淺談防火墻技術(shù)

摘要：防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是限制非法流量，以保護(hù)內(nèi)部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產(chǎn)品能否成功的一個關(guān)鍵問題。

關(guān)鍵詞：計算機(jī) 防火墻 Internet 安全 技術(shù)特征

1引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)。

防火墻是一種網(wǎng)絡(luò)技術(shù)，最初它被定為一個實(shí)施某些安全策略保護(hù)一個可信網(wǎng)絡(luò)，用以防止來自一個不可信的網(wǎng)絡(luò)（如Internet）的攻擊的裝置。

防火墻就是一個或多組網(wǎng)絡(luò)設(shè)備，可用來在兩個或多個網(wǎng)絡(luò)間加強(qiáng)訪問控制。它的實(shí)現(xiàn)有好多種方式，有的實(shí)現(xiàn)還是很復(fù)雜的，但基本原理卻很簡單?？梢园阉胂蟪梢粋€開關(guān)，一個是用來阻止輸入，另一個用來允許輸入。防火墻可以設(shè)置在不同的網(wǎng)絡(luò)之間（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、檢測）出入網(wǎng)絡(luò)的信息流，且本身也具有較強(qiáng)的攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2防火墻的概述

2.1防火墻的概述

人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡(luò)上，如果一個網(wǎng)絡(luò)接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡，它的作用與建筑的防火磚墻有類似之處，因此我們把這個屏障就叫做"防火墻"。

防火墻就是一個位于電腦和它所連接的網(wǎng)絡(luò)之間的軟件。該電腦流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣一對機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。

2.2防火墻的功能

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)電腦。可以將防火墻配置成許多不同保護(hù)級別。

防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)電腦上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

2.2.1訪問控制功能

通過防火墻的包內(nèi)容設(shè)置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一致性檢測機(jī)制，防止沖突。

IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。

應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。

在應(yīng)用層提供代理支持：指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。

在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應(yīng)用層高級代理功能，如HTTP、POP3 。

支持網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，這是一種比較安全的身份認(rèn)證技術(shù)。

2.2.2防御功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。

提供內(nèi)容過濾： 是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進(jìn)行控制。

防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報警等。

過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防御的DoS攻擊類型：拒絕服務(wù)攻擊（DoS）就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險代碼時，向服務(wù)器報警。

3網(wǎng)絡(luò)安全

3.1網(wǎng)絡(luò)安全問題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國對于計算機(jī)安全的定義是："計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。"

3.2網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：

一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。

二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。

三是管理措施，包括技術(shù)與社會措施。

主要措施有：提供實(shí)時改變安全策略的能力、實(shí)時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。

這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。

4結(jié)束語

隨著Internet/Intranet技術(shù)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全越來越引起人們的關(guān)注。如何保護(hù)企業(yè)和個人在網(wǎng)絡(luò)上的敏感信息不受侵犯己成為當(dāng)前擺在人們面前的一個重大問題。

防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。算機(jī)網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)安全就像矛和盾，自計算機(jī)誕生之日起就彼消此長。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。

參考文獻(xiàn)

1.石志國等編著.計算機(jī)網(wǎng)絡(luò)安全教程. 北京：清華大學(xué)出版社，2004.2

2.楚狂等編著.網(wǎng)絡(luò)安全與防火墻技術(shù). 北京：人民郵電出版社，2000.4

3.劉衍衍等編著.計算機(jī)安全技術(shù).吉林：吉林科技技術(shù)出版社.1997.8

4.高永強(qiáng)等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 北京：人民郵電出版社，2003.3

作者簡介：

趙昆（1983-），男，湖北襄陽人，大學(xué)本科，主要從事計算機(jī)科學(xué)與基礎(chǔ)的教學(xué)工作。