华县八宏砖厂 人事部:防火墙

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
●过滤进、出网络的数据;
●管理进、出网络的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动;
●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。

　　[摘　要]　防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　[关键词]　防火墙　包过滤　代理服务器　包厢化　深度检测

　　一、引言

　　当越来越多的用户认识到Internet能提供十分丰富的信息、多种有效的服务并且具有很大的发展潜力后，他们会无一例外的考虑将自己的内联网（Intranet）接入Internet，从而可以更大的收益。

　　过去，许多内联网访问Internet的基本方法是将本系统的内部网直接接入Internet，这样内部网的每台计算机都可以获得完全的Internet服务。这样的连接在给用户带来方便的同时也使网络入侵者有机可乘。内部网的主机将毫无保护地暴露在Internet中，因此分布在世界各地的任何一台Internet主机都可以直接对其进行访问，从而在安全上带来极大的危险。并且，入侵者的行动通常都是很难被察觉的，因此安全问题已经成为各内部网接入Internet之前必须要考虑的问题之一。目前，以防火墙为代表的被动防卫型安全保障技术已经被证明是一种较有效的防止外部入侵的措施。

　　二、防火墙及安全功能

　　1、 防火墙的概念　

　　防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信，只允许授权的通讯。
　　
　　防火墙的实质就是限制数据流通和允许数据流通。因此防火墙有两种对立的安全策略：

　　⑴允许没有特别拒绝的事情。这种情况下防火墙只拒绝了规定的对象，不属于拒绝范围以内的任何情况都被允许。这种策略对数据包的阻挡能力相对较小，所以安全性相对较弱。

　　⑵拒绝没有特别允许的事情。这种情况与前面一种情况正好相反，其拒绝能力强，它只接收被允许了的数据包，凡是在允许情况以外的数据包都将被拒绝。

　　2、防火墙的安全功能

　　为了保证网络安全性要求，防火墙必须具有以下功能：

　 （一）支持一定的安全策略，过滤掉不安全服务和非法用户，即过滤进、出网络的数据，管理进、出网络的访问行为。
　　以上所讲的防火墙技术是一些常用的关键技术，除此之外，还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用。

　　（二）监视网络的安全性，并报警。

　　（三）利用网络地址转换(NAT)技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

　　（四）防火墙是进出信息都必须通过的关口，适合收集关于系统和网络使用和误用的信息。利用此关口，防火墙能在网络之间进行记录。它是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

　　（五）可以连接到一个单独的网络上，在物理上与内部网络隔开，并部署WWW服务器和FTP服务器，作为向外部发布内部信息的地点。

　　三、防火墙的关键技术

　　安全、管理、速度是防火墙的三大要素，数据包过滤和代理服务是其主要功能，防火墙要真正实现防病毒、防黑客、防入侵，必须做好一下关键技术：

　　1、数据包过滤技术

　　分组过滤或包过滤，是一种通用、廉价、有效的安全手段。它在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP 、TCP 或UDP包头。

　　包过滤的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。但是包过滤路由器通常没有用户的使用记录，这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。为了提高网络的安全性，于是发展了安全性更高的防火墙技术——代理技术2、代理技术

　　代理服务技术是防火墙技术中使用得较多的技术，也是安全性能较高的技术。代理服务软件运行在一台主机上构成代理服务器，负责截获客户的请求，并且根据它的安全规则来决定这个请求是否允许。如果允许的话，这个请求才传给真正的防火墙。代理服务器是外部可以见到的唯一实体，它对内部的用户是透明的。并且它可以应用协议特定的访问规则，执行基于用户身份和报文分组内容的访问控制。

　　这种防火墙能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性。但可能影响网络的性能，对用户不透明，且对每一个服务器都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。

　　3、状态监测技术

　　状态监测技术是一种在网络层实现防火墙功能的技术，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前面两种防火墙技术不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。

　　4、VPN技术

　　VPN技术即虚拟专用网，是通过一些公共网络（如因特网）实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。基于Internet建立的VPN，可以保护网络免受病毒感染，防止欺骗，防止商业间谍，增强访问控制，增强系统管理，加强认证等。VPN功能中认证和加密是最重要的。基于防火墙的VPN为了保证安全性，在VPN协议中通常采用IP See，加强对通信双方身份的认证，保证数据在数据加密，数据传输过程中的完整性。

