李國芳

（廣州衛(wèi)生學(xué)校，廣東廣州，510450）

0 引言

計算機安全是全球網(wǎng)絡(luò)中最重要的課題，計算機安全與管理，特別是關(guān)系國計民生的項目，例如銀行、航空、電網(wǎng)、科研等都是計算機安全維護(hù)的核心和重點。當(dāng)前影響到計算機網(wǎng)絡(luò)的因素有很多，不少因素有可能是有意、也可能是人為造成的，因此研究網(wǎng)絡(luò)安全造成的因素有很現(xiàn)實的意義。

防火墻(英文：firewall)是一項協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。其主要指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。

1 防火墻的分類

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，防火墻的技術(shù)也在不斷更新?lián)Q代，當(dāng)前防火墻的分類和功能已經(jīng)有了明顯的提升，從其功能而言，我們可以直接劃分為兩大類：包過濾防火墻和應(yīng)用級防火墻。

1.1 包過濾防火墻

又叫網(wǎng)絡(luò)級防火墻，因為它的整個檢測工作主要是在網(wǎng)絡(luò)層運行的。其主要是通過檢測網(wǎng)絡(luò)中收發(fā)的包地址、協(xié)議、端口等信息，通過判斷該包是否符合發(fā)放要求來決定該包是否能夠通過。一般而言，路由器中就包含著這樣的網(wǎng)絡(luò)級防火墻。

1.2 應(yīng)用級防火墻

應(yīng)用級防火墻主要的工作內(nèi)容是檢測進(jìn)入的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止受信主機與非受信主機間直接建立聯(lián)系。

應(yīng)用級防火墻在實際使用中，由于在網(wǎng)絡(luò)中通過防火墻訪問Internet,，因此一旦網(wǎng)絡(luò)不穩(wěn)定或者網(wǎng)絡(luò)存在故障時，可能會出現(xiàn)多次登錄、數(shù)據(jù)延遲等問題。因此可知，使用應(yīng)用級防火墻的協(xié)議代理軟件，其效率遠(yuǎn)遠(yuǎn)不及網(wǎng)絡(luò)防火墻。

包過濾防火墻和應(yīng)用級防火墻是網(wǎng)絡(luò)防火墻中最常見的兩種防毒方式，它們都是通過分析數(shù)據(jù)包、根據(jù)規(guī)則解析數(shù)據(jù)包，并將數(shù)據(jù)包再次傳遞，從而有效的方式病毒的侵入，維護(hù)網(wǎng)絡(luò)安全。

2 防火墻功能分析

當(dāng)前市面上的防火墻主要有如下幾種功能來確保網(wǎng)絡(luò)安全：

2.1 數(shù)據(jù)包過濾

包過濾是防火墻所要實現(xiàn)的最基本功能，現(xiàn)在的防火墻已經(jīng)由最初的地址、端口判定控制，發(fā)展到判斷通信報文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶認(rèn)證、用戶規(guī)則甚至狀態(tài)檢測等等。

2.2 審計和報警機制

在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對相關(guān)數(shù)據(jù)分析完成以后，就要作出接受、拒絕、丟棄或加密等決定（target）。如果某個訪問違反安全規(guī)定，審計和報警機制開始起作用，并作記錄，報告等等。

2.3 遠(yuǎn)程管理

防火墻管理界面一般是對防火墻進(jìn)行配置、管理和監(jiān)控、查閱當(dāng)前狀態(tài)等。防火墻管理界面設(shè)計直接關(guān)系到防火墻的使用方便性和安全性。

2.4 NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換似乎已經(jīng)成了防火墻的“標(biāo)配”，絕大多數(shù)防火墻都加入了該功能。 目前防火墻一般采用雙向NAT：SNAT和DNAT。SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使得對內(nèi)部的攻擊更加困難；并可以節(jié)省IP資源，有利于降低成本。DNAT主要實現(xiàn)用于外網(wǎng)主機對內(nèi)網(wǎng)和DMZ區(qū)主機的訪問。

2.5 流量控制和統(tǒng)計分析模塊

流量控制對于防火墻技術(shù)而言是較為簡單的統(tǒng)計功能，其主要可以分為基于單個IP地址控制或者基于用戶控制?；贗P地址控制是對整個防火墻的網(wǎng)絡(luò)接口流量進(jìn)行統(tǒng)一的控制，而基于用戶控制是通過判斷用戶登錄的用戶名進(jìn)行分析每個用戶的使用流量，從而有效的方式某些應(yīng)用程序或者用戶占用資源過多而造成資源的浪費。

3 有狀態(tài)防火墻的工作流程和算法

為了能夠更清晰的闡述防火墻在防毒過程中的變化，本文就有狀態(tài)防火墻的算法進(jìn)行了闡述，當(dāng)然防火墻的實際算法不止這一種，但是基于此算法我們還能夠看出防火墻的整個工作狀態(tài)。

