玄文啟 云南財(cái)經(jīng)大學(xué)信息學(xué)院，昆明 650221

基于Internet的防火墻技術(shù)分析

玄文啟 云南財(cái)經(jīng)大學(xué)信息學(xué)院，昆明 650221

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，特別是隨著Internet技術(shù)的飛速發(fā)展，基于Internet的安全話題也成了人們?nèi)遮呹P(guān)注的焦點(diǎn)。面對網(wǎng)絡(luò)信息的高速交互，基于Internet的防火墻技術(shù)不可避免的成為一種新型防火墻技術(shù)需求。

Internet；防火墻技術(shù)；網(wǎng)絡(luò)安全

防火墻（The fire-wall）是指構(gòu)建于建筑物中的用于防止火災(zāi)等蔓延的隔斷裝置。而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，防火墻是構(gòu)成網(wǎng)絡(luò)安全策略重要組成部分，它通過監(jiān)測和控制網(wǎng)絡(luò)之間的訪問行為和信息交換，從而有效地實(shí)現(xiàn)了對網(wǎng)絡(luò)信息交互的有效管理。但是，由于網(wǎng)絡(luò)設(shè)備之間相互關(guān)聯(lián)性，整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)承受著來自網(wǎng)絡(luò)的外部、網(wǎng)絡(luò)的內(nèi)部、黑客、計(jì)算機(jī)病毒等各方面威脅，而Internet防火墻技術(shù)正是構(gòu)建于計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)交互的關(guān)鍵部位，它可以有效地防止Internet網(wǎng)絡(luò)上的各種病毒、資源盜用等網(wǎng)絡(luò)內(nèi)部破壞?？梢哉f，面對未來網(wǎng)絡(luò)信息的高速交互，Internet技術(shù)的防火墻已成為一種新型防火墻技術(shù)需求而被廣泛應(yīng)用。

1、現(xiàn)有的一些防火墻技術(shù)分析

從總體而言，防火墻應(yīng)具有以下基本功能：%

（1）實(shí)現(xiàn)對進(jìn)、出網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾；

（2）能有效管理進(jìn)、出網(wǎng)絡(luò)訪問的行為；%

（3）針對某些禁止行為實(shí)行封堵；%

（4）實(shí)時(shí)地記錄通過防火墻的信息內(nèi)容。%

促進(jìn)良種選育、品種培育工作。2004年至今，在雅安、宜賓、瀘州、自貢和樂山5市范圍內(nèi)開展了大面積牡竹優(yōu)良無性系篩選工作，共建立臨時(shí)監(jiān)測樣地30余個(gè)，通過生物學(xué)、生態(tài)學(xué)特性與筍用性能的比較，最終選育出原產(chǎn)于宜賓市長寧縣竹海鎮(zhèn)世紀(jì)竹園、宜賓市江安縣仁和鄉(xiāng)義和村、樂山市沐川縣幸福鄉(xiāng)沙溪村、樂山市犍為縣清溪鎮(zhèn)永星村、雅安市天全縣新華鄉(xiāng)孝廉村的5個(gè)優(yōu)良無性系，引種至宜賓長寧曙光觀賞竹園藝場和成都市三環(huán)路竹博園保存，并在雅安、成都、宜賓3地進(jìn)行了引種測試和區(qū)域試驗(yàn)。其中，優(yōu)良筍材兩用竹“川牡竹1號”與“天豐6號”，分別于2012年及2013年通過四川省林木品種審定委員會(huì)的良種認(rèn)定。

目前，在計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)技術(shù)中，主要存在下列一些防火墻技術(shù)：

（1）包過濾防火墻：這種防火墻通常安裝在路由器上，以IP包信息為基礎(chǔ)，對目標(biāo)地址、協(xié)議類型、端口號、IP源地址等進(jìn)行實(shí)時(shí)地檢測與篩選。它處于OSI的網(wǎng)絡(luò)層，將對每一個(gè)接收到的包進(jìn)行答應(yīng)／拒絕的決定。

（2）代理型防火墻：這種防火墻通常由兩部分構(gòu)成，即包括服務(wù)器端程序和客戶端程序。它通過客戶端程序?qū)崿F(xiàn)與中間節(jié)點(diǎn)的連接，然后中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接，從而實(shí)現(xiàn)對通過的數(shù)據(jù)與信息進(jìn)行檢測。

