防火墻的功能淺析

[摘要]網絡安全的問題已經日益突出,越來越引起世界各國的嚴密關注。隨著計算機網絡技術的突飛猛進,計算機網絡在人類生活各個領域的廣泛應用,不斷出現(xiàn)網絡被非法入侵,重要資料被竊取,網絡系統(tǒng)癱瘓等嚴重問題,網絡、應用程序的安全漏洞越來越多;各種病毒泛濫成災。因此,必須要加強安全意識,并及早防范。目前最常用的網絡安防范工具是防火墻。

[關鍵詞]網絡安全 防火墻 分組過濾技術 數(shù)據包過濾 網絡服務

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810049-01

一、防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統(tǒng),是這一類防范措施的總稱。應該說,在互聯(lián)網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區(qū)域(即Internet或有一定風險的網絡)與安全區(qū)域(局域網)的連接,同時不會妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網絡的通信量,從而完成看似不可能的任務;僅讓安全、核準了的信息進入,同時又抵制對企業(yè)構成威脅的數(shù)據。隨著安全性問題上的失誤和缺陷越來越普遍,對網絡的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。

二、防火墻的架構與工作方式

防火墻可以使用戶的網絡劃規(guī)劃更加清晰明了,全面防止跨越權限的數(shù)據訪問(因為有些人登錄后的第一件事就是試圖超越權限限制)。如果沒有防火墻的話,你可能會接到許許多多類似的報告,比如單位內部的財政報告剛剛被數(shù)萬個Email郵件炸爛,或者用戶的個人主頁被人惡意連接向了Playboy,而報告鏈接上卻指定了另一家色情網站......一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規(guī)則進行檢查來判斷是否對之進行轉發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。

三、防火墻的體系結構

防火墻的體系結構一般有以下幾部分組成:

(一)屏蔽路由器(ScreeningRouter)。屏蔽路由器可以由廠家專門生產的路由器實現(xiàn),也可以用主機來實現(xiàn)。屏蔽路由器作為內外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件,實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。單純由屏蔽路由器構成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻隱后很難發(fā)現(xiàn),而且不能識別不同的用戶。

(二)雙穴主機網關(DualHomedGateway)。雙穴主機網關是用一臺裝有兩塊網卡的堡壘主機的做防火墻。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火墻軟件,可以轉發(fā)應用程序,提供服務等。與屏蔽路由器相比,雙穴主機網關堡壘主機的系統(tǒng)軟件可用于維護護系統(tǒng)日志、硬件拷貝日志或遠程日志。但弱點也比較突出,一旦黑客侵入堡壘主機并使其只具有路由功能,任何網上用戶均可以隨便訪問內部網。

(三)被屏蔽主機網關(ScreenedGatewy)。屏蔽主機網關易于實現(xiàn)也最為安全。一個堡壘主機安裝在內部網絡上,通常在路由器上設立過濾規(guī)則,并使這個堡壘主機成為從外部網絡惟一可直接到達的主機,這確保了內部網絡不受未被授權的外部用戶的攻擊。

(四)被屏蔽子網(ScreenedSubnet)。被屏蔽子網就是在內部網絡和外部網絡之間建立一個被隔離的子網,用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。

四、防火墻的模式轉變

傳統(tǒng)的防火墻通常都設置在網絡的邊界位置,不論是內網與外網的邊界,還是內網中的不同子網的邊界,以數(shù)據流進行分隔,形成安全管理區(qū)域。但這種設計的最大問題是,惡意攻擊的發(fā)起不僅僅來自于外網,內網環(huán)境同樣存在著很多安全隱患,而對于這種問題,邊界式防火墻處理起來是比較困難的,所以現(xiàn)在越來越多的防火墻產品也開始體現(xiàn)出一種分布式結構,以分布式為體系進行設計的防火墻產品以網絡節(jié)點為保護對象,可以最大限度地覆蓋需要保護的對象,大大提升安全防護強度,這不僅僅是單純的產品形式的變化,而是象征著防火墻產品防御理念的升華。防火墻的幾種基本類型可以說各有優(yōu)點,所以很多廠商將這些方式結合起來,以彌補單純一種方式帶來的漏洞和不足,例如比較簡單的方式就是既針對傳輸層面的數(shù)據包特性進行過濾,同時也針對應用層的規(guī)則進行過濾,這種綜合性的過濾設計可以充分挖掘防火墻核心功能的能力,可以說是在自身基礎之上進行再發(fā)展的最有效途徑之一,目前較為先進的一種過濾方式是帶有狀態(tài)檢測功能的數(shù)據包過濾,其實這已經成為現(xiàn)有防火墻產品的一種主流檢測模式了。

五、防火墻的功能擴展與性能提高

現(xiàn)在的防火墻產品已經呈現(xiàn)出一種集成多種功能的設計趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防御系統(tǒng))的產品轉化了。有些防火墻集成了防病毒功能,這樣的設計會對管理性能帶來不少提升,但同時也對防火墻產品的另外兩個重要因素產生了影響,即性能和自身的安全問題,所以我們的意見是應該根據具體的應用環(huán)境來做綜合的權衡,畢竟這個世界暫時還不存在什么完美的解決方案。

六、防火墻的功能

一般來說,防火墻具有以下幾種功能:

1.允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。

2.可以很方便地監(jiān)視網絡的安全性,并報警。

3.可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。

4.是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費。

5.可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發(fā)布內部信息的地點。從技術角度來講,就是所謂的?；饏^(qū)(DMZ)。

參考文獻:

[1]朱雁輝,WINDOWS防火墻與網絡封包截獲技術[M].北京:電子工業(yè)出版社,2002.

[2]常紅等,網絡完全技術與反黑客[M].長春:冶金工業(yè)出版社,2001.

[3]袁家政,計算機網絡安全與應用技術[M].北京:清華大學出版社,2002.

作者簡介:

陶國喜(1973-),男,湖北麻城人,黃岡職業(yè)技術學院計算機系教師,高校講師,主要從事計算機程序設計專業(yè)課教學與科研工作。