3.1 有狀態(tài)放火墻的工作流程。

整個包過濾防火墻在收集到數(shù)據(jù)包頭信息之后，會對其進(jìn)行數(shù)據(jù)解析，通過與規(guī)則庫中的安全規(guī)則進(jìn)行匹配之后，確認(rèn)該數(shù)據(jù)包是否需要丟棄或者放行，因此，在此一過程中，CheckPoint首先提出了一種新的防火模式——有狀態(tài)防火墻。其主要基于一個基本事實，即網(wǎng)絡(luò)中大部分?jǐn)?shù)據(jù)都是通過面向連接的TCP協(xié)議進(jìn)行傳輸，只要控制整個連接過程就可以認(rèn)為該信息通信過程是可信的，有狀態(tài)防火墻的數(shù)據(jù)處理流程如下圖1所示。

3.2 工作機制

本文主要是以對象的方式和管理連接整個實體，每個實體是一個對象，對象都是有生命周期、屬性和實現(xiàn)方法。

實體的產(chǎn)生過程：每個Client和Server之間連接的三次握手過程，構(gòu)成一個實體的產(chǎn)生，這是一個臨時過程，一旦連接成功，防火墻將會生成一個完整的實體，連接失敗，防火墻將會釋放奔馳連接所占用的資源。

實體的狀態(tài)：實體之間的記錄連接記錄著當(dāng)前實體的狀態(tài)（例如：雙方連接序號、確認(rèn)數(shù)據(jù)狀態(tài)、連接信息狀態(tài)等），隨著通信環(huán)節(jié)的反復(fù)，不斷更新實體狀態(tài)。

實體的運行方法：對于非連接請求的數(shù)據(jù)包，如果它不屬于任何一個實體裝填，則被直接丟棄，對于某一實體的數(shù)據(jù)包，實體大都會檢測符合TCP/IP協(xié)議的狀態(tài)轉(zhuǎn)換規(guī)格。

這樣，實體的功能決定了防火墻過濾功能的強度，匹配算法的效率決定了防火墻的整體效率。下面對算法的實現(xiàn)和性能做進(jìn)一步的分析。

3.3 防火墻的具體算法

防火墻效率的關(guān)鍵在于規(guī)則庫的匹配而有狀態(tài)防火墻把主要負(fù)載從規(guī)則庫匹配轉(zhuǎn)移到了連接實體在實體集的匹配文中提出了基于哈希表的實體管理機制分析表明算法空間復(fù)雜性為O(n)時間復(fù)雜性為O(1)可以作為防火墻比較理想的算法

1）算法

設(shè)哈希函數(shù)的輸入為Packet Key （或Entity Key）按如下規(guī)則構(gòu)造哈希函數(shù)Hash（）：

（1）Addr =sa+da，記為 Addr[ 0..32 ]，33bit

（2）Port =sp+dp 記為 Port[ 0..16 ]， 17bit

（3）構(gòu)造位數(shù)組 Key[ 0..59 ]= [ Addr[ 0..32 ]，0*0，Port[ 0..16 ]]

（4）對Key[ 0..59 ]分三段進(jìn)行折疊異或運算，取結(jié)果為Result[ 0..19 ]，20bit等效運算如圖4 所示：2）算法實現(xiàn)

綜合以上論述下面給出算法實現(xiàn)的主體框架

int Process struct Packet packet

{

if packet (3way hand shake packet)

return EntityBuildProc(packet); // 判斷為3 次握手?jǐn)?shù)據(jù)轉(zhuǎn)對應(yīng)處理程序

if EntitySet[Hash(packet)]== NULL

return 1 // 在哈希表中匹配實體失敗丟棄數(shù)據(jù)包

if (entity = GetEntity(EntitySet[Hash(packet),packet])== NULL

return 1 // 在沖突鏈表中匹配實體失敗丟棄數(shù)據(jù)包

if entity.CheckState (Packet)== OK // 檢查實體當(dāng)前狀態(tài)

{

entity.ChangeState (Packet)// 修改實體當(dāng)前狀態(tài)

return 0 // 接受合法數(shù)據(jù)包

}

return 1

}

int CheckState (Packet)

{

check TCP flag consistency

check Sequence Number

check Acknowledgment Number

extended check behavior // 擴(kuò)展功能例如基于內(nèi)容的過濾

}

4 結(jié)語

防火墻技術(shù)從總體而言還處于一個發(fā)展階段。要真正的實現(xiàn)其主動、自動抵御外來侵入，還需要對網(wǎng)絡(luò)進(jìn)行更多的設(shè)置和保護(hù)。因此，密切關(guān)注防火墻的最新發(fā)展，對推動lntemet在我國的健康發(fā)展有著重要的意義。

[1]張鳴，高楊.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究.河南：黃河水利職業(yè)技術(shù)學(xué)院學(xué)報，2011

[2]曹進(jìn)，張平.現(xiàn)代網(wǎng)絡(luò)安全與防火墻研究.北京：中國科技信息，2006

[3]趙新亭.計算機網(wǎng)絡(luò)防火墻技術(shù)研究.北京：中國新技術(shù)新產(chǎn)品，2008

[4]胡道元，閔京華.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2004

[5]王竹林，張勝.網(wǎng)絡(luò)安全實踐[M].西安：電子科技大學(xué)出版社，2004

[6]袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù).北京：清華大學(xué)出版社，2005

[7]常紅.網(wǎng)絡(luò)安全技術(shù)與反黑客.北京：冶金工業(yè)出版社，2004