（3）堡壘型防火墻：這種防火墻將包過濾和代理服務(wù)兩種方法有機(jī)結(jié)合起來，它將堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件。從網(wǎng)絡(luò)技術(shù)而言，由于內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī)，這樣，使堡壘主機(jī)成為外網(wǎng)與內(nèi)網(wǎng)之間的唯一節(jié)點(diǎn)，從而確保內(nèi)網(wǎng)不受外部非授權(quán)用戶的攻擊；并且，在堡壘主機(jī)上設(shè)置了加密路由器，可對通過此路由器的信息進(jìn)行壓縮和加密，然后通過對外網(wǎng)傳輸?shù)侥康亩说男畔⑦M(jìn)行解密和解壓縮。

現(xiàn)有的防火墻技術(shù)的局限性：盡管利用上述防火墻技術(shù)及相關(guān)設(shè)計(jì)可保護(hù)內(nèi)網(wǎng)免受外部黑客的攻擊，但由于它是一種技術(shù)上的被動(dòng)防御，只能實(shí)現(xiàn)提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)慕^對安全。顯然可見，在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)信息傳輸?shù)陌踩@然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的網(wǎng)絡(luò)安全策略，所以，構(gòu)建Internet防火墻成為網(wǎng)絡(luò)應(yīng)用技術(shù)中的必然選擇。

2、Internet防火墻技術(shù)原理

Internet防火墻是這樣的一組技術(shù)系統(tǒng)，它主要是通過增強(qiáng)系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全性，實(shí)現(xiàn)讓所有通過Internet的數(shù)據(jù)信息都必須經(jīng)過防火墻，并接受防火墻的實(shí)時(shí)檢查，并且，防火墻必須只允許對已取得授權(quán)的數(shù)據(jù)通過?？梢?，Internet 防火墻可以阻止未經(jīng)計(jì)算機(jī)允許的外部信息進(jìn)入計(jì)算機(jī)，也可防止黑客掃描計(jì)算機(jī)信息，也即它可以有效防止黑客入侵，從而有效地保障了網(wǎng)絡(luò)信息的安全交互。

Internet防火墻主要技術(shù)原理：

（1）實(shí)時(shí)的狀態(tài)數(shù)據(jù)包過濾：Internet防火墻實(shí)質(zhì)上是一個(gè)實(shí)時(shí)的狀態(tài)數(shù)據(jù)包過濾器。對于傳統(tǒng)的靜態(tài)數(shù)據(jù)包過濾器，它是基于數(shù)據(jù)包的地址信息來確定是否丟棄數(shù)據(jù)包，因此，對信息檢測相對滯后；而實(shí)時(shí)的狀態(tài)數(shù)據(jù)包過濾器，則能同時(shí)基于數(shù)據(jù)包的狀態(tài)和會(huì)話的上下文信息，實(shí)現(xiàn)實(shí)時(shí)的狀態(tài)數(shù)據(jù)檢測。

（2）動(dòng)態(tài)的連接流表技術(shù)：Internet 防火墻狀態(tài)是基于一個(gè)連接流表動(dòng)態(tài)實(shí)現(xiàn)防護(hù)的技術(shù)。其基本原理是：對于無連接的協(xié)議 (如 UDP)，連接流是在公共端點(diǎn)之間無間斷地發(fā)送一組數(shù)據(jù)包；而對于面向連接的協(xié)議 (如 TCP)，連接流則等價(jià)于協(xié)議的連接定義。這樣，當(dāng)連接流到達(dá)時(shí)能動(dòng)態(tài)地終止或連接，而當(dāng)連接被關(guān)閉時(shí)，連接流表中的狀態(tài)信息會(huì)被動(dòng)態(tài)地刪除。

（3）對數(shù)據(jù)包的實(shí)時(shí)檢測技術(shù)：Internet 防火墻能對 TCP 數(shù)據(jù)包執(zhí)行結(jié)構(gòu)實(shí)時(shí)檢查，這些檢查包括快速篩選出具有不可能的標(biāo)記組合的數(shù)據(jù)包，以及實(shí)施TCP實(shí)時(shí)檢測，這樣，可有效地打開或關(guān)閉網(wǎng)絡(luò)端口。前者能面對大量隨機(jī)數(shù)據(jù)包的攻擊時(shí)，極大地降低數(shù)據(jù)處理的技術(shù)開銷，而后者則可以實(shí)時(shí)地防范各種黑客掃描技術(shù)，實(shí)現(xiàn)對黑客攻擊的主動(dòng)防御。

（4）阻止 IP 欺騙技術(shù)：Internet 防火墻可以阻止應(yīng)用程序的 IP 欺騙，它能檢查出包括 TCP、UDP、ICMP 和 PPTP/GRE 等通信的數(shù)據(jù)包是否含有欺騙性的IP，這樣，有效地防止對應(yīng)用程序的破壞與攻擊。

