防火墻技術(shù)原理及其安全脆弱性分析

龔德中

【摘要】? ? 計算機的大規(guī)模普及帶來了新的生活和工作方式，然而計算機世界存在著大量的網(wǎng)絡安全問題，網(wǎng)絡安全涉及用戶的隱私，嚴重的還會侵犯人身財產(chǎn)安全，因此計算機的安全防護不可小覷。計算機中的防火墻相當于計算機的城墻，是保護計算機安全的有效措施，本文主要分析了防火墻所包含的技術(shù)，并對其安全性進行了分析，以方便相關(guān)人員增進對防火墻的認識。

【關(guān)鍵詞】? ? 防火墻? ? 包過濾? ? 網(wǎng)絡安全

引言：

計算機的誕生給人類社會帶來了巨大的革新，改變了人們以往的生活方式，拉進了人們之間的距離。近些年來，計算機技術(shù)的發(fā)展更是日新月異，人與人之間的信息交流也更加便攜，與此同時，也有一些不法分子擾亂網(wǎng)絡秩序，網(wǎng)絡安全的問題日趨嚴重。防火墻可以及時發(fā)現(xiàn)并制止?jié)摬氐娘L險隱患，給計算機用戶進行提醒，保障用戶信息安全和計算機網(wǎng)絡安全。

一、防火墻技術(shù)原理

1.1防火墻概念介紹

防火墻的英文名稱是”FireWall”，傳統(tǒng)意義上的防火墻是指可以防止火勢蔓延的墻壁或其它屏障，在計算機網(wǎng)絡世界中，防火墻要隔絕的不再是火，而是一些有害或者無關(guān)的網(wǎng)絡信息，比如木馬病毒、入侵程序等。防火墻的基本原理就是分辨出計算機的內(nèi)部網(wǎng)絡和公共網(wǎng)絡，在這兩種網(wǎng)絡之間建立一個過濾網(wǎng)，過濾網(wǎng)一方面可以保證內(nèi)部信息不受侵害，另一方面也可以保證內(nèi)部信息與外部信息的互通交流[1]。

1.2防火墻工作原理

防火墻是內(nèi)部和外部信息交互的唯一途徑，防火墻對內(nèi)部網(wǎng)絡和公共網(wǎng)絡之間的一切信息流進行嚴格監(jiān)查，整體的工作原理如圖1所示。

二、防火墻主要類型及技術(shù)

從軟硬件的角度來看，防火墻大致可以分為兩種：一是軟件方面的防火墻;二是硬件方面的防火墻。在防火墻發(fā)展的初始時期，防火墻和集線器、交換機的性質(zhì)是相同的，也是硬件產(chǎn)品中的一員，這時的防火墻就可以稱之為硬件方面的防火墻;軟件方面的防火墻別名個人防火墻，它是在防火墻的不斷發(fā)展和應用普及中產(chǎn)生的，由于不同的用戶對于防火墻的需求不同，技術(shù)人員在開發(fā)防火墻時不斷進行技術(shù)革新，實現(xiàn)了在純軟件的基礎上開發(fā)防火墻，這種方式得到的防火墻就被稱為軟件防火墻。

從防火墻的技術(shù)角度來看，防火墻大致可以分為以下三類：一種是過濾型作用的防火墻;第二種是應用代理型作用的防火墻;第三種是復合型作用的防火墻。

2.1過濾型防火墻

過濾型防火墻通常是在網(wǎng)絡層和傳輸層之中，檢查通過的信息是否達到防火墻要求的標準，之后對于符合標準的信息可以準許通過，對于不符合標準的信息視為不安全因素，防火墻會對其進行阻止，這類信息就不能正常進行傳遞。過濾型防火墻用到的技術(shù)主要有兩大類，一種是簡單包過濾技術(shù)，另一種是狀態(tài)檢測技術(shù)。簡單包過濾技術(shù)是在網(wǎng)絡層進行信息過濾，在進行信息過濾時根據(jù)之前制定的標準規(guī)則檢測IP包頭的有關(guān)信息，比如IP源、TCP協(xié)議、TCP/UDP目標端口、ICMP消息類型等，將檢測到的這些信息和標準規(guī)則進行對比，對于符合標準可以通過的信息進行正常傳遞，不符合標準的數(shù)據(jù)進行阻攔[2]。使用簡單包過濾技術(shù)的防火墻在眾多防火墻類型中的安全性是最低的。狀態(tài)檢測技術(shù)是2002年左右發(fā)展起來的技術(shù)，通過網(wǎng)絡通信狀態(tài)和信息的分析使用，采用狀態(tài)監(jiān)測機制進行工作。主要使用的網(wǎng)絡通信狀態(tài)和信息以及其中包含的信息如表1。

