胡勝男

【摘要】筆者首先指出了計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過(guò)程中的安全問(wèn)題，然后給出了網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，同時(shí)分析了實(shí)現(xiàn)防火墻的幾種主要技術(shù)，以及防火墻的發(fā)展趨勢(shì)。

【關(guān)鍵詞】計(jì)算機(jī);防火墻;網(wǎng)絡(luò)安全;技術(shù);趨勢(shì)

一、概述

為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

其實(shí)防火墻就好像在古老的中世紀(jì)安全防務(wù)的一個(gè)現(xiàn)代變種：在你的城堡周圍挖一道深深的壕溝。這樣一來(lái)，使所有進(jìn)出城堡的人都要經(jīng)過(guò)一個(gè)吊橋，吊橋上的看門警衛(wèi)可以檢查每一個(gè)來(lái)往的行人。對(duì)于網(wǎng)絡(luò)，也可以采用同樣的方法：一個(gè)擁有多個(gè)LAN的公司的內(nèi)部網(wǎng)絡(luò)可以任意連接，但進(jìn)出該公司的通信量必須經(jīng)過(guò)一個(gè)電子吊橋（防火墻）。也就是說(shuō)防火墻實(shí)際上是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

二、防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性：

1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻;

2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)等;

5、人機(jī)界面良好，用戶配置使用方便，易管理。

實(shí)現(xiàn)防火墻的主要技術(shù)有：分組篩選器，應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。

（1）分組篩選器技術(shù)

分組篩選器是一個(gè)裝備有額外功能的標(biāo)準(zhǔn)路由器。這些額外功能用來(lái)檢查每個(gè)進(jìn)出的分組。符合某種標(biāo)準(zhǔn)的分組被正常轉(zhuǎn)發(fā)，不能通過(guò)檢查的就被丟棄。

通常，分組篩選器由系統(tǒng)管理員配置的表所驅(qū)動(dòng)。這些表列出了可接受的源端和目的端，擁塞的源端和目的端，以及作用于進(jìn)出其他機(jī)器的分組的缺省規(guī)則。在一個(gè)UNIX設(shè)置的標(biāo)準(zhǔn)配置中，一個(gè)源端或目的端由一個(gè)IP地址和一個(gè)端口組成，端口表明希望得到什么樣的服務(wù)。例如，端口23是用于Telnet的，端口79是用于Finger分組，端口119是用于USENET新聞的。一個(gè)公司可以擁塞到所有IP地址及一個(gè)端口號(hào)的分組。這樣，公司外部的人就不能通過(guò)Telnet登陸，或用Finger找人。進(jìn)而該公司可以獎(jiǎng)勵(lì)其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性，因?yàn)殡m然大多數(shù)節(jié)點(diǎn)使用標(biāo)準(zhǔn)端口號(hào)，但這也不一定是一成不變的，更何況有一些重要的服務(wù)，像FTP（文件傳輸協(xié)議），其端口號(hào)是動(dòng)態(tài)分配的。此外，雖然擁塞TCP連接很困難，但擁塞UDP分組甚至更難，因?yàn)楹茈y事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

（2）應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾，它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄，如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來(lái)完成。

有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁(yè)面。當(dāng)用戶請(qǐng)求的頁(yè)面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí)，服務(wù)器將檢查所緩存的頁(yè)面是否是最新的版本（即該頁(yè)面是否已更新），如果是最新版本，則直接提交給用戶，否則，到真正的服務(wù)器上請(qǐng)求最新的頁(yè)面，然后再轉(zhuǎn)發(fā)給用戶（3）代理服務(wù)

代理服務(wù)器（ProxyServer）作用在應(yīng)用層，它用來(lái)提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。

在實(shí)際應(yīng)用當(dāng)中，構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù)，通常是多種解決不同問(wèn)題的技術(shù)的有機(jī)組合。你需要解決的問(wèn)題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn)，采用何種技術(shù)來(lái)解決那些問(wèn)題依賴于你的時(shí)間、金錢、專長(zhǎng)等因素。

三、防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇：

1）防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2）過(guò)濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL（頁(yè)面）過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸有病毒掃描功能。

3）利用防火墻建立專用網(wǎng)是較長(zhǎng)一段時(shí)間用戶使用的主流，IP的加密需求越來(lái)越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。

4）單向防火墻（又叫做網(wǎng)絡(luò)二極管）將作為一種產(chǎn)品門類而出現(xiàn)。

5）對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。

6）安全管理工具不斷完善，特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。

【參考文獻(xiàn)】

[1]KaranjitS，ChirsH.InternetFirewallandNetworkSecurity，NewRiderspublishing，1996.

[2]AndrewS.TanenbaumComputerNetworks（ThirdEdition），PrenticeHallInternational，Inc.1998.

[3]林曉東，楊義先.網(wǎng)絡(luò)防火墻技術(shù).電信科學(xué)，1997（13）.

[4]黃允聰，嚴(yán)望佳.防火墻的選型、配置、安裝和維護(hù).清華大學(xué)出版社，1999