方健

摘要：文章主要介紹了防火墻相關的理論知識，包括：防火墻的基本概念、分類、模型和功能，指出了防火墻的發(fā)展趨勢。

關鍵詞：防火墻技術；網(wǎng)絡安全技術；網(wǎng)絡技術

1防火墻的基本概念

說起防火墻，我們不得不提這個名詞的來源?！胺阑饓Α逼鹪从诠糯ㄖW。那時候人們?yōu)榱吮Ｗo房屋，防止發(fā)生火災時火勢蔓延，在建造房子時在房子的外圍用石塊筑起一道墻，并把它命名為防火墻。如今，隨著計算機網(wǎng)絡的發(fā)展，網(wǎng)絡攻擊手段的相繼出現(xiàn)，防火墻一詞被引用到計算機網(wǎng)絡安全領域，代表一種保護計算機或者網(wǎng)絡免受攻擊的技術。

防火墻技術是建立在現(xiàn)代網(wǎng)絡通信技術和網(wǎng)絡安全技術基礎上的應用性安全技術，越來越多的應用于專用網(wǎng)絡和公用網(wǎng)絡的互聯(lián)環(huán)境中。

2防火墻的分類

為了對不同的網(wǎng)絡攻擊手段進行防御，防火墻也相應的劃分出不同的類別。根據(jù)物理特性不同，防火墻可以分為軟件防火墻和硬件防火墻。其中軟件防火墻是一種運行在PC上的軟件，價格相對便宜，比較適合個人用戶或者對安全要求較低的小型機構；硬件防火墻可以是一個芯片，也可以是一臺獨立的硬件設備。價格昂貴，適合對安全要求高的企業(yè)或者機構組織。

根據(jù)技術的不同，防火墻可分為包過濾防火墻、應用代理防火墻和狀態(tài)檢測防火墻。其中，包過濾防火墻采用數(shù)據(jù)包過濾技術，應用于OSI的網(wǎng)絡層和傳輸層，根據(jù)系統(tǒng)內置的過濾規(guī)則對數(shù)據(jù)包進行選擇。盡管其缺點顯著，比如，一旦過濾規(guī)則不能正確實施，包過濾防火墻就不能正常工作，但是由于其價格便宜，容易實現(xiàn)，所以它一直工作在各個領域。應用代理防火墻采用應用協(xié)議分析技術，應用于OSI的應用層。它不但能夠根據(jù)內置的過濾規(guī)則對信息來源進行過濾，還能夠根據(jù)信息內容進行過濾，進一步增強了信息的安全性。它以犧牲速度換取比包過濾防火墻更高的安全性，不過在網(wǎng)絡吞吐量不大的時候用戶察覺不到它的存在，但是它支撐不住高強度的數(shù)據(jù)流量，一旦數(shù)據(jù)交換頻繁，整個網(wǎng)絡就有癱瘓的可能。相比較包過濾防火墻，它很難有立足之地。狀態(tài)監(jiān)視防火墻采用狀態(tài)監(jiān)視技術，工作在OSI的網(wǎng)絡層、傳輸層和應用層。該技術是CheckPoint公司基于包過濾防火墻的動態(tài)過濾技術發(fā)展而來的。該防火墻在不影響網(wǎng)絡正常工作的前提下，通過“狀態(tài)監(jiān)視”模塊，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各個層次實行檢測，并根據(jù)預置的安全規(guī)則做出決策。它是包過濾技術和應用協(xié)議分析技術的綜合。但是由于實現(xiàn)技術復雜，很難部署和實現(xiàn)，所以目前還沒有普及。

3防火墻模型

常見的防火墻系統(tǒng)模型有四種，它們分別是篩選路由器模型，單宿主堡壘主機模型，雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。其中篩選路由器模型是網(wǎng)絡的第一道防線。其功能是實施對網(wǎng)絡數(shù)據(jù)包的過濾，其通過執(zhí)行由工作人員創(chuàng)建的相應的過濾策略實現(xiàn)其過濾功能。與此同時，對工作人員的TCP/IP的知識有相當高的要求，因為如果篩選路由器被黑客攻破那么內部網(wǎng)絡將變的十分的危險。該防火墻不能夠隱藏內部網(wǎng)絡的信息，同事也不具備監(jiān)視和日志記錄功能。單宿主堡壘主機又叫屏蔽主機防火墻，由包過濾路由器和堡壘主機組成。其提供的安全等級比篩選路由器模型的防火墻系統(tǒng)要高，因為它實現(xiàn)了內部網(wǎng)絡的網(wǎng)絡層安全（包過濾）和應用層安全（代理服務）。所以入侵者必須首先滲透兩種不同的安全系統(tǒng)，才能破壞內部網(wǎng)絡的安全性。雙宿主堡壘主機模型又叫屏蔽防火墻系統(tǒng)，可以構造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡接口，但是主機不能夠在兩個端口之間直接轉發(fā)信息。在物理結構上，所有去往內部網(wǎng)絡的網(wǎng)絡信息包都必須經(jīng)過堡壘主機。屏蔽子網(wǎng)模型，其由兩個包過濾路由器和一個堡壘主機構成。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”（DMZ，Demilitarized Zone）網(wǎng)絡后，它支持網(wǎng)絡層和應用層安全功能。網(wǎng)絡管理員將堡壘主機、信息服務器、Modem組、以及其它公用服務器放在DMZ網(wǎng)絡中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設備。

4防火墻功能

防火墻最基本的功能就是控制數(shù)據(jù)流在計算機網(wǎng)絡不同信任域間的傳送。除此以外，他還有其他重要功能。包括策略制定和執(zhí)行：防火墻通過執(zhí)行其內置的規(guī)則實現(xiàn)對內部計算機或者網(wǎng)絡的保護；強化網(wǎng)絡安全策略：將口令、加密、身份認證、審計等所有安全軟件配置在防火墻上，與分散的安全策略相比，方便管理且更經(jīng)濟；防止內部信息外泄：防火墻把內部網(wǎng)絡與外部網(wǎng)絡隔離開，把內部網(wǎng)絡的重要的、敏感的信息隱藏起來。防止外部網(wǎng)絡用戶對內網(wǎng)隱私信息的竊取，以增強保密性，同時隱藏內部IP地址及網(wǎng)絡結構的細節(jié)；記錄和統(tǒng)計網(wǎng)絡數(shù)據(jù)流量：對經(jīng)過防火墻的數(shù)據(jù)進行記錄和分析，從而探測和判斷可能的攻擊；提供VPN功能：通過防火墻可以實現(xiàn)虛擬專用網(wǎng)絡的功能。

5防火墻的發(fā)展趨勢

與其他安全設備或者安全模塊進行互動是新一代防火墻的發(fā)展趨勢。下一代防火墻將朝著高速、多功能化和更安全的方向發(fā)展。多功能化與高速是現(xiàn)有防火墻中的一對矛盾體，采用何種技術使其平衡是有待解決的問題。

人們普遍認為，實現(xiàn)高速防火墻的關鍵是算法。多功能化的目的是為了滿足不同用戶組網(wǎng)需求，降低組網(wǎng)的成本。更安全的趨勢是與網(wǎng)絡信息安全大趨勢相一致的。

參考文獻

[1]張熙.多域網(wǎng)絡安全管理系統(tǒng)策略一致性的研究與設計.北京郵電大學，2009.

[2]吳秀梅，畢燁，王見，傅嘉偉等.防火墻技術及應用教程[M].北京：清華大學出版社，2010.10