防火墻技術應用的新發展

金 飛 張曉瑾 羅迪文

（嘉興職業技術學院信息技術分院，浙江 嘉興314026）

防火墻技術應用的新發展

金 飛 張曉瑾 羅迪文

（嘉興職業技術學院信息技術分院，浙江 嘉興314026）

互聯網已廣泛運用到教育、科研、軍事、商業、文化等各個領域，連接著世界上億萬人口。隨著計算機網絡爆炸式的發展，因特網給人們的生活帶來了極大地方便，同時也面臨著各種威脅。如何使用有效的方法將網絡存在的威脅降低到人們可接受的范圍內受到了各界的廣泛關注。防火墻的漏洞掃描、入侵檢測等進行網絡風險防范成為安全首要關注問題，也很有必要。

網絡安全；功能類型；配置

網絡安全是當今各國發展所面臨重要問題。據有關數據統計，全球每年因網絡安全所造成的經濟損失高達數百億美元。在我們國家，每年因為黑客的有意入侵、計算機各種病毒的破壞而造成的經濟損失同樣巨大。如何建立比較安全的網絡體系，是當今社會一直所關注的問題。

1 研究背景

防火墻（FireWall），它是目前最為廣泛使用的網絡安全防護設備。從專業角度講，防火墻是位于兩個或多個相對可信與不可信網絡之間的訪問和控制集合。防火墻的本意是指用石器所堆砌的墻作為阻擋物，是用來防止木質結構物在著火時的火勢蔓延影響相鄰物體的安全保障。后被人們稱之為“防火墻”，其實防火墻就相當于阻擋威脅侵犯的一個“門”。有了這扇門，建起了各房間的“人”的溝通通道，檢測著進出這些門的“人”的流量，同時也給進出門的“人”給予不同的待遇。這個門就相當于防火墻里設置中的“安全策略”，所以“防火墻”并不是完全的隔離，而是帶有細絲網過濾的墻。而細絲網就是用來設置哪些信息可以通信，哪些信息被阻止，哪些資源可以有條件的訪問，哪些資源不能訪問等。其目的就是保護兩個相對網絡間可信網資源不被來自不可信網的攻擊。

我們如今所說的網絡防火墻是借鑒如上“防火墻”的喻義，設在兩個信用級別不同的網絡之間的一道安全防御系統。使內部的局域網（LAN）之間或LAN網絡與Internet之間互相隔離、限制互訪，從而實現不同網絡間的安全通信。

2 防火墻概述

2．1 防火墻的定義

防火墻(Firewall)是可信網絡(一般為局域網)和不可信網絡(如：Internet)之間的一道安全柵欄，是指設置在兩個網絡之間的一套組件(既可以是一組硬件，也可以是一組軟件，還可以是軟、硬件的組合)，并用來檢測和控制兩個不同網絡之間的通信，允許通過合法的信息，阻止通過非法信息，以達到對交互流動信息的合法性檢測和訪問控制，保護信息網絡的安全。

2．2 防火墻的功能

防火墻會對經過它的網絡數據進行檢測，對經過的數據流進行有目的地過濾，有效避免非法操作在目標計算機或網絡中被執行。比如：防火墻可以關閉不使用的端口，來禁止特定端口的信息流過；可以禁止來自黑名單站點的訪問，從而防止來自不明入侵者的所有通信。

（1）網絡安全的屏障

防火墻通過其內部的過濾技術，能極大地提高一個局域網內部的安全性，過濾掉一些不安全的服務和操作命令，從而大大降低整個局域網運行的風險。因為只有防火墻安全策略中允許的協議、該協議數據包才能順利地通過防火墻，讓局域網內部的網絡運行環境更安全可靠。同時，防火墻可以保護網絡免受基于路由的入侵，保護網內服務器免受拒絕服務的攻擊等，并通知系統管理員引起警惕。

2.2.2 強化安全策略

通過以防火墻為中心的安全策略的配置，能集口令、加密身份認證、日志記錄和審計等功能與一體，配置在防火墻上，簡化了安全管理，與網絡安全問題分散在局域網內部各個節點上相比，集中安全管理更方便、有效和經濟。

2．2．3 監控審計

如果所有資源的訪問都經過防火墻，那么，防火墻就能逐一記錄下這些訪問并形成日志記錄，同時也能監測到網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并向網絡管理員提供網絡是否受到監測和入侵的詳細信息。

2．2．4 防止內部信息的泄露

通過利用防火墻對局域網內部的屏蔽，可實現局域網內部網段的隔離，防止網內重點或敏感信息受外部網絡窺探而造成隱密信息外泄。另外，隱私是局域網內非常關心的問題，一個內部網絡中不引人注意的細節可能被外部入侵者的利用并由此而暴露了內部網絡的某些安全漏洞，防火墻通過地址轉換、端口映射等隱蔽了那些可能透露內部細節的服務。

