基于Internet的防火墙技术分析

玄文启 云南财经大学信息学院，昆明 650221

基于Internet的防火墙技术分析

玄文启 云南财经大学信息学院，昆明 650221

随着计算机网络的广泛应用，特别是随着Internet技术的飞速发展，基于Internet的安全话题也成了人们日趋关注的焦点。面对网络信息的高速交互，基于Internet的防火墙技术不可避免的成为一种新型防火墙技术需求。

Internet；防火墙技术；网络安全

防火墙（The fire-wall）是指构建于建筑物中的用于防止火灾等蔓延的隔断装置。而在计算机网络系统中，防火墙是构成网络安全策略重要组成部分，它通过监测和控制网络之间的访问行为和信息交换，从而有效地实现了对网络信息交互的有效管理。但是，由于网络设备之间相互关联性，整个计算机网络承受着来自网络的外部、网络的内部、黑客、计算机病毒等各方面威胁，而Internet防火墙技术正是构建于计算机网络数据交互的关键部位，它可以有效地防止Internet网络上的各种病毒、资源盗用等网络内部破坏。可以说，面对未来网络信息的高速交互，Internet技术的防火墙已成为一种新型防火墙技术需求而被广泛应用。

1、现有的一些防火墙技术分析

从总体而言，防火墙应具有以下基本功能：%

（1）实现对进、出网络数据进行过滤；

（2）能有效管理进、出网络访问的行为；%

（3）针对某些禁止行为实行封堵；%

（4）实时地记录通过防火墙的信息内容。%

促进良种选育、品种培育工作。2004年至今，在雅安、宜宾、泸州、自贡和乐山5市范围内开展了大面积牡竹优良无性系筛选工作，共建立临时监测样地30余个，通过生物学、生态学特性与笋用性能的比较，最终选育出原产于宜宾市长宁县竹海镇世纪竹园、宜宾市江安县仁和乡义和村、乐山市沐川县幸福乡沙溪村、乐山市犍为县清溪镇永星村、雅安市天全县新华乡孝廉村的5个优良无性系，引种至宜宾长宁曙光观赏竹园艺场和成都市三环路竹博园保存，并在雅安、成都、宜宾3地进行了引种测试和区域试验。其中，优良笋材两用竹“川牡竹1号”与“天丰6号”，分别于2012年及2013年通过四川省林木品种审定委员会的良种认定。

目前，在计算机网络架构技术中，主要存在下列一些防火墙技术：

（1）包过滤防火墙：这种防火墙通常安装在路由器上，以IP包信息为基础，对目标地址、协议类型、端口号、IP源地址等进行实时地检测与筛选。它处于OSI的网络层，将对每一个接收到的包进行答应／拒绝的决定。

（2）代理型防火墙：这种防火墙通常由两部分构成，即包括服务器端程序和客户端程序。它通过客户端程序实现与中间节点的连接，然后中间节点再与提供服务的服务器实际连接，从而实现对通过的数据与信息进行检测。

（3）堡垒型防火墙：这种防火墙将包过滤和代理服务两种方法有机结合起来，它将堡垒主机充当网关，并在其上运行防火墙软件。从网络技术而言，由于内外网之间的通信必须经过堡垒主机，这样，使堡垒主机成为外网与内网之间的唯一节点，从而确保内网不受外部非授权用户的攻击；并且，在堡垒主机上设置了加密路由器，可对通过此路由器的信息进行压缩和加密，然后通过对外网传输到目的端的信息进行解密和解压缩。

现有的防火墙技术的局限性：尽管利用上述防火墙技术及相关设计可保护内网免受外部黑客的攻击，但由于它是一种技术上的被动防御，只能实现提高网络的安全性，不可能保证网络数据传输的绝对安全。显然可见，在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络信息传输的安全显然是不够，此时，应根据实际需求采取其他相应的网络安全策略，所以，构建Internet防火墙成为网络应用技术中的必然选择。

2、Internet防火墙技术原理

Internet防火墙是这样的一组技术系统，它主要是通过增强系统内部网络的安全性，实现让所有通过Internet的数据信息都必须经过防火墙，并接受防火墙的实时检查，并且，防火墙必须只允许对已取得授权的数据通过。可见，Internet 防火墙可以阻止未经计算机允许的外部信息进入计算机，也可防止黑客扫描计算机信息，也即它可以有效防止黑客入侵，从而有效地保障了网络信息的安全交互。

Internet防火墙主要技术原理：

（1）实时的状态数据包过滤：Internet防火墙实质上是一个实时的状态数据包过滤器。对于传统的静态数据包过滤器，它是基于数据包的地址信息来确定是否丢弃数据包，因此，对信息检测相对滞后；而实时的状态数据包过滤器，则能同时基于数据包的状态和会话的上下文信息，实现实时的状态数据检测。