3、Internet的防火墻技術(shù)構(gòu)建

（1）防火墻的基本墻設(shè)計(jì)

在設(shè)計(jì)Internet防火墻時(shí)，我們必須考慮如下幾個(gè)因素：

①防火墻的姿態(tài)： Internet防火墻存在兩種相反的姿態(tài)：一是拒絕沒有特別允許的所有信息，它假定防火墻應(yīng)該阻塞所有的信息，而每一種所期望的服務(wù)或應(yīng)用都是基于case-by-case的基礎(chǔ)上實(shí)現(xiàn)；二是允許沒有特別拒絕的所有信息，主要是通過假定防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息，讓所有可能存在危害的服務(wù)都應(yīng)在case-bycase的基礎(chǔ)上實(shí)現(xiàn)屏蔽。

②機(jī)構(gòu)的整體安全控制：在防火墻設(shè)計(jì)中，一是對于未經(jīng)說明許可的信息即拒絕，從而阻塞所有流經(jīng)的信息；二是未說明拒絕的信息均為許可，從而約定其可通過防火墻進(jìn)行傳遞。

③防火墻設(shè)計(jì)的費(fèi)用：對于防火墻設(shè)計(jì)，需要不斷地總體維護(hù)、軟件更新、、安全修補(bǔ)以及一些附帶的操作提供支持，這樣，需要考慮相關(guān)的費(fèi)用支出需求。

（2）防火墻系統(tǒng)的構(gòu)件：Internet防火墻允許定義一個(gè)中心扼制點(diǎn)來防止非法用戶入侵，禁止存在安全脆弱性的服務(wù)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，并抗擊來自各種路線的非法攻擊。而且，Internet防火墻還能非常方便的監(jiān)視網(wǎng)絡(luò)安全性，并能及時(shí)對非法用戶入侵進(jìn)行報(bào)警。

4、Internet防火墻技術(shù)的局限性

（1）Internet防火墻無法防范通過防火墻內(nèi)部途徑的攻擊。例如，在內(nèi)部網(wǎng)絡(luò)上的用戶就能直接通過slip或ppp技術(shù)進(jìn)入Internet，從而繞過了Internet防火墻提供的安全系統(tǒng)，這為從后門（Back door）攻擊提供了極大的可能。

（2）Internet防火墻無法防止來自內(nèi)部人員帶來的威脅。也即，防火墻無法防止工作人員將系統(tǒng)內(nèi)部的敏感數(shù)據(jù)復(fù)制，并人為地將備份數(shù)據(jù)帶出所形成的風(fēng)險(xiǎn)。

（3）Internet防火墻不能防止已感染病毒的軟件或文件傳送。由于計(jì)算機(jī)病毒的類型太多，并且，其編碼和壓縮二進(jìn)制文件的方法也各不盡相同，所以Internet防火墻去不可能對每一個(gè)文件進(jìn)行深度的掃描檢查，這樣，即便對已通過防火墻的信息，也不能保證完全的安全。

5、Internet防火墻技術(shù)展望%

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，

Internet防火墻技術(shù)與產(chǎn)品的必然會(huì)得到加強(qiáng)，其技術(shù)將會(huì)有更新發(fā)展，其檢測與過濾深度會(huì)不斷的強(qiáng)化，并能實(shí)現(xiàn)對病毒動(dòng)態(tài)的掃描與檢測和實(shí)時(shí)的系統(tǒng)報(bào)警。我們深信，隨著Internet防火墻技術(shù)不斷的技術(shù)提升，未來它將得到廣泛的應(yīng)用與推廣。

[1]安葳鵬，等.網(wǎng)絡(luò)信息安全.清華大學(xué)出版社.2010.6

[2]熊平.信息安全原理及應(yīng)用.清華大學(xué)出版社.2010.8

[3]蔣天發(fā).網(wǎng)絡(luò)信息安全.電子工業(yè)出版社.2009.01

An analysis of Internet Fire-wall technical

Xuan Wenqi Information College, Yunnan University finance and economics, Kunming 650221

With the extensive application of network, especially along with flying of Internet technique soon development,it becoming adult gradually pays attention to of focus about Internet safe topic. Facing a network hand over with each other, it ineluctability becomes a kind of new Fire- wall technique about the Internet Fire-wall technique.

10.3969/j.issn.1001-8972.2011.19.045

玄文啟，男，1971年4月生，云南嵩明人，云南財(cái)經(jīng)大學(xué)副教授，碩士，主要從事計(jì)算機(jī)應(yīng)用技術(shù)研究。