防火墙的功能浅析

[摘要]网络安全的问题已经日益突出,越来越引起世界各国的严密关注。随着计算机网络技术的突飞猛进,计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。因此,必须要加强安全意识,并及早防范。目前最常用的网络安防范工具是防火墙。

[关键词]网络安全 防火墙 分组过滤技术 数据包过滤 网络服务

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810049-01

一、防火墙的概念

防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。

二、防火墙的架构与工作方式

防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问(因为有些人登录后的第一件事就是试图超越权限限制)。如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个Email邮件炸烂,或者用户的个人主页被人恶意连接向了Playboy,而报告链接上却指定了另一家色情网站......一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。

三、防火墙的体系结构

防火墙的体系结构一般有以下几部分组成:

(一)屏蔽路由器(ScreeningRouter)。屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现,而且不能识别不同的用户。

(二)双穴主机网关(DualHomedGateway)。双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。

(三)被屏蔽主机网关(ScreenedGatewy)。屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。

(四)被屏蔽子网(ScreenedSubnet)。被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。

四、防火墙的模式转变

传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。但这种设计的最大问题是,恶意攻击的发起不仅仅来自于外网,内网环境同样存在着很多安全隐患,而对于这种问题,边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防御理念的升华。防火墙的几种基本类型可以说各有优点,所以很多厂商将这些方式结合起来,以弥补单纯一种方式带来的漏洞和不足,例如比较简单的方式就是既针对传输层面的数据包特性进行过滤,同时也针对应用层的规则进行过滤,这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力,可以说是在自身基础之上进行再发展的最有效途径之一,目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤,其实这已经成为现有防火墙产品的一种主流检测模式了。

五、防火墙的功能扩展与性能提高

现在的防火墙产品已经呈现出一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,这样的设计会对管理性能带来不少提升,但同时也对防火墙产品的另外两个重要因素产生了影响,即性能和自身的安全问题,所以我们的意见是应该根据具体的应用环境来做综合的权衡,毕竟这个世界暂时还不存在什么完美的解决方案。

六、防火墙的功能

一般来说,防火墙具有以下几种功能:

1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。

2.可以很方便地监视网络的安全性,并报警。

3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。

4.是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。

5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。

参考文献:

[1]朱雁辉,WINDOWS防火墙与网络封包截获技术[M].北京:电子工业出版社,2002.

[2]常红等,网络完全技术与反黑客[M].长春:冶金工业出版社,2001.

[3]袁家政,计算机网络安全与应用技术[M].北京:清华大学出版社,2002.

作者简介:

陶国喜(1973-),男,湖北麻城人,黄冈职业技术学院计算机系教师,高校讲师,主要从事计算机程序设计专业课教学与科研工作。