防火墙关键技术的分析与实现

◆余慧婷

(福建林业职业技术学院 福建 353000)

0 引言

网络安全问题的研究具有特殊性，我国进行独立研发和自主开发信息系统的时间较短，受诸多原因限制，起步较晚，而且很多新技术不是很成熟，与国外先进技术相比较还有一定的差距。近年，有关网络安全技术的研究开始受到更多的重视，也取得了长足的进展。现在解决网络安全问题的有效方法之一是建立内网与外网相连接的防火墙设置，这无论是从理论指导上还是实际应用上都有着十分重要的意义。

1 防火墙的概念

防火墙主要的作用是强化网络的控制量，用节点连接网络设备，控制网络访问量。比如，路由器、网关等，均是由多个网络传输构成的，通过数据包或者链接的方式按照安全措施的要求进行检查，从而决定网络间通讯是否被允许，这不但能提高内部控制网络与外部控制网络之间的数据传输效率，同时也能让内部网络信息免受因外部非授权用户的访问而产生安全漏洞。

防火墙细致划分可以分为软件防火墙和硬件防火墙这两类。软件防火墙是以现有网络为前提开展的网络化系统操作，所以多选用UNIX操作系统，特点是以操作系统的内核稳定性为前提开设的。稳健的操作系统不容易被下三层的攻击形式所影响，在充分利用操作系统功能性的同时，能让安全系统更为完善。但存在的不足是当操作系统出现问题以后，会影响到防火墙的安全性能，而且要额外购置安装操作系统。硬件防火墙均是自己独立开发出来的操作系统，或者是部分经过改造的操作系统这些系统均要在特定的硬件系统上才能运行，不但能摒除原有系统中不必要的麻烦，也能让其整体性能达到最佳状态，从而能达到源代码保密的作用。

2 防火墙的关键性技术

2.1 数据包过滤技术

数据包过滤技术是根据系统内部的过滤逻辑进行选择和分析，在网络层进行防护的技术。这项技术的应用，必须要依靠访问控制表。数据过滤时需要对数据流当中所包含的所有数据包进行全面检查，包括源地址、目的地址等等，从而确定数据包的安全性，再决定是否允许通过。只有满足既定规则的数据包才可以进行发送，不能满足相应规则的数据包将会被删除。这项技术以过滤算法的设计做为安全防护的核心。

2.2 应用网关技术

应用网关主要是在网络应用上通过协议过滤的方式针对具体提出的问题开展对应的网络化服务，既通过协议过滤网的方式，让数据包分析相关的报告。应用网关是对某些容易登录或者容易控制的通信环境进行控制，这能防止部分具有价值的程序免于被盗。另外，他的另一个功能是记录信息，运用不同的用户连接点，是信息能在具体的使用中满足其需求，从而建立起专用型较好的工作系统。

2.3 网络地址转换技术

网络地址转换可以对内部地址进行转换，其转换过程以透明方式进行。利用这种方式，防止内部网络的结构出现泄露，同时保护主机资源，防止外部网络访问。这种技术的应用，使得黑客无法攻击内部网络，同时允许内部网络用户重新设定自己的IP，从而解决内部IP不足的问题。

2.4 套接技术

Sockets是网络应用层内的国家化标准。在受到网络保护后需要与外界网络进行互动联系，防火墙使用套接服务的关键是用于检查开户源的信息和 IP地址，在经过确认以后，所有的套接服务才能与外界开展连接。从用户的角度考虑，受到保护的网络与外部网络间的信息交换是透明的，是很难感受到防火墙的存在的，原因是网络用户不需要直接登录到防火墙上面，但是客户端的应用需要支持“socketsified API”。

2.5 安全IP通道

安全IP通道实现安全防护的主要形式是通过IP安全协议完成的。需要将 IP数据包进行封装并加密处理之后再进行传送。包在网络通道的起始端进行加密，传送到末端后进行解密。加密系统处理后的数据包，可以使得不同的用户利用公共网络安全的建立虚拟私网，并在其中交换数据，有效的防止黑客攻击。利用IP通道技术，可以形成多个用户共同完成安全数据交流，使得由多个用户形成的用户群在公共网络之中也能进行安全的数据公开交互，形成类似于局域网一样的虚拟私有网络。

2.6 邮件技术

当防火墙采用多种安全防护技术，使得安全防护工作得到一定的保障，使得外部网络仅能获得防火墙的 IP以及域名，外部网络所发送的数据邮件便只能传送到防火墙上。这时防火墙便可以对邮件进行规则内的全面检查，当邮件的源主机在规则内是允许通过的时，防火墙便对邮件进行地址的转换，使其得到目的地址并转送到内部的邮件服务器，再由内部服务器进行转发。

2.7 身份认证技术

与包过滤技术和访问控制技术不同，这两种技术都是基于对要访问的服务器进行有效安全防护的，而身份认证技术所针对的对象却是想要对网络进行有效访问的个人。身份认证技术以用户权限所能控制的SEED值、迭代值以及用户所设计的密码为基础进行加密口令的生成，从而防止黑客利用 SNIFFER获得用户自身的登录口令。同时，防火墙本身的用户数据库以及增强数据库会对用户所登录的网络服务器进行验证，从而限制对网络资源的的访问。

