方健

摘要：文章主要介紹了防火墻相關(guān)的理論知識，包括：防火墻的基本概念、分類、模型和功能，指出了防火墻的發(fā)展趨勢。

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全技術(shù)；網(wǎng)絡(luò)技術(shù)

1防火墻的基本概念

說起防火墻，我們不得不提這個名詞的來源?！胺阑饓Α逼鹪从诠糯ㄖW(xué)。那時候人們?yōu)榱吮Ｗo(hù)房屋，防止發(fā)生火災(zāi)時火勢蔓延，在建造房子時在房子的外圍用石塊筑起一道墻，并把它命名為防火墻。如今，隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊手段的相繼出現(xiàn)，防火墻一詞被引用到計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，代表一種保護(hù)計算機(jī)或者網(wǎng)絡(luò)免受攻擊的技術(shù)。

防火墻技術(shù)是建立在現(xiàn)代網(wǎng)絡(luò)通信技術(shù)和網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多的應(yīng)用于專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中。

2防火墻的分類

為了對不同的網(wǎng)絡(luò)攻擊手段進(jìn)行防御，防火墻也相應(yīng)的劃分出不同的類別。根據(jù)物理特性不同，防火墻可以分為軟件防火墻和硬件防火墻。其中軟件防火墻是一種運(yùn)行在PC上的軟件，價格相對便宜，比較適合個人用戶或者對安全要求較低的小型機(jī)構(gòu)；硬件防火墻可以是一個芯片，也可以是一臺獨立的硬件設(shè)備。價格昂貴，適合對安全要求高的企業(yè)或者機(jī)構(gòu)組織。

根據(jù)技術(shù)的不同，防火墻可分為包過濾防火墻、應(yīng)用代理防火墻和狀態(tài)檢測防火墻。其中，包過濾防火墻采用數(shù)據(jù)包過濾技術(shù)，應(yīng)用于OSI的網(wǎng)絡(luò)層和傳輸層，根據(jù)系統(tǒng)內(nèi)置的過濾規(guī)則對數(shù)據(jù)包進(jìn)行選擇。盡管其缺點顯著，比如，一旦過濾規(guī)則不能正確實施，包過濾防火墻就不能正常工作，但是由于其價格便宜，容易實現(xiàn)，所以它一直工作在各個領(lǐng)域。應(yīng)用代理防火墻采用應(yīng)用協(xié)議分析技術(shù)，應(yīng)用于OSI的應(yīng)用層。它不但能夠根據(jù)內(nèi)置的過濾規(guī)則對信息來源進(jìn)行過濾，還能夠根據(jù)信息內(nèi)容進(jìn)行過濾，進(jìn)一步增強(qiáng)了信息的安全性。它以犧牲速度換取比包過濾防火墻更高的安全性，不過在網(wǎng)絡(luò)吞吐量不大的時候用戶察覺不到它的存在，但是它支撐不住高強(qiáng)度的數(shù)據(jù)流量，一旦數(shù)據(jù)交換頻繁，整個網(wǎng)絡(luò)就有癱瘓的可能。相比較包過濾防火墻，它很難有立足之地。狀態(tài)監(jiān)視防火墻采用狀態(tài)監(jiān)視技術(shù)，工作在OSI的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。該技術(shù)是CheckPoint公司基于包過濾防火墻的動態(tài)過濾技術(shù)發(fā)展而來的。該防火墻在不影響網(wǎng)絡(luò)正常工作的前提下，通過“狀態(tài)監(jiān)視”模塊，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行檢測，并根據(jù)預(yù)置的安全規(guī)則做出決策。它是包過濾技術(shù)和應(yīng)用協(xié)議分析技術(shù)的綜合。但是由于實現(xiàn)技術(shù)復(fù)雜，很難部署和實現(xiàn)，所以目前還沒有普及。

3防火墻模型

常見的防火墻系統(tǒng)模型有四種，它們分別是篩選路由器模型，單宿主堡壘主機(jī)模型，雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。其中篩選路由器模型是網(wǎng)絡(luò)的第一道防線。其功能是實施對網(wǎng)絡(luò)數(shù)據(jù)包的過濾，其通過執(zhí)行由工作人員創(chuàng)建的相應(yīng)的過濾策略實現(xiàn)其過濾功能。與此同時，對工作人員的TCP/IP的知識有相當(dāng)高的要求，因為如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險。該防火墻不能夠隱藏內(nèi)部網(wǎng)絡(luò)的信息，同事也不具備監(jiān)視和日志記錄功能。單宿主堡壘主機(jī)又叫屏蔽主機(jī)防火墻，由包過濾路由器和堡壘主機(jī)組成。其提供的安全等級比篩選路由器模型的防火墻系統(tǒng)要高，因為它實現(xiàn)了內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者必須首先滲透兩種不同的安全系統(tǒng)，才能破壞內(nèi)部網(wǎng)絡(luò)的安全性。雙宿主堡壘主機(jī)模型又叫屏蔽防火墻系統(tǒng)，可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口，但是主機(jī)不能夠在兩個端口之間直接轉(zhuǎn)發(fā)信息。在物理結(jié)構(gòu)上，所有去往內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)信息包都必須經(jīng)過堡壘主機(jī)。屏蔽子網(wǎng)模型，其由兩個包過濾路由器和一個堡壘主機(jī)構(gòu)成。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”（DMZ，Demilitarized Zone）網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組、以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備。

4防火墻功能

防火墻最基本的功能就是控制數(shù)據(jù)流在計算機(jī)網(wǎng)絡(luò)不同信任域間的傳送。除此以外，他還有其他重要功能。包括策略制定和執(zhí)行：防火墻通過執(zhí)行其內(nèi)置的規(guī)則實現(xiàn)對內(nèi)部計算機(jī)或者網(wǎng)絡(luò)的保護(hù)；強(qiáng)化網(wǎng)絡(luò)安全策略：將口令、加密、身份認(rèn)證、審計等所有安全軟件配置在防火墻上，與分散的安全策略相比，方便管理且更經(jīng)濟(jì)；防止內(nèi)部信息外泄：防火墻把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開，把內(nèi)部網(wǎng)絡(luò)的重要的、敏感的信息隱藏起來。防止外部網(wǎng)絡(luò)用戶對內(nèi)網(wǎng)隱私信息的竊取，以增強(qiáng)保密性，同時隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；記錄和統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)流量：對經(jīng)過防火墻的數(shù)據(jù)進(jìn)行記錄和分析，從而探測和判斷可能的攻擊；提供VPN功能：通過防火墻可以實現(xiàn)虛擬專用網(wǎng)絡(luò)的功能。

5防火墻的發(fā)展趨勢

與其他安全設(shè)備或者安全模塊進(jìn)行互動是新一代防火墻的發(fā)展趨勢。下一代防火墻將朝著高速、多功能化和更安全的方向發(fā)展。多功能化與高速是現(xiàn)有防火墻中的一對矛盾體，采用何種技術(shù)使其平衡是有待解決的問題。

人們普遍認(rèn)為，實現(xiàn)高速防火墻的關(guān)鍵是算法。多功能化的目的是為了滿足不同用戶組網(wǎng)需求，降低組網(wǎng)的成本。更安全的趨勢是與網(wǎng)絡(luò)信息安全大趨勢相一致的。

參考文獻(xiàn)

[1]張熙.多域網(wǎng)絡(luò)安全管理系統(tǒng)策略一致性的研究與設(shè)計.北京郵電大學(xué)，2009.

[2]吳秀梅，畢燁，王見，傅嘉偉等.防火墻技術(shù)及應(yīng)用教程[M].北京：清華大學(xué)出版社，2010.10