防火墻技術(shù)應(yīng)用的新發(fā)展

金 飛 張曉瑾 羅迪文

（嘉興職業(yè)技術(shù)學(xué)院信息技術(shù)分院，浙江 嘉興314026）

防火墻技術(shù)應(yīng)用的新發(fā)展

金 飛 張曉瑾 羅迪文

（嘉興職業(yè)技術(shù)學(xué)院信息技術(shù)分院，浙江 嘉興314026）

互聯(lián)網(wǎng)已廣泛運(yùn)用到教育、科研、軍事、商業(yè)、文化等各個(gè)領(lǐng)域，連接著世界上億萬(wàn)人口。隨著計(jì)算機(jī)網(wǎng)絡(luò)爆炸式的發(fā)展，因特網(wǎng)給人們的生活帶來了極大地方便，同時(shí)也面臨著各種威脅。如何使用有效的方法將網(wǎng)絡(luò)存在的威脅降低到人們可接受的范圍內(nèi)受到了各界的廣泛關(guān)注。防火墻的漏洞掃描、入侵檢測(cè)等進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)防范成為安全首要關(guān)注問題，也很有必要。

網(wǎng)絡(luò)安全；功能類型；配置

網(wǎng)絡(luò)安全是當(dāng)今各國(guó)發(fā)展所面臨重要問題。據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，全球每年因網(wǎng)絡(luò)安全所造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。在我們國(guó)家，每年因?yàn)楹诳偷挠幸馊肭?、?jì)算機(jī)各種病毒的破壞而造成的經(jīng)濟(jì)損失同樣巨大。如何建立比較安全的網(wǎng)絡(luò)體系，是當(dāng)今社會(huì)一直所關(guān)注的問題。

1 研究背景

防火墻（FireWall），它是目前最為廣泛使用的網(wǎng)絡(luò)安全防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)或多個(gè)相對(duì)可信與不可信網(wǎng)絡(luò)之間的訪問和控制集合。防火墻的本意是指用石器所堆砌的墻作為阻擋物，是用來防止木質(zhì)結(jié)構(gòu)物在著火時(shí)的火勢(shì)蔓延影響相鄰物體的安全保障。后被人們稱之為“防火墻”，其實(shí)防火墻就相當(dāng)于阻擋威脅侵犯的一個(gè)“門”。有了這扇門，建起了各房間的“人”的溝通通道，檢測(cè)著進(jìn)出這些門的“人”的流量，同時(shí)也給進(jìn)出門的“人”給予不同的待遇。這個(gè)門就相當(dāng)于防火墻里設(shè)置中的“安全策略”，所以“防火墻”并不是完全的隔離，而是帶有細(xì)絲網(wǎng)過濾的墻。而細(xì)絲網(wǎng)就是用來設(shè)置哪些信息可以通信，哪些信息被阻止，哪些資源可以有條件的訪問，哪些資源不能訪問等。其目的就是保護(hù)兩個(gè)相對(duì)網(wǎng)絡(luò)間可信網(wǎng)資源不被來自不可信網(wǎng)的攻擊。

我們?nèi)缃袼f的網(wǎng)絡(luò)防火墻是借鑒如上“防火墻”的喻義，設(shè)在兩個(gè)信用級(jí)別不同的網(wǎng)絡(luò)之間的一道安全防御系統(tǒng)。使內(nèi)部的局域網(wǎng)（LAN）之間或LAN網(wǎng)絡(luò)與Internet之間互相隔離、限制互訪，從而實(shí)現(xiàn)不同網(wǎng)絡(luò)間的安全通信。

2 防火墻概述

2．1 防火墻的定義

防火墻(Firewall)是可信網(wǎng)絡(luò)(一般為局域網(wǎng))和不可信網(wǎng)絡(luò)(如：Internet)之間的一道安全柵欄，是指設(shè)置在兩個(gè)網(wǎng)絡(luò)之間的一套組件(既可以是一組硬件，也可以是一組軟件，還可以是軟、硬件的組合)，并用來檢測(cè)和控制兩個(gè)不同網(wǎng)絡(luò)之間的通信，允許通過合法的信息，阻止通過非法信息，以達(dá)到對(duì)交互流動(dòng)信息的合法性檢測(cè)和訪問控制，保護(hù)信息網(wǎng)絡(luò)的安全。

