李振兵

摘要：本文通過防火墻的分類、工作原理、應用等分析，同時對防火墻技術在企業(yè)網(wǎng)絡安全中的作用及影響進行論述。

關鍵詞：防火墻網(wǎng)絡安全技術

0引言

隨著科學技術的快速發(fā)展，網(wǎng)絡技術的不斷發(fā)展和完善，在當今信息化的社會中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計算機系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡應用的發(fā)展，這些信息都通過網(wǎng)絡來傳送、接收和處理，所以計算機網(wǎng)絡在社會生活中的作用越來越大。為了維護計算機網(wǎng)絡的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實施對網(wǎng)絡安全的有效管理。

1防火墻的分類

防火墻是在內部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，它用于保護可信網(wǎng)絡免受非可信網(wǎng)絡的威脅，同時，仍允許雙方通信，目前，許多防火墻都用于Internet內部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內部均可使用防火墻。按防火墻發(fā)展的先后順序可分為：包過濾型(PackFilter)防火墻(也叫第一代防火墻)。復合型(Hybrid)防火墻(也叫第二代防火墻)；以及繼復合型防火墻之后的第三代防火墻，在第三代防火墻中最具代表性的有：IGA(InternetGatewayAppciance)防毒墻；SonicWall防火墻以及Cink TvustCyberwall等。

按防火墻在網(wǎng)絡中的位置可分為：邊界防火墻、分布式防火墻。分布式防火墻又包括主機防火墻、網(wǎng)絡防火墻。按實現(xiàn)手段可分為：硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。

網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間的訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包，如鏈接方式，按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。

2防火墻在網(wǎng)絡安全中的作用

防火墻的作用是防止非法通信和未經(jīng)過授權的通信進出被保護的網(wǎng)絡。防火墻的任務就是從各種端口中辨別判斷從外部不安全網(wǎng)絡發(fā)送到內部安全網(wǎng)絡中具體的計算機的數(shù)據(jù)是否有害，并盡可能地將有害數(shù)據(jù)丟棄，從而達到初步的網(wǎng)絡系統(tǒng)安全保障。它還要在計算機網(wǎng)絡和計算機系統(tǒng)受到危害之前進行報警、攔截和響應。一般通過對內部網(wǎng)絡安裝防火墻和正確配置后都可以達到以下目的：①限制他人進入內部網(wǎng)絡，過濾掉不安全服務和非法用戶。②防止入侵者接近你的防御設施。③限定用戶訪問特殊站點。④為監(jiān)視Intemet安全提供方便。

3防火墻的工作原理

防火墻可以用來控制Internet和Intranet之間所有的數(shù)據(jù)流量。在具體應用中，防火墻是位于被保護網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當軟件的計算機網(wǎng)絡的多種組合。防火墻為網(wǎng)絡安全起到了把關作用，只允許授權的通信通過。防火墻是兩個網(wǎng)絡之間的成分集合，有以下性質：①內部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻；②只有符合安全策略的數(shù)據(jù)流才能通過防火墻；③防火墻自身應具有非常強的抗攻擊免疫力。一個好的防火墻應具有以下屬性：一是所有的信息都必須通過防火墻：二是只有在受保護網(wǎng)絡的安全策略中允許的通信才允許通過防火墻：三是記錄通過防火墻的信息內容和活動；四是對網(wǎng)絡攻擊的檢測和告警；五是防火墻本身對各種攻擊免疫。

4防火墻技術

防火墻的種類多種多樣，在不同的發(fā)展階段，采用的技術也各不相同，因而也就產(chǎn)生了不同類型的防火墻。防火墻所采用的技術主要有：

4.1屏蔽路由技術最簡單和最流行的防火墻形式是“屏蔽路由器”。屏蔽路由器在網(wǎng)絡層工作(有的還包括傳輸層)，采用包過濾或虛電路技術，包過濾通過檢查每個lP網(wǎng)絡包，取得其頭信息，一般包括：到達的物理網(wǎng)絡接口，源lP地址，目標IP地址，傳輸層類型(TCPUDP ICMP)，源端口和目的端口。根據(jù)這些信息，判別是否規(guī)則集中的某條目匹配，并對匹配包執(zhí)行規(guī)則中指定的動作(禁止或允許)。

4.2基于代理的(也稱應用網(wǎng)關)防火墻技術它通常被配置為“雙宿主網(wǎng)關”，具有兩個網(wǎng)絡接口卡，同時接入內部和外部網(wǎng)。由于網(wǎng)關可以與兩個網(wǎng)絡通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“代理”，通常是為其所提供的服務定制的。代理服務不允許直接與真正的服務通信，而是與代理服務器通信(用戶的默認網(wǎng)關指向代理服務器)。各個應用代理在用戶和服務之間處理所有的通信。能夠對通過它的數(shù)據(jù)進行詳細的審計追蹤，許多專家也認為它更加安全，因為代理軟件可以根據(jù)防火墻后面的主機的脆弱性來制定，以專門防范已知的攻擊。

4.3包過濾技術系統(tǒng)按照一定的信息過濾規(guī)則，對進出內部網(wǎng)絡的信息進行限制，允許授權信息通過，而拒絕非授權信息通過。包過濾防火墻工作在網(wǎng)絡層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關信息。然后依次按順序與事先設定的訪問控制規(guī)則進行一一匹配比較，執(zhí)行其相關的動作。