　　5、地址翻译（NAT）技术

　　NAT技术就是将一个IP地址用另一个IP地址代。地址翻译主要用在：① 网络管理员希望隐藏内部网络的IP地址；② 内部网络的IP地址是无效的IP地址。在这种内部网对外面是不可见的情况下，Internt可能访问内部网，但内部网内主机之间可以互相访问，地址翻译技术提供一种透明的完善的解决方案解决这些问题。网络管理员可以决定哪些内部的IP地址需要隐藏，哪些地址需要映射成为一个对Internet可见的IP地址。地址翻译可以实现一种“单向路由”，这样不存在从Internet到内部网的或主机的路由。

　　6、SOCKS技术

　　SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。SOCKS是一个电路层网关的标准，遵循SOCKS协议，对应用层也不需要做任何改变，它需要给出客户端的程序。如果一个基于TCP的应用要通过SOCKS代理进行中继，必须首先将客户程序SOCKS化。这样的结构使得用户能根据自己的需要定制代理软件，从而有利于增添新的应用。

　　四、防火墙技术优点、缺点

　　1．使用防火墙系统的优点如下：

　　①可以对网络安全进行集中控制和管理

　　防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上，在结构上形成了一个控制中心，大大加强了网络安全，并简化了网络管理；

　　②由于防火墙在结构上的特殊位置，使其方便地提供了监视、管理与审计网络的使用及预警；

　　③为解决IP的地址危机提供了可行方案

　　由于Internet的日益发展及其IP地址空间的有限，使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置，NAT有助于缓和IP地址空间的不足，并使得一个结构改变Internet服务提供商时而不必重新编址；④防火墙系统可以作为Intermet信息服务器的安装地点，对外发布信息

　　防火墙可作为企业向外部用户发布信息的中心联络点。企业的防火墙也是企业设置WWW和FTP等服务器的理想地点。防火墙可以配置允许外部用户访问这些服务器，而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。

　　2．防火墙系统存在如下局限性：

　　①防火墙不能防范不经过防火墙的攻击。比如内部专用网的用户通过调制解调器拨号上网，则“坏家伙”就可经由这一途径绕过防火墙而侵入。还有更可怕的就是来自内部专用网用户的攻击；

　　②常常需要有特殊的较为封闭的网络拓扑结构来支持，网络安全性能的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价；

　　③防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户不注意所造成的危害。

　　五、防火墙发展的新技术趋势

　　防火墙技术的发展离不开社会需求的变化，着眼于未来，我们应该从两个方面来探讨防火墙的新技术趋势。

　　2.1 新需求引发的技术走向

　 （1）远程办公的增长。去年全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

　（2）内部网络“包厢化”。人们通常认为处在防火墙保护下的内部网络是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个绝对的可信网络环境。

　 由于无线网络的快速应用以及传统拨号方式的继续存在，内网也受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛等，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”，对每个“包厢”实施独立的安全策略。

　　2.2 黑客攻击引发的技术走向

　（1）黑客攻击的特点也决定了防火墙的技术走向。从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（80端口）。根据 SANS 的调查显示，提供 HTTP 服务的IIS和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。 因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将80端口关闭。

　（2）数据包的深度检测。 IT 业界权威机构 Gartner相信一个代理软件对于防止未来的攻击没有太大的作用，但是防火墙必须深入检查信息包流的内部来确认出恶意行为并阻止它们。市场上的包检查解决方案必须提高性能（比如签名检查）来寻找已知的攻击，并理解什么是“正常的”通信（基于行为的系统），同时阻止异常的协议。预计到2006年，75％的全球2000强企业将替换他们的防火墙，或者为他们的防火墙增加深度包检测的能力。

　（3）协同性。从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。2002 年9月，北电、思科和 Check Point 一道宣布共同推出安全产品，体现了厂商之间优势互补、互通有无的趋势，说明现在人们已经逐渐认识到了协同的必要性和紧迫性。

　　六、结束语

　　Internet的迅猛发展和网络攻击手段的不断变化，使防火墙产品的更新步伐日益加快，虽然，目前防火墙产品能基本满足用户对网络安全保护的要求，但防火墙技术值得研究的课题仍很多，如防火墙产品怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品，怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展，更好的为人们做贡献。　参考文献：

　　⑴Mandy Andress. 计算机安全原理[M]. 机械工业出版社,2002

　　⑵陈爱民，等. 计算机安全与保密[M]. 北京：电子工业出版社,1992

　　⑶时炳艳，杨建军. 计算机网络安全技术——防火墙. 郑州工业高等专科学校学报 2002.3

　　⑷魏利华. 网络安全：防火墙技术研究 淮阴工业学院学报 2003.10 

　　⑸郝玉洁，常征. 网络安全与防火墙技术 电子科技大学学报社科版 2002.1

　　⑹叶丹 网络安全实用技术 清华大学出版社 2002.10

　　⑺陆楠 现代网络技术　西安电子科技大学出版社 2003.2