fā)展[J].商場現(xiàn)代化.2005.

[12]賈鐵軍.新型智能防火墻的關(guān)鍵技術(shù)及特殊應(yīng)用[J].上海電機(jī)學(xué)院學(xué)報(bào).2007.

[13]楊丹.嵌入式防火墻的研究[J].計(jì)算機(jī)與網(wǎng)絡(luò).2008.

[14]黃力.分布式防火墻的配置與性能分析[J].微計(jì)算機(jī)信息.2007.