4.4動態(tài)防火墻技術動態(tài)防火墻技術是針對靜態(tài)包過濾技術而提出的一項新技術。靜態(tài)包過濾技術局限于過濾基于源及目的的端口，IP地址的輸入輸出業(yè)務，因而限制了控制能力，并且由于網(wǎng)絡的所有高位(1024--65535)端要么開放，要么關閉，使網(wǎng)絡處于很不完全的境地。而動態(tài)防火墻技術可創(chuàng)建動態(tài)的規(guī)則，使其適應不斷改變的網(wǎng)絡業(yè)務量。根據(jù)用戶的不同要求，規(guī)則能被修改并接受或拒絕條件。動態(tài)防火墻為了跟蹤維護連接狀態(tài)，它必須對所有進出的數(shù)據(jù)包進行分析，從其傳輸層，應用層中提取相關的通訊和應用狀態(tài)信息，根據(jù)其源和目的IP地址，傳輸層協(xié)議和源及目的端口來區(qū)分每一連接，并建立動態(tài)連接表為所有連接存儲其狀態(tài)和上下文信息；同時為檢查后續(xù)通訊。應及時更新這些信息，當連接結束時，也應及時從連接表中刪除其相應信息。

4.5一種改進的防火墻技術(或稱復合型防火墻技術)由于過濾型防火墻安全性不高，代理服務器型防火墻速度較慢，因而出現(xiàn)了一種綜合上述兩種技術優(yōu)點的改進型防火墻技術，它保證了一定的安全性，又使通過它的信息傳輸速度不至于受到太大的影響。對于那些從內部網(wǎng)向外部網(wǎng)發(fā)出的請求，由于對內部網(wǎng)的安全威脅不大，因此可直接下載外部網(wǎng)建立連接，對于那些從外部網(wǎng)向內部網(wǎng)提出的請求，先要通過包過濾型防火墻，在此經(jīng)過初步安全檢查，兩次檢查確定無疑后可接受其請求，否則，就需要丟棄或作其他處理o

5防火墻的應用

5.1硬件防火墻的設置

下面以思科PIX 501型防火墻為例，設置如下：要設置內部接口的lP地址，使用如下命令：

PIXl(config)# ip address inside 10.1.1.1 255.O.0.0

PIXl(config)#

現(xiàn)在，設置外部接口的IP地址：

PIXI(config)#ip address outside 1 1.1.1 255.255.255.0

PIXl(config)#

下一步，啟動內部和外部接口。確認每一個接口的以太網(wǎng)電纜線連接到一臺交換機。注意，ethernetO接口是外部接口，它在PIX 501防火墻中只是一個10base-T接口。ether-netl接口是內部接口，是一個100Base-T接口。下面是啟動這些接口的方法：

PIXl(config)#interface ethernetO 10baset

PIXl fconfig)#interface ethemetl 100full

PIXl(config)#

最后設置一個默認的路由，這樣，發(fā)送到Plx防火墻的所有的通訊都會流向下一個上行路由器(我們被分配的IP地址是10.76.12.254)：

Pl×1(cOnfiq)#route outside 0 0 10.76.12.254

PIXl(config)#

當然，PI×防火墻也支持動態(tài)路由協(xié)議(如R1P和oSPF協(xié)議)。

現(xiàn)在，我們接著介紹一些更高級的設置。網(wǎng)絡地址解析

由于我們有IP地址連接，我們需要使用網(wǎng)絡地址解析讓內部用戶連接到外部網(wǎng)絡。我們將使用～種稱作“PAT”或者“NATOver-load”的網(wǎng)絡地址解析。這樣，所有內部設備都可以共享一個公共的1P地址(Pl×防火墻的外部IP地址)。要做到這一點，請輸入這些命令：

PlXl(config)#nat(insjde)1 10.0.0 0 255.0.0.0

PIXl(config)#globaI(outside)1 1 0.1.1.2

G10ball 0.1.1.2 will be PortAddressTranslated

PI×1(config)#

使用這些命令之后，全部內部客戶機都可以連接到公共網(wǎng)絡的設備和共享IP地址10.1.1.2。然而，客戶機到目前為止還沒有任何規(guī)則允許他們這樣做。

5.2軟件防火墻的設置以天網(wǎng)、諾頓防火墻為例：

5.2.1天網(wǎng)防火墻(2.60版)在天網(wǎng)防火墻的主面板上點擊“系統(tǒng)設置”按鈕，在彈出的“系統(tǒng)設置”窗口中，點擊“規(guī)則設定”中的“向導”，就會彈出設置向導。

在“安全級別設置”對話框中選擇好安全級別(局域網(wǎng)內的用戶可以選擇“低”)后再點擊“下一步”按鈕，進入“局域網(wǎng)信息設置”窗口。勾選“我的電腦在局域網(wǎng)中使用”，軟件便會自動探測本機的lP地址并顯示在下方。接下來，一路點擊“下一步”按鈕即可完成設置了。

5.2.2諾頓個人防火墻在軟件的主界面左側點擊“Internet區(qū)域控制”選項，在右側窗口進入“信任區(qū)域”選項卡，點擊“添加”按鈕，打開“指定計算機”對話框。在該對話框中選擇“使用范圍”，然后在下面輸入允許訪問的起始地址和結束地址即可。

6結束語

防火墻技術是目前應對網(wǎng)絡安全問題的有效的技術手段之一，但是網(wǎng)絡安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡上的任何一個漏洞，都會導致全網(wǎng)的安全問題，我們應該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結構。這樣才能真正做到整個系統(tǒng)的安全。