2.2應用代理型防火墻

應用代理型防火墻是在在應用層之上進行工作，應用代理型防火墻的核心技術(shù)就是代理方面的內(nèi)容。所謂的代理技術(shù)就是將需要傳入傳出的數(shù)據(jù)載代理防火墻處可以隱藏來源，經(jīng)過代理防火墻的數(shù)據(jù)只能知道是從防火墻處發(fā)出的，無法追蹤到它的來源處的網(wǎng)絡內(nèi)部結(jié)構(gòu)，從而可以提高網(wǎng)絡的安全性，達到保護的目的。

代理技術(shù)具體的工作流程如下：代理服務器在接收并核實用戶的提出的申請之后，將申請轉(zhuǎn)送到Proxy應用程序上，Proxy將申請進行處理并將其傳給真實服務器，真實服務器接收到申請后給予反應，Proxy再接收服務器的反應并進行處理，將處理后的反應傳遞給最初發(fā)出申請的用戶。

代理機制下的防火墻可以完全隔離網(wǎng)絡之間的交流通信，相比過濾型防火墻應用代理型防火墻的安全性更高，保護作用更強，這也是應用代理型防火墻的最大的特點。根據(jù)代理技術(shù)的工作流程可以看出每次進行連接時都需要Proxy應用程序作為中間媒介進行信息處理和傳遞，同時不同的代理所需要的應用軟件進程不同，導致應用代理型防火墻的可移植性比較差。

2.3復合型防火墻

復合型防火墻是過濾型和應用代理型兩種防火墻共同結(jié)合的結(jié)晶，可以根據(jù)不同的安全策略選用不同的對應策略，如果接收到的安全策略是代理策略，就選擇代理型防火墻的應對方式，主要檢查報文內(nèi)容，如果接收到的是包過濾策略，就選用過濾型的應對方法，判斷報頭部分。這樣一來，復合型防火墻就相當于吸收了過濾型和代理型二者的長處，同時也拋棄了兩者的一些缺點，使得防火墻使用效率更高、效果更好也更方便和靈活。

三、防火墻探測技術(shù)

防火墻的探測也是防火墻工作中的一個比較重要的部分，目前較多使用的探測技術(shù)主要有以下幾種：

3.1根據(jù)探測數(shù)據(jù)包的返回信息進行判斷

根據(jù)防火墻的探測，探測數(shù)據(jù)包可以判斷是否存在防火墻或者另外方面的一些信息，使用方便簡單。比如登錄主機某一端口時，可以輸入相應的關(guān)鍵字，對于這些關(guān)鍵字不同的防火墻就會返回不同的字符串，根據(jù)這些返回的字符串就能知道探測包遇到的防火墻的種類。

3.2使用探測工具

常見的防火墻探測工具有Firewalking、NMAPing、Traceroute等，這些探測工具會將探測結(jié)果返回，根據(jù)探測結(jié)果進行分析，可以獲取防火墻的位置以及防火墻的端口信息等[2]。

3.3其它方式

除了以上兩種探測方式外，還可以使用端口掃描和ICMP報文、錯誤CRC防火墻探測以及Xmas Tree、Null掃描等技術(shù)進行探測。值得說明的是，這些探測技術(shù)各有優(yōu)缺點，并且在實際使用過程中這些技術(shù)的探測精度一般都不太高，需要結(jié)合多種探測方法，對得到的所有的結(jié)果進行分析。

四、防火墻安全脆弱性及防護措施

4.1安全脆弱性分析

防火墻對于網(wǎng)絡安全的作用影響深遠，它可以抵御絕大部分的惡意攻擊，但防火墻并不是毫無漏洞的存在。因此需要通過分析確定防火墻需要完善和改進之處，以此來提升防火墻技術(shù)。防火墻的分析方案要盡量科學系統(tǒng)全面，可以從以下幾點進行分析：1.防火墻基本信息：包括防火墻生產(chǎn)的公司、防火墻的版本、類型;2.防火墻的過濾技術(shù);3.應用程序;4.過濾規(guī)則;5.操作系統(tǒng)，判斷防火墻公的操作系統(tǒng)弄的安全性如何;6.安全漏洞，包括設計上的漏洞和運行過程中發(fā)現(xiàn)的漏洞。

本文中，遵循上述科學分析原則，針對幾種常用的防火墻（Checkpoint Firewall-1、Cisco PIX、NAI Gauntlet）進行具體的安全脆弱性分析，詳細內(nèi)容如下：

