浅析防火墙技术

郭连城

摘 要：防火墙技术在网络安全防御中具有重要地位。文章首先阐述了防火墙的概念，然后对防火墙的概念、作用以及主要技术进行了分析与探讨，最后总结了下一代防火墙技术的发展趋势。

关键词：防火墙；包过滤；应用代理；状态检测；屏蔽主机；屏蔽子网

1 防火墙概述

1.1 防火墙的概念

防火墙的主要功能是隔离内部与外部网络，保护内部网络不受外部网络的恶意入侵，其主要方法是扫描与分析进入内部网络的流量数据包，对其中的恶意、非授权访问进行过滤，从而提升内部网络的安全性。

1.2 防火墙的功能

防火墙的主要功能有以下几项：对出、入内网的数据按照预设的安全策略进行过滤处理；对出、入网络的操作与行为实行安全管控；对通过防火墙的数据与操作进行记录；对不安全的网络服务进行屏蔽处理；对网络攻击进行检测和告警。除上述功能外，防火墙也有诸如身份认证、网络地址转换NAT和虚拟专用网VPN、流量分析与日志审计等高级功能。

1.3 防火墙的安全策略

防火墙安全策略的主要作用是防止网络重要敏感资源的非法访问。防火墙的整体安全策略主要包括用户账号策略、用户权限策略、信任关系策略、包过滤策略、认证签名与数字加密策略、密钥分配策略、审计策略等内容。研制与开发防火墙的第一步工作就是设计完善的防火墙安全策略。

2 防火墙的主要技术

2.1 包过滤技术

包过滤技术是最常用的防火墙技术。包过滤防火墙的工作原理是根据网络实际需要设置防火墙的过滤准则，对出、入网络的数据包实施有选择的通过，只有满足预设准则的数据才能由网络出口路由器转发，不满足准则的数据包则被防火墙自动过滤。包过滤技术的关键模块是数据包检查模块。数据包检查模块应与操作系统的核心密切相关，这样才能使拦截数据包的操作发生在操作系统或路由器转发数据包之前。数据包检查模块的检测对象主要包括IP头和TCP头。

包过滤技术的实现较为简单，并且成本也比较低，适应用网络环境较为简单的情况。包过滤技术能够以较小的代价保证内部网络的安全，并且具备较强的传输性能，扩展性也比较好。由于包过滤防火墙只对进出网络的数据包进行检测，因此与发送数据包的具体应用程序无关，所以对客户端程序无须做任何改动就可以实现对用户的透明性。包过滤技术虽然简单实用，但也存在较大的局限性，它只能在IP层和TCP层对数据包的端口号、源地址与目标地址、协议类型等信息进行检测和过滤，对于应用层的数据则无法过滤。此外，包过滤技术只能识别外部IP伪装成内部IP，而对外部IP伪装其它合法的外部IP则无能为力，所以比较容易遭受IP欺骗攻击。

2.2 应用代理技术

应用代理技术的工作层次比包过滤技术高，工作机理也完全不同。包过滤技术主要是拦截IP层的信息流，而应用代理技术是针对应用层实现防火墙的功能。简而言之，应用代理技术对每一个具体、特定的应用都建立一个特殊的服务程序，这个服务程序就是所说的代理。代理具有状态性，它能提供一些有传输相关的状态，本质上代理就是一个应用层上的网关，要维护客户端与服务器的连接。

应用代理技术能够有效检测出针对应用层的病毒和入侵，它使得网络管理员能够实现比包过滤防火墙更严格的安全策略，对网络服务进行全面的控制，因而应用代理防火墙的安全性较高。但应用代理技术也有一些不足，首先应用代理技术影响了网络传输的整体性能，其次由于必须针对客户机上的所有应用类型都要建立一个代理程序，使得系统的复杂性大增，因为如果某种应用程序没有对应的代理服务，那么该应用所发过的数据包就不能通过防火墙来转发。

