防火墙技术的发展与应用 Development and application of firewall technology

崔升广

摘要：随着网络技术的不断发展，对网络安全性要求也越来越高，防火墙技术可以提供行之有效的网络安全机制，保障网络的安全性与可靠性，本文主要研究防火墙技术，对防火墙的主要技术类型包括包过滤、应用层网关、应用代理服务器、状态检测放火墙进行了分析以及防火墙技术发展趋势进行了研究。

关键词：防火墙 网络安全 网关 应用代理

[Abstract] With the development of network technology， the network security requirements are also getting higher and higher， the firewall technology can provide effective network security mechanism， guarantee the safety and reliability of the network， this paper mainly studies the firewall technology， main types of firewall includes packet filter， application layer gateway， proxy server application， state inspection firewall is the analysis and development of firewall technology was studied.

[keyword] firewall netsafe gateway Application Proxy

1、引言

随着互联网及其网络技术的飞速发展，全球信息化进程的不断推进，人们在享受互联网带来的丰富信息、巨大便利与快捷的同时，也面临着对互联网开放性带来的数据安全的新挑战和新危险。一方面互联网攻击的手段越来越简单、越来越普遍，攻击工具的功能却越来越强，网络感染病毒、遭受攻击的速度日益加快；另一方面网络受到攻击做出响应的时间却越来越滞后，这就使得用户对网络的安全性提出了更高的要求，使网络的安全问题日益突出，网络安全无论从理论上还是实际应用中都具有十分重要的意义，网络安全作为一个无法回避的问题呈现在我们面前。

防火墙是提供行之有效的网络安全机制，是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障，在内部网与外部网之间实现安全的防范措施。

2、防火墙技术概述

防火墙是用一个或一组网络设备，在两个或多个网络之间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术，防火墙的组成可以表示为：防火墙=过滤器+安全策略+网关，它是一种非常有效的网络安全技术，防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。

3、防火墙的主要技术类型

防火墙的主要技术类型包括包过滤、应用层网关、应用代理服务器、状态检测放火墙。

（1）过滤防火墙

数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表，通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网络性能和透明度好。它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用

（2）应用层网关

应用层网关技术是在网络的应用层上实现协议顾虑和转

发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。

应用层网关防火墙和数据包过滤有一个共同的特点，就是他们仅仅依靠特定的逻辑来判断是否允许数据包通过。防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。

（3）应用代理服务器

应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。

应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。

（4）状态检测防火墙

状态检测又称为动态包过滤，是在传统包过滤上的功能扩展。传统的包过滤在遇到利用动态端口的协议时会发生困难，如FTP，你事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。

状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，它们不仅检测“to”或“from”的地址，而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权流通标准的数据包，这使得本身的运行非常快速。

4、防火墙技术发展趋势

（1）防火墙包过滤技术

一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。

（2）多级过滤技术

所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务，这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。

（3）防火墙病毒防护功能

现在通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现，这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极，拥有病毒防护功能的防火墙可以大大减少公司的损失。

5、结束语

当用户与Internet连接时，可以在中间加入一个或几个中介系统，防止非法入侵者通过网络进行攻击，并提供数据可靠性、完整性的安全和审查控制，防火墙是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵，它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部结构、信息和运行情况，以此来实现内部网络的安全。

参考文献：

[1] 吴秀梅 《防火墙技术及应用教程》 清华大学出版社 2010-10

[2] 阎慧 《防火墙原理与技术》 机械工业出版社 2004-5