2．2 防火墻的功能

防火墻會(huì)對(duì)經(jīng)過它的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)，對(duì)經(jīng)過的數(shù)據(jù)流進(jìn)行有目的地過濾，有效避免非法操作在目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)中被執(zhí)行。比如：防火墻可以關(guān)閉不使用的端口，來禁止特定端口的信息流過；可以禁止來自黑名單站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

（1）網(wǎng)絡(luò)安全的屏障

防火墻通過其內(nèi)部的過濾技術(shù)，能極大地提高一個(gè)局域網(wǎng)內(nèi)部的安全性，過濾掉一些不安全的服務(wù)和操作命令，從而大大降低整個(gè)局域網(wǎng)運(yùn)行的風(fēng)險(xiǎn)。因?yàn)橹挥蟹阑饓Π踩呗灾性试S的協(xié)議、該協(xié)議數(shù)據(jù)包才能順利地通過防火墻，讓局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)運(yùn)行環(huán)境更安全可靠。同時(shí)，防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的入侵，保護(hù)網(wǎng)內(nèi)服務(wù)器免受拒絕服務(wù)的攻擊等，并通知系統(tǒng)管理員引起警惕。

2.2.2 強(qiáng)化安全策略

通過以防火墻為中心的安全策略的配置，能集口令、加密身份認(rèn)證、日志記錄和審計(jì)等功能與一體，配置在防火墻上，簡(jiǎn)化了安全管理，與網(wǎng)絡(luò)安全問題分散在局域網(wǎng)內(nèi)部各個(gè)節(jié)點(diǎn)上相比，集中安全管理更方便、有效和經(jīng)濟(jì)。

2．2．3 監(jiān)控審計(jì)

如果所有資源的訪問都經(jīng)過防火墻，那么，防火墻就能逐一記錄下這些訪問并形成日志記錄，同時(shí)也能監(jiān)測(cè)到網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并向網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和入侵的詳細(xì)信息。

2．2．4 防止內(nèi)部信息的泄露

通過利用防火墻對(duì)局域網(wǎng)內(nèi)部的屏蔽，可實(shí)現(xiàn)局域網(wǎng)內(nèi)部網(wǎng)段的隔離，防止網(wǎng)內(nèi)重點(diǎn)或敏感信息受外部網(wǎng)絡(luò)窺探而造成隱密信息外泄。另外，隱私是局域網(wǎng)內(nèi)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能被外部入侵者的利用并由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞，防火墻通過地址轉(zhuǎn)換、端口映射等隱蔽了那些可能透露內(nèi)部細(xì)節(jié)的服務(wù)。

2．3 防火墻的類型

防火墻的實(shí)現(xiàn)方式多種多樣，根據(jù)防火墻所采用的技術(shù)，防火墻主要分為數(shù)據(jù)包過濾、應(yīng)用代理、復(fù)合型等幾種。

2．3．1 包過濾型防火墻

包過濾型防火墻處于TCP/IP協(xié)議的IP層，它是根據(jù)防火墻所定義好的訪問規(guī)則，過濾審查每個(gè)數(shù)據(jù)包，并且對(duì)數(shù)據(jù)包與訪問規(guī)則逐條匹配，從而決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。訪問規(guī)則設(shè)定作用范圍由小到大，檢查時(shí)按照從上到下的順序進(jìn)行，隨著逐條檢查深入，直到與訪問規(guī)則匹配為止。如果沒有可以匹配的規(guī)則，則按缺省的規(guī)則執(zhí)行。防火墻的缺省規(guī)則應(yīng)該是禁止一切數(shù)據(jù)包通過。包過濾型防火墻只能實(shí)現(xiàn)基于IP地址和端口號(hào)的過濾功能。