2.3 状态检测技术

状态检测技术也可以看成一种动态的包过滤技术，它的主要功能模块就是状态检测模块，该模块采用抽取相关数据的方法来检测正在通信的网络的各个层次，这里所说的部分信息就是状态信息，状态信息被动态的记录下来作为制定安全策略的参考。状态检测技术从实质上讲是利用一种状态检测机制，这种机制是基于连接的，并对每个会话进行检测，检测的数据流是包含了属于同一连接的所有数据包，并以此建立连接状态表。在对表中的各个连接因素加以识别时，需要配合使用事先预制的规则表，并且表中的记录排列顺序可以随意排列以提高系统的传输效率。状态检测的机制是在用户访问到达边界网关的操作系统之前就要对所抽取的状态信息进行采集与分析，并且结合当前网络的安全策略做出决定，包括接纳、拒绝、鉴定等操作，如果该用户访问不符合网络安全策略的规定，内置的安全报警模块就会拒绝该访问并记录下来，同时向系统管理器回报当前网络状态。

3 防火墙的体系结构

3.1 多重宿主主机结构

多重宿主主机结构的主要思想一台主机、多个接口，多个接口就是两个或更多的网络接口，用以连接内部网络和多个外部网络，一台主机是指装有多个网络接口的计算机充当内部网络和多个外部网络之间的转发路由器，使得数据包可以从一个网络传输到其它网络。多重宿主主机结构并不是简单的转发，可以通过设置相应的安全策略禁止数据包由外部网络直接发送至内部网络，必须由多重宿主主机进行过滤和控制，以确保内部网络的安全性。

3.2 屏蔽主机结构

屏蔽主机结构的主要思想是路由器与堡垒主机的联合使用，在这种体系结构中，路由器主要是防止外部访问直接绕过代理服务器与内部网络相连，并且对出、入内部网络的数据包进行过滤以提供安全。屏蔽主机结构中的关键是堡垒主机，该主机只与内部网络相连，外部网络只有通过该堡垒主机才能与内部网络相连，这样就保证了内部网络的独立与安全性。由于堡垒主机是内、外网络连接的关键节点，因此它的安全等级必须要高，否则无法确保内部网络的安全。

3.3 屏蔽子网结构

屏蔽子网结构是屏蔽主机结构的升级，主要是要屏蔽主机结构中增加额外的安全层，即通过增加附加周边网来进一步的隔离内部网络和外部网络，这种结构最简单的体系结构如下：采用两个屏蔽路由器，都连接到所附加的周边网上，其中一个路由器用于连接周边网与内部网络，另一个路由器用于连接周边网和外部网络，这样周边网就成了内部网络与外部网络之间的一个隔离带，也称之为非军事化区DMZ。可以根据实际需要在这种结构中安装堡垒主机，为外网和内网之间的连接提供代理。一般来说，如WWW、FTP、EMAIL等因特网服务器也可以安装在屏蔽子网内，这样可以方便内、外网用户的访问，而对外网的入侵者来说，入侵则必须经过两个路由器和堡垒主机，困难很大。采用这种结构的防火墙系统的安全性能较高，抗攻击的能力也比较强，目前已经成为主流的防火墙体系结构，不过它需要的设备较多，并且成本不低，适用于密级较高的内部网络使用。

4 下一代防火墙技术的发展趋势

4.1 多核并行处理

传统的串行扫描，数据流量大时造成网络时延增大、拥堵、丢包，利用多核并行处理技术可实现对安全业务的无锁并行处理，在大幅提升防火墙性能的同时，又能够适应应用层业务多变的特点。

4.2 面向应用

目前超过90%的网络应用运行于HTTP协议的80和443端口，大量应用软件可以进行端口复用和IP地址修改。传统防火墙赖以生存的IP地址和端口检测对此难以防范，因此要大力发展面向应用的检测技术，以便根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议。

4.3 智能防御

对于一些应用层的攻击和病毒，例如拒绝服务攻击、蠕虫病毒传播、垃圾电子邮件等问题，传统防火墙技术是无能为力的，这就需要发展智能防御。智能防御是指应用人工智能学科的方法，如利用统计、记忆、智能决策等算法识别应用层数据，发现非法行为的特征值，从而实现访问控制。

参考文献

[1]斯特拉斯伯格.防火墙技术大全[M].机械工业出版社，2006.

[2]谢琳.防火墙策略与VPN配置[M].中国水利水电出版社，2008.

[3]卡拉西克.享姆.防火墙核心技术精解[M].中国水利水电出版社，2005.

[4]陈麒帆，防火墙基础[M].人民邮电出版社，2007.endprint