路　云

摘要：自從1986年美國Digital公司在Intemet上安裝了全球第一個商用防火墻系統(tǒng)、提出防火墻的概念以來，防火墻技術(shù)得到了飛速的發(fā)展。本文首先介紹了防火墻的作用，然后詳細(xì)介紹了防火墻技術(shù)的發(fā)展趨勢。

關(guān)鍵詞：防火墻技術(shù) 作用 發(fā)展

“防火墻”是一個通用術(shù)語，是指在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來保障計算機網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。防火墻通常是由軟件系統(tǒng)和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建起安全的保護屏障。

一、防火墻的作用

一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

可以對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑工作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。

除了安全作用，防火墻還支持具有Intemet服務(wù)特性的企業(yè)內(nèi)部技術(shù)體系VPN，通過VPN，將企事業(yè)單位在地域上分布在世界各地的LAN或?qū)Ｓ米泳W(wǎng)有機地聯(lián)成一個整體，不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

二、防火墻技術(shù)的發(fā)展趨勢

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，新一代防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從防火墻體系結(jié)構(gòu)、包過濾技術(shù)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

1、防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的加強，對網(wǎng)絡(luò)寬帶提出了更高的要球。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

2、防火墻包過濾技術(shù)發(fā)展趨勢

(l)使防火墻具有病毒防護功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少企業(yè)的損失。

(2)多級過濾技術(shù)。所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Iniemet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

3、防火墻的系統(tǒng)管理發(fā)展趨勢

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面:

(l)首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性?？焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco(思科)、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)并成功，也就是目前所稱的“分布式防火墻:和“嵌入式防火墻”。

(2)強大的審計功能和自動日志分析功能。這兩點的應(yīng)用可以更早的發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還讓可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，對及時地調(diào)整安全策略等方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。

(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵?！?/p>

參考文獻：

[1] 張連銀. 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]. 科技資訊, 2007, (09) .

[2] 孔令峰. 防火墻技術(shù)的發(fā)展[J]. 常州信息職業(yè)技術(shù)學(xué)院學(xué)報, 2005, (01) .