关于计算机“防火墙”技术的简略分析研究

1.引言

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。

2.防火墙的定义

Internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。

防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网连接的点上。Internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与Internet的连接处，但是防火墙系统也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。

防火墙的局限性：

1）不能防范恶意的知情者；

2）不能防范不通过它的连接；

3）不能防范全部的威胁；

4）不能防范病毒。

由此可见，要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用。

3.防火墙的技术原理

3.1 包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。

缺点：

1）过滤规则难以配置和测试；

2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力；

3）对一些协议，如UDP和RPC难以有效的过滤。

3.2 代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。

优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术。

缺点：在应用支持方面存在不足，执行速度较慢。

3.3 状态监视技术

这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

图1 包过滤防火墙

图2 双宿主主机防火墙

图3 屏蔽主机网关防火墙

图4 屏蔽子网防火墙

状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

4.防火墙的体系结构

4.1 包过滤防火墙

包过滤防火墙也称作过滤过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现，也可以在基于主机的路由器上实现。配置图如图1所示。

内部网络的所有出入都必须通过过滤路由器，路由器审查每个数据包，根据过滤规则决定允许或拒绝数据包。

优点：

1）易实现；

2）不要求运行的应用程序做任何改动或安装特定的软件，也无需对用户进行特定的培训。

缺点：

1）依赖一个单一的设备来保护系统，一旦该设备（过滤路由器）发生故障，则网络门户开放；

2）很少或没有日志记录能力，当网络被入侵时，无法保留攻击者的踪迹。包防火墙适于小型简单的网络。

4.2 双宿主主机防火墙

这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双宿主主机防火墙。它不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关，隔断IP层之间的直接传输。两个网络中的主机不能直接通信，两个网络之间的通信通过应用层数据共享或应用层代理服务来实现。如图2所示。

优点：

1）网关将被保护的网络与外界完全隔离开；

2）提供日志，有助于发现入侵；

3）内部网络的名字和IP地址对外界来说是不可见的。

缺点：代理服务，代理服务器必须为每种应用专门设计，所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。

4.3 屏蔽主机网关防火墙

它由一台过滤路由器和一台堡垒主机组成。在这种配置下，堡垒主机配置在内部网络上，过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其它主机。内部网络在向外通信时，必须先到堡垒主机，由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信的唯一通道。如图3所示。

优点：

1）配置更为灵活，它可以通过配置过滤路由器将某些通信直接传到内部网络的其它站点而不是堡垒主机；

2）包过滤路由器的规则较简单。

缺点：一旦堡垒主机被攻破，内部网络将完全暴露。

4.4 屏蔽子网防火墙

屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器，如图4所示。

在屏蔽主机网关防火墙中，堡垒主机最易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。

优点：提供多层保护，一个入侵者必须通过两个路由器和一个应用网关，是目前最为安全的防火墙系统。

缺点：

1）价格较贵；

2）整个系统的配置较为困难。

该防火墙适合大、中型企业，以及对安全性要求高的单位。

[1]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息,2005(23):25.

[2]张景田.计算机网络安全技浅析[J].统计与查询,2005(4):31.

[3]史忠植.高级计算机网络[M].北京:电子工业出版社,2002.

[4]张汉文.计算机网络安全与防范问题初探[J].信息安全与通信保密,2005(10):40.

[5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

[6]John Viega,Gary McGraw,构建安全的软件[M].钟向群,王鹏译清华大学出版社,2003,04.