邵學海

摘要：隨著Internet的應用日益普及，針對網絡的攻擊頻率和密度也在顯著增長，這給網絡安全帶來了越來越多的安全隱患。我們可以通過很多網絡工具、設備和策略來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并做出及時的響應，將那些危險的連接和攻擊行為隔絕在外，從而降低了網絡的整體風險。

關鍵詞：防火墻；安全訪問；訪問控制

1概述

TCP／IP通信協(xié)議和Internet最初是面向科研人員的，因此，設計此協(xié)議的工作組認為用戶和主機之間互相信任。大家能夠進行自由開放的信息交換和共享，不會有人故意進行破壞。在這樣的環(huán)境里，使用Internet的人實際上就是創(chuàng)建Internet的人。隨著時間的推移。Inter-net變得更加有用和可靠，更多的用戶參與進來，人越來越多，風險也越來越大。1988年11月的Internet蠕蟲染指了數(shù)千臺主機。從那時起，就不斷有侵犯安全的事件報道。

如今Internet的安全問題成了人們關注的焦點，給認為Internet已經完全勝任商務活動的過高期望潑了一盆冷水，計算機和通信界一片恐慌。

從本質上，Internet的安全性可以通過提供以下兩方面的安全服務來達到：一是訪問控制服務，用來保護計算機和聯(lián)網資源不被非授權使用；二是通信安全服務，用來提供認證、數(shù)據(jù)機要性、完整性和各通信端的不可否認性服務。這兩種服務的實現(xiàn)，主要依賴于防火墻技術和加密技術。

防火墻的概念實際上是借用了建筑學上的一個術語。建筑學中的防火墻是用來防止大火從建筑的一部分蔓延到另一部分而設置的阻擋機構。計算機網絡上的防火墻是用來防止來自互聯(lián)網的破壞，如黑客攻擊、資源被盜用或文件被篡改等波及內部網絡的危害。

隨著安全性問題上的失誤和缺陷越來越普遍，對網絡的入侵不僅來自高超的攻擊手段。也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻可以定義如下：它是設置在用戶網絡和外界之間的一道屏障，防止不可預料的、潛在的破壞侵入用戶網絡；在開放和封閉的界面上構造一個保護層，屬于內部范圍的業(yè)務，依照協(xié)議在授權許可下進行；外部對內部網絡的訪問受到的限制。

防火墻的設計包括以下兩方面原則：

(1)過濾不安全服務

基于這個準則，防火墻應封鎖所有信息流，然后對希望提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。

(2)屏蔽非法用戶

基于這個準則，防火墻應先允許所有的用戶和站點對內部網絡的訪問，然后網絡管理員按照IP地址對未經授權的用戶或不信任的站點進行逐項屏蔽。

總之，防火墻能增強機構內部網絡的安全性。防火墻系統(tǒng)決定了外界的哪些人可以訪問內部的哪些可以訪問的服務，以及哪些外部服務可以被內部人員訪問；要使一個防火墻有效，所有來自和通向外界的信息都必須經過防火墻，接受防火墻的檢查；防火墻必須只允許授權的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。

2防火墻的主要類型

通常將現(xiàn)在流行的防火墻劃分為兩大類：代理型和包過濾型。代理型防火墻又包括電路級網關防火墻和應用級網關防火墻。包過濾防火墻又可以分為靜態(tài)包過濾型和狀態(tài)監(jiān)測型防火墻。

(1)電路級網關防火墻

它是一個通用代理服務器，它工作于OSI互聯(lián)模型的會話層或是TCP／JP協(xié)議的TOP層。它適用于多個協(xié)議，但不能識別在同一個協(xié)議棧上運行的不同的應用，當然也就不需要對不同的應用設置不同的代理模塊，但這種代理對客戶端做適當修改。它接受客戶端的請求。代理客戶端完成網絡連接。通過電路級網關的傳遞的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護網絡的信息。

(2)應用級網關防火墻

通常也稱為應用代理服務器。它工作于OSI模型的應用層。在外部網絡向內部網絡或內部網絡向外部網絡申請服務時起到轉接作用。

其工作過程為：首先，它對該用戶的身份進行驗證。若為合法用戶，則把請求轉發(fā)給真正的某個內部網絡的主機，同時監(jiān)控用戶的操作，拒絕不合法的訪問。當內部網絡向外部網絡申請服務時，代理服務器的工作過程剛好相反。應用網關代理的優(yōu)點是易于配置，界面友好；不允許內外網主機的直接連接；可以提供比包過濾更詳細的日志記錄。

(3)靜態(tài)包過濾防火墻

在網絡層對進出內部網絡的所有信息進行分析，并按照一定的安全策略進行篩選，允許授權信息通過，拒絕非授權信息。信息過濾規(guī)則以收到的數(shù)據(jù)包的頭部信息為基礎。在內部網絡和外部網絡之間。路由器起著一夫當關的作用。因此，包過濾型防火墻一般通過路由器實現(xiàn)，因而也稱為包過濾路由器。