（2）动态的连接流表技术：Internet 防火墙状态是基于一个连接流表动态实现防护的技术。其基本原理是：对于无连接的协议 (如 UDP)，连接流是在公共端点之间无间断地发送一组数据包；而对于面向连接的协议 (如 TCP)，连接流则等价于协议的连接定义。这样，当连接流到达时能动态地终止或连接，而当连接被关闭时，连接流表中的状态信息会被动态地删除。

（3）对数据包的实时检测技术：Internet 防火墙能对 TCP 数据包执行结构实时检查，这些检查包括快速筛选出具有不可能的标记组合的数据包，以及实施TCP实时检测，这样，可有效地打开或关闭网络端口。前者能面对大量随机数据包的攻击时，极大地降低数据处理的技术开销，而后者则可以实时地防范各种黑客扫描技术，实现对黑客攻击的主动防御。

（4）阻止 IP 欺骗技术：Internet 防火墙可以阻止应用程序的 IP 欺骗，它能检查出包括 TCP、UDP、ICMP 和 PPTP/GRE 等通信的数据包是否含有欺骗性的IP，这样，有效地防止对应用程序的破坏与攻击。

3、Internet的防火墙技术构建

（1）防火墙的基本墙设计

在设计Internet防火墙时，我们必须考虑如下几个因素：

①防火墙的姿态： Internet防火墙存在两种相反的姿态：一是拒绝没有特别允许的所有信息，它假定防火墙应该阻塞所有的信息，而每一种所期望的服务或应用都是基于case-by-case的基础上实现；二是允许没有特别拒绝的所有信息，主要是通过假定防火墙应该转发所有的信息，让所有可能存在危害的服务都应在case-bycase的基础上实现屏蔽。

②机构的整体安全控制：在防火墙设计中，一是对于未经说明许可的信息即拒绝，从而阻塞所有流经的信息；二是未说明拒绝的信息均为许可，从而约定其可通过防火墙进行传递。

③防火墙设计的费用：对于防火墙设计，需要不断地总体维护、软件更新、、安全修补以及一些附带的操作提供支持，这样，需要考虑相关的费用支出需求。

（2）防火墙系统的构件：Internet防火墙允许定义一个中心扼制点来防止非法用户入侵，禁止存在安全脆弱性的服务进出计算机网络，并抗击来自各种路线的非法攻击。而且，Internet防火墙还能非常方便的监视网络安全性，并能及时对非法用户入侵进行报警。

4、Internet防火墙技术的局限性

（1）Internet防火墙无法防范通过防火墙内部途径的攻击。例如，在内部网络上的用户就能直接通过slip或ppp技术进入Internet，从而绕过了Internet防火墙提供的安全系统，这为从后门（Back door）攻击提供了极大的可能。

（2）Internet防火墙无法防止来自内部人员带来的威胁。也即，防火墙无法防止工作人员将系统内部的敏感数据复制，并人为地将备份数据带出所形成的风险。

（3）Internet防火墙不能防止已感染病毒的软件或文件传送。由于计算机病毒的类型太多，并且，其编码和压缩二进制文件的方法也各不尽相同，所以Internet防火墙去不可能对每一个文件进行深度的扫描检查，这样，即便对已通过防火墙的信息，也不能保证完全的安全。

5、Internet防火墙技术展望%

伴随着计算机网络的飞速发展，

Internet防火墙技术与产品的必然会得到加强，其技术将会有更新发展，其检测与过滤深度会不断的强化，并能实现对病毒动态的扫描与检测和实时的系统报警。我们深信，随着Internet防火墙技术不断的技术提升，未来它将得到广泛的应用与推广。

[1]安葳鹏，等.网络信息安全.清华大学出版社.2010.6

[2]熊平.信息安全原理及应用.清华大学出版社.2010.8

[3]蒋天发.网络信息安全.电子工业出版社.2009.01

An analysis of Internet Fire-wall technical

Xuan Wenqi Information College, Yunnan University finance and economics, Kunming 650221

With the extensive application of network, especially along with flying of Internet technique soon development,it becoming adult gradually pays attention to of focus about Internet safe topic. Facing a network hand over with each other, it ineluctability becomes a kind of new Fire- wall technique about the Internet Fire-wall technique.

10.3969/j.issn.1001-8972.2011.19.045

玄文启，男，1971年4月生，云南嵩明人，云南财经大学副教授，硕士，主要从事计算机应用技术研究。