2．3．2 應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是局域網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層數(shù)據(jù)流的作用。代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序，這些程序接受局域網(wǎng)內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的服務(wù)請(qǐng)求并將它們轉(zhuǎn)發(fā)出去。代理服務(wù)是按照應(yīng)用層上的安全策略控制對(duì)外的服務(wù)請(qǐng)求數(shù)據(jù)包，確定是允許轉(zhuǎn)發(fā)還是拒絕操作的服務(wù)系統(tǒng)。

2．3．3 混合型防火墻

混合型防火墻是把過濾和代理服務(wù)等功能統(tǒng)統(tǒng)結(jié)合起來形成新的防火墻，所用主機(jī)被稱為“堡壘主機(jī)”，負(fù)責(zé)代理服務(wù)。當(dāng)前的防火墻產(chǎn)品已不是單一的包過濾或代理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個(gè)混合的多級(jí)防火墻，以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)應(yīng)用擴(kuò)展，提高防火墻的靈活性和安全性。

2．4 防火墻的優(yōu)缺點(diǎn)

2．4．1 防火墻的優(yōu)點(diǎn)：

可以強(qiáng)化網(wǎng)絡(luò)的安全策略，保護(hù)易受攻擊的信息服務(wù)。防火墻中執(zhí)行的網(wǎng)絡(luò)安全策略，能夠有效的過濾那些不安全的服務(wù)，拒絕可疑的訪問，大大降低非法攻擊的風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全系數(shù)。

控制對(duì)特殊站點(diǎn)的訪問。通過端口映射，將郵件服務(wù)、WWW 服務(wù)和FTP服務(wù)等端口映射到公網(wǎng)地址，實(shí)現(xiàn)內(nèi)部有限資源被外部網(wǎng)絡(luò)訪問，保護(hù)網(wǎng)內(nèi)其他主機(jī)和信息資源。

實(shí)現(xiàn)網(wǎng)段控制。防火墻能夠用來隔離網(wǎng)絡(luò)中的網(wǎng)段，可以有效的避免一個(gè)網(wǎng)段中的問題擴(kuò)散到整個(gè)網(wǎng)絡(luò)。

2．4．2 防火墻的缺點(diǎn)

防火墻不能防范內(nèi)部攻擊。防火墻可以很好地防止外部用戶獲得內(nèi)網(wǎng)敏感數(shù)據(jù)，但是它沒法防止局域網(wǎng)內(nèi)部用戶偷竊數(shù)據(jù)、拷貝數(shù)據(jù)、破壞硬件和軟件等行為。

防火墻訪問過當(dāng)控制。防火墻很可能由于安全策略設(shè)置過嚴(yán)或設(shè)置不當(dāng)而阻止了一些合理的訪問服務(wù)。

不能防范已感染病毒的文件。防火墻不能有效地防范網(wǎng)絡(luò)中的所有病毒。

防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬(wàn)能藥，而只是網(wǎng)絡(luò)安全防護(hù)策略的一個(gè)組成部分。

3 防火墻VPN技術(shù)

3．1 虛擬專用網(wǎng)VPN(Virtual Private Network)

虛擬專用網(wǎng)是借用公共網(wǎng)絡(luò)(Internet)，通過加密機(jī)制形成一個(gè)安全、穩(wěn)定的隧道，建立一個(gè)臨時(shí)的、安全的連接，它是對(duì)企業(yè)內(nèi)部網(wǎng)(Intranet)的擴(kuò)展如圖1。

3.2 VPN的優(yōu)點(diǎn)及功能：

3．2．1 VPN的優(yōu)點(diǎn)

成本較低：借用公網(wǎng)線路，節(jié)省專線成本。

網(wǎng)絡(luò)結(jié)構(gòu)靈活：易于實(shí)施和擴(kuò)展。

管理方便：網(wǎng)絡(luò)設(shè)備較少。

VPN是一種特殊的、虛擬的“點(diǎn)對(duì)點(diǎn)”(end to end)連接，它使用“隧道”(Tunnel)技術(shù),使通信數(shù)據(jù)包在公共的Internet網(wǎng)絡(luò)上專門開辟的“隧道”內(nèi)傳輸。