2.8 代理服务器

代理服务器技术通常被使用在应用层，它能提供有效的应用层服务相关控制。当内部网络申请向外部网络进行访问，并发送数据时，有代理服务器进行转接。内部网络对于外部网络的各个接点所发送的数据直接拒绝，只由代理服务器进行相关数据的接收，并尤其进行数据由外向内的转接工作。

代理服务器在防火墙主机上是单独存在的一种应用程序，或者是一种服务器类的程序。防火墙主机可以成为一种双宿主主机，其在功能上，可以同时具有外部几口和内部接口。这种主机可以对网络进行访问，并且内部主机也可以进行有效访问堡垒主机。用户对网络的请求由这些程序进行处理，并以固定的安全策略，将其进行转发，从而实现实际服务。代理服务器可以为内部主机提供一种代替性的连接，由代理服务器与外部网络进行连接，并且充当所有数据交互服务当中的网关。

3 防火墙的局限性

防火墙在使用时可以防止信息泄露，但是也有很多局限性存在，具体细化内容如下：

Internet防火墙很难防范外界其他途径带来的攻击。例如，如果允许向受到保护的网络内部拨号，内网用户就能直接使用SLIP或者PPP进入到Internet。但有部分用户需要借用附加认证的方式进行代理，这就让人感觉很厌烦，导致很多人放弃这一环节，所以在向ISP购买SLIP或者PPP连接的时候，可以绕过精心预设的防火墙为其提供安全系统，给后门攻击提供了极大的可能性。网络上用户需要对这种类型进行简单的了解，通过系统性的防护尽量避免这种状况的发生。

Interent防火墙很难防范出来自于内部的攻击和部分用户不规范操作所带来的威胁。公司内部的员工窃取数据后，均可以将内容直接拷贝到硬盘上，然后带离公司，而防火墙此时不能发挥作用。防火墙不能防范攻击者是伪装成超级用户和一些新雇员的攻击行为。此外还有一些非法分子为获得信息，直接诱导老雇员在警惕性较低的情况下将用户密码公开或者授予新员工较高的临时访问权限，最终导致计算机系统中的信息被非法用户所盗取。

防火墙不能避免病毒文件的传送。病毒的种类较多，所以对应的操作系统也有很多种，由于编码与压缩二进制文件的方式各不相同，所以在使用时不能要求Internet对每一个系统文件进行扫描，查找潜在病毒。所以，对病毒特别担心的机构需要在桌面上面部署防病毒的软件，这能避免病毒直接入侵软件进入到网络系统内。

防火墙很难防范数据驱动系统所带来的攻击。数据驱动系统的攻击从表面上看是一种无害的数据，直接将其邮寄或者拷贝到Internet的主机上面，但是在执行时就容易产生攻击。例如，一个数据性的攻击能让主机先于安全相关的文件，让入侵者在获取到系统访问权后能看到堡垒主机部署的代理服务器是禁止从外部直接进行访问的，从而以减少数据驱动型攻击。

4 IPSec在Linux系统平台上的实现

4.1 数据封装负载（ESP）分析

以安全封装负载的方式进行安全防护时，将会对数据包当中的所有数据进行加密，从而取保信息的安全性和机密性，这样可以有效的确保信息在传递过程当中不被其他用户监听，从而防止信息交换的内容泄露。这种安全防措施的应用当中，只有受信任用户才能通过密钥将信息打开。ESP的工作当中，还包括了认证的提供以及数据完整性的维持工作。由于ESP的防范措施会使得所有的数据都被加密，所以它在进行数据处理时，会占用很多时间，使得性能降低。

4.2 互联网密钥管理协议

互联网密钥管理协议当中的密钥由两部分组成，分别是密钥确定以及分发，密钥的个数最多可以设定为四个，AH和ESP分别占有两个发送和接收密钥。密钥以十六进制表示，譬如一个56位的密钥可以表示为5F39DA752E0C25B4。这种56位的密钥，便能够满足绝大多数的应用了。

密钥管理上，可以进行手动管理，也可以进行自动管理。手动管理需要管理员通过手工操作进行系统设置，这种方法可以在小型网络当中得到有效的使用，能够满足有限的安全需要。自动管理能够对所有的应用给予回应。自动管理系统可以在密钥的确定和分发过程中实行动态管理。管理过程中通过中央控制点进行统一操作，使得密钥管理者能够进行集中，完全发挥IPSec效用。

5 结束语

网络安全的重要性应当得到充分的重视，防火墙技术的应用便是非常有效的手段。防火墙可以对未经授权的访问进行拒绝，防止用户信息泄露，同时对于合法用户提供不限制的访问。防火墙的使用，可以有效的提高网络安全性，但其并不能应对所有的威胁，譬如防火墙虽然可以有效的应对外部攻击，但是内部攻击的防护能力却很弱。因此需要对防火墙加以正确的使用，使得网络安全得到保护。

[1]高旭平.基于B/S架构的防火墙策略审计系统的设计与实现[J].北京邮电大学，2014.

[2]张建庄，张葵葵.基于Windows环境的个人防火墙系统的研究与实现[J].武汉理工大学，2015.

[3]李钊洪.基于 Linux操作系统的分布式防火墙系统研究[J].电子科技大学，2014.