1. Checkpoint Firewall-1。Checkpoint Firewall-1防火墻受到世界排名靠前的多個大企業(yè)的青睞，它由Inspection Module、FireWall Module、Management Module三個基本模塊組成，此外它還有多個可選模塊，比如Connect Control、GUI以及Router Security Management等。它在應用層由于不對閾值進行檢查，極易遭受拒絕服務攻擊;在規(guī)則設定層，不懂內(nèi)置規(guī)則的用戶進行的規(guī)則設置可能會導致一些潛在的安全問題;在操作系統(tǒng)層面，雖然該防火墻支持多種系統(tǒng)，但在具體安裝時如果不注意一些系統(tǒng)補丁和不需要的服務也會造成一些不必要的問題?？傊?，Checkpoint Firewall-1存在校本過濾規(guī)則、外泄內(nèi)部地址、霸占遠程資源等問題。2. Cisco PIX。PIX是典型的硬件防火墻之一，其工作速度比較快，也方便用戶使用。Cisco PIX防火墻具有多級狀態(tài)檢測功能，同時還具有與代理相像的功能。它的過濾規(guī)則中有一條規(guī)則拒絕了所有沒有認證的用戶，也就是說沒有通過認證的用戶無論是哪種類型都不會通過這種防火墻，都會受到阻攔。對于認證的合理用戶，用戶在防火墻處傳遞的消息不用全部一一檢查，由于這一特性，在配置規(guī)則時新用戶需要特別小心。PIX操作系統(tǒng)使用公司專屬的IOS系統(tǒng)，同時需要不斷進行補丁升級。PIX的主要問題是不能妥當處理子網(wǎng)地址，對于假冒的RST、TCP數(shù)據(jù)包的入侵也存在安全問題。（3）NAI Gauntlet。NAI Gauntlet防火墻是應用層網(wǎng)關(guān)一級產(chǎn)品，代理技術(shù)是其核心，具有高加密的特點。NAI Gauntlet防火墻同樣不會查驗閾值，在進行規(guī)則設置時由于缺乏GUI界面，只能基于命令行進行設置，不夠直觀友好。它也不具有Integrated Web Cache功能、缺乏企業(yè)級防火墻陣列的支持能力，因此NAI Gauntlet難以擔任整體系統(tǒng)的防御能力。

4.2防護措施

防火墻受到的沖擊主要是三個方面，分別是防火墻探測、繞過防火墻攻擊和破壞性沖擊。針對防火墻探測沖擊可以重新設置防火墻過濾規(guī)則，或者嚴格檢查進入防火墻的信息數(shù)據(jù)，此外將防火墻一些不必要的端口進行關(guān)閉也可以達到一定的保護目的[3]。對于繞過防火墻的沖擊，可以通過設置防火墻，避免內(nèi)部地址的數(shù)據(jù)包進入，避免欺騙攻擊。破壞性攻擊最常見的就是木馬沖擊，對于這種類型的沖擊用戶可以安裝一些口碑比較好的木馬檢測程序，一旦發(fā)現(xiàn)立刻對木馬進行消滅處理?？傊?，為了達到更高的防護作用，一方面用戶需要對一般的防火墻進行自定義設置，提高過濾標準，另一方面也要采取一些輔助措施。

五、結(jié)束語

防火墻對于網(wǎng)絡安全做出來巨大貢獻，可以有效地保護內(nèi)部網(wǎng)絡安全，保護計算機用戶的信息資料不外泄、不丟失，不同類型的防火墻有著各不相同的防護能力，可供不同需求的用戶自由選擇。但也要注意防火墻并不是能百分之百抵當網(wǎng)絡侵犯，需要全方面地分析防火墻的安全脆弱性，提出相應的方法，提高網(wǎng)絡總體的安全。需要注意不同類型的防火墻它們的優(yōu)缺點不同，在進行分析時要實事求是，根據(jù)具體的防火墻嚴格按照分析方案采取相應的措施，進而提出改進策略，提升防火墻的防御能力。

參? 考? 文? 獻

[1] 曾強. 基于計算機網(wǎng)絡安全中防火墻技術(shù)應用分析[J]. 電腦知識與技術(shù). 2020，16（02）：14-15.

[2] 邵野. 計算機網(wǎng)絡防火墻技術(shù)安全與對策分析 [J]. 數(shù)字通信世界. 2021，（04）：110-111.

[3] 藍杰. 關(guān)于計算機網(wǎng)絡安全及防火墻技術(shù)的研究[J]. 信息記錄材料. 2021，22（06）：77-78.