3．2．2 VPN的功能

（1）加密數(shù)據(jù)：保證通過公網(wǎng)傳輸?shù)男畔⒉恍孤?/p>

（2）信息認(rèn)證和身份認(rèn)證：保證信息的完整性、合法性。對(duì)不同的用戶授有不同的訪問權(quán)限。

3.2.3 VPN的應(yīng)用

VPN主要通過一個(gè)IPSEC協(xié)議族，構(gòu)建應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括以下主要協(xié)議：

（1）AH（Authentication Header）：為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性保證，保護(hù)通信數(shù)據(jù)免受篡改，但是明文傳輸，適合用于傳輸非機(jī)密數(shù)據(jù)。

（2）ESP（Encapsulating Security Payload）：為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密，可提供機(jī)密性和防篡改性。

（3）IKE（Internet Key Exchange）：負(fù)責(zé)協(xié)商安全關(guān)聯(lián)和建立隧道如圖所示2。

IPSec有兩種工作模式：

（1）隧道模式（Tunnel）

可以對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包頭部和數(shù)據(jù)進(jìn)行加密認(rèn)證，協(xié)議數(shù)據(jù)包通過隧道傳輸。

（2）傳輸模式（Transport）

可以對(duì)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行加密認(rèn)證，即協(xié)議為應(yīng)用層數(shù)據(jù)提供基本保護(hù)。

3．3 VPN的適用范圍

（1）特別適用于移動(dòng)辦公的用戶。

（2）適用距離范圍相對(duì)比較遠(yuǎn)，站點(diǎn)分散較廣的用戶。

（3）對(duì)線路保密性和可用性有一定要求，帶寬和時(shí)延要求相對(duì)不高。

4 總結(jié)

網(wǎng)絡(luò)安全正面臨著前所未有的挑戰(zhàn)。已擴(kuò)展到網(wǎng)絡(luò)空間安全的國(guó)家戰(zhàn)略層面，網(wǎng)絡(luò)安全防護(hù)是一個(gè)過程，只有起點(diǎn)，沒有終點(diǎn)。防火墻是保護(hù)局域網(wǎng)、防范黑客攻擊最常用的手段之一，目前也正在與最前沿的其他安全技術(shù)有效結(jié)合，以更有效地防范各種新的攻擊手段。

［1］王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù)，2010，(s):1054－1055.

［2］謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社，2009：170-231

［3］張紅旗，王魯，等，編.信息安全技術(shù)[M].高等教育出版社，2010：235-254．

［4］張華貴，王海燕.計(jì)算機(jī)網(wǎng)絡(luò)在安全分析與對(duì)策[J].電腦知識(shí)與技術(shù)，2005，7：46-52．

［責(zé)任編輯：張濤］

The New Development of the Application of Firewall technology

JIN Fei ZHANG Xiao-jin LUO Di-wen
(Jiaxing Vocational and Technical College,The information technology branch,Jiaxing Zhejiang,314026,China)

Today the Internet has been widely applied to various fields of education,scientific research,military,commercial,cultural,With the development of computer network,the Internet to people's lives brought great convenience,while also facing various threats.How to use effective methods to reduce the threat of the network has been widely concerned by people.Firewall vulnerability scanning,intrusion detection and other network risk prevention become the main concern of security,it is necessary.

Network security;Function type;Configuration

金飛（1996—），男，漢族，浙江嘉興人，嘉興職業(yè)技術(shù)學(xué)院信息技術(shù)分院，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)。

張曉瑾（1997—），女，漢族，浙江嘉興人，嘉興職業(yè)技術(shù)學(xué)院信息技術(shù)分院，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)。

羅迪文（1995—），女，漢族，浙江溫州人，嘉興職業(yè)技術(shù)學(xué)院信息技術(shù)分院，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)。