包過濾型防火墻的優(yōu)點是邏輯簡單，實施費用低廉，對網絡的影響較小，有較強的透明性。并且它的工作與應用層無關，無須改動任何客戶機和主機上的應用程序。易于安裝和使用。其弱點是：配置基于包過濾方式的防火墻。需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當帶來的問題：不提供用戶的鑒別機制。

(4)狀態(tài)監(jiān)測型防火墻

就是對包過濾技術的增強。這種防火墻采用了一個在網關上執(zhí)行網絡安全策略的軟件引擎，稱之為監(jiān)測模塊。它工作在鏈路層和網絡層之間，對網絡通信的各層實施監(jiān)測分析，提取相關的通信和狀態(tài)信息，并在動態(tài)連接表中進行狀態(tài)及上下文信息的存儲和更新，這些表被持續(xù)更新，為下一個通信檢查提供累積的數(shù)據(jù)。狀態(tài)監(jiān)視器的另一個優(yōu)點是：能夠提供對基于無連接的協(xié)議的應用(如DNS)及基于端口動態(tài)分配的協(xié)議的應用(如NFS)的安全支持，靜態(tài)的包過濾和代理網關都不支持此類應用?？傊@類防火墻減少了端口的開放時間，提供了對幾乎所有服務的支持，缺點是它也允許外部客戶和內部主機的直接連接；不提供用戶的鑒別機制。

另外，新近推出的自適應代理(Adaptive Proxy)防火墻技術。本質上也屬于代理服務技術，但它也結合了動態(tài)包過濾(狀態(tài)檢測)技術。組成這種類型防火墻的基本要素有兩個：動態(tài)包過濾器與自適應代理服務器。它結合了代理服務防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎上將代理服務器防火墻的性能提高10倍以上。

3防火墻配置的實現(xiàn)

(1)雙宿主主機防火墻

這種防火墻系統(tǒng)由一臺特殊主機來實現(xiàn)。這臺主機擁有兩個不同的網絡接口：一端接外部網絡，一端接需要保護的內部網絡，故被稱為雙宿主主機，也成為雙宿主網關。防火墻不使用包過濾規(guī)則，而是通過在外部網絡和被保護的內部網絡之間設置這個網關(雙宿主網關)，隔斷IP層之間的直接傳輸。被保護網絡中的主機與該網關可以通信，外部網絡中主機也能與該網關通信。但是兩個網絡中的主機不能直接通信，兩個網絡之間的通信通過應用層數(shù)據(jù)共享或應用層代理服務來實現(xiàn)，其配置實現(xiàn)如圖1所示。

(2)屏蔽主機防火墻

屏蔽主機防火墻由一臺過濾路由器和一臺堡壘主機組成，其配置實現(xiàn)如圖2所示。在這種配置中，堡壘主機配置在內部網絡上，過濾路由器則放置在內部網絡和外部網絡之間。在路由器上進行安裝。使得外部網絡的主機只能訪問該堡壘主機，而不能直接訪問內部網絡的其他主機。內部網絡在向外通信時，也必須首先到達堡壘主機，由該堡壘主機來決定是否允許訪問外部網絡。這樣，堡壘主機成為內部網絡與外部網絡通信的唯一通道。

堡壘主機是運行代理軟件的計算機。它暴露在被保護的網絡之外，入侵者如果穿透了過濾路由器，必須首先把該主機攻克。才能夠進入到內部網絡。

(3)屏蔽子網防火墻

屏蔽子網防火墻是目前流行的一種結構，其配置實現(xiàn)如圖3所示。采用了兩個包過濾路由器和一個堡壘主機，在內外部網絡之間建立一個被隔離的子網，定義為“非軍事區(qū)”，有時也稱作周邊網，用于放置堡壘主機、WEB服務器、Mail服務器等公用服務。內部網絡和外部網絡均可訪問屏蔽子網，但禁止它們穿過子網通信。在這一配置中，即使堡壘主機被入侵者控制，內部網絡仍受到內部包過濾路由器的保護。

屏蔽子網防火墻的主要優(yōu)點是它又提供了一層保護。一個入侵者必須通過兩個路由器和一個應用網關，這比起屏蔽主機防火墻來要困難得多。

4結束語

防火墻是一種綜合性的技術，涉及計算機網絡技術、密碼技術、安全技術、軟件技術、國際標準化組織(ISO)的安全規(guī)范以及安全操作系統(tǒng)等方面。防火墻作為內部網與外部網之間的一種訪問控制設備，常常安裝在內部網和外部網交界點上。在實際的應用中，如果認為單純地采用防火墻后網絡將變得絕對安全。將是很幼稚的。Internet防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合，它更是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源，所有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。