2．3 防火墻的類型

防火墻的實現方式多種多樣，根據防火墻所采用的技術，防火墻主要分為數據包過濾、應用代理、復合型等幾種。

2．3．1 包過濾型防火墻

包過濾型防火墻處于TCP/IP協議的IP層，它是根據防火墻所定義好的訪問規則，過濾審查每個數據包，并且對數據包與訪問規則逐條匹配，從而決定數據包的轉發或丟棄。訪問規則設定作用范圍由小到大，檢查時按照從上到下的順序進行，隨著逐條檢查深入，直到與訪問規則匹配為止。如果沒有可以匹配的規則，則按缺省的規則執行。防火墻的缺省規則應該是禁止一切數據包通過。包過濾型防火墻只能實現基于IP地址和端口號的過濾功能。

2．3．2 應用代理型防火墻

應用代理型防火墻是局域網與外部網的隔離點，起著監視和隔絕應用層數據流的作用。代理服務是運行在防火墻主機上的專門的應用程序，這些程序接受局域網內部用戶對外部網絡的服務請求并將它們轉發出去。代理服務是按照應用層上的安全策略控制對外的服務請求數據包，確定是允許轉發還是拒絕操作的服務系統。

2．3．3 混合型防火墻

混合型防火墻是把過濾和代理服務等功能統統結合起來形成新的防火墻，所用主機被稱為“堡壘主機”，負責代理服務。當前的防火墻產品已不是單一的包過濾或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以應對復雜的網絡應用擴展，提高防火墻的靈活性和安全性。

2．4 防火墻的優缺點

2．4．1 防火墻的優點：

可以強化網絡的安全策略，保護易受攻擊的信息服務。防火墻中執行的網絡安全策略，能夠有效的過濾那些不安全的服務，拒絕可疑的訪問，大大降低非法攻擊的風險，提高網絡安全系數。

控制對特殊站點的訪問。通過端口映射，將郵件服務、WWW 服務和FTP服務等端口映射到公網地址，實現內部有限資源被外部網絡訪問，保護網內其他主機和信息資源。

實現網段控制。防火墻能夠用來隔離網絡中的網段，可以有效的避免一個網段中的問題擴散到整個網絡。

2．4．2 防火墻的缺點

防火墻不能防范內部攻擊。防火墻可以很好地防止外部用戶獲得內網敏感數據，但是它沒法防止局域網內部用戶偷竊數據、拷貝數據、破壞硬件和軟件等行為。

防火墻訪問過當控制。防火墻很可能由于安全策略設置過嚴或設置不當而阻止了一些合理的訪問服務。

不能防范已感染病毒的文件。防火墻不能有效地防范網絡中的所有病毒。

防火墻不是解決所有網絡安全問題的萬能藥，而只是網絡安全防護策略的一個組成部分。

3 防火墻VPN技術

3．1 虛擬專用網VPN(Virtual Private Network)

虛擬專用網是借用公共網絡(Internet)，通過加密機制形成一個安全、穩定的隧道，建立一個臨時的、安全的連接，它是對企業內部網(Intranet)的擴展如圖1。

3.2 VPN的優點及功能：

3．2．1 VPN的優點

成本較低：借用公網線路，節省專線成本。

網絡結構靈活：易于實施和擴展。

管理方便：網絡設備較少。

VPN是一種特殊的、虛擬的“點對點”(end to end)連接，它使用“隧道”(Tunnel)技術,使通信數據包在公共的Internet網絡上專門開辟的“隧道”內傳輸。

3．2．2 VPN的功能

（1）加密數據：保證通過公網傳輸的信息不泄漏。

（2）信息認證和身份認證：保證信息的完整性、合法性。對不同的用戶授有不同的訪問權限。

3.2.3 VPN的應用

VPN主要通過一個IPSEC協議族，構建應用于IP層上網絡數據安全的一整套體系結構，包括以下主要協議：

（1）AH（Authentication Header）：為IP通信提供數據源認證、數據完整性保證，保護通信數據免受篡改，但是明文傳輸，適合用于傳輸非機密數據。

（2）ESP（Encapsulating Security Payload）：為IP數據包提供完整性檢查、認證和加密，可提供機密性和防篡改性。

（3）IKE（Internet Key Exchange）：負責協商安全關聯和建立隧道如圖所示2。

IPSec有兩種工作模式：

（1）隧道模式（Tunnel）

可以對網絡層數據包頭部和數據進行加密認證，協議數據包通過隧道傳輸。

（2）傳輸模式（Transport）

可以對網絡層數據進行加密認證，即協議為應用層數據提供基本保護。

3．3 VPN的適用范圍

（1）特別適用于移動辦公的用戶。

（2）適用距離范圍相對比較遠，站點分散較廣的用戶。

（3）對線路保密性和可用性有一定要求，帶寬和時延要求相對不高。

4 總結

網絡安全正面臨著前所未有的挑戰。已擴展到網絡空間安全的國家戰略層面，網絡安全防護是一個過程，只有起點，沒有終點。防火墻是保護局域網、防范黑客攻擊最常用的手段之一，目前也正在與最前沿的其他安全技術有效結合，以更有效地防范各種新的攻擊手段。

［1］王艷.淺析計算機安全[J].電腦知識與技術，2010，(s):1054－1055.

［2］謝希仁.計算機網絡（第5版）[M].北京：電子工業出版社，2009：170-231

［3］張紅旗，王魯，等，編.信息安全技術[M].高等教育出版社，2010：235-254．

［4］張華貴，王海燕.計算機網絡在安全分析與對策[J].電腦知識與技術，2005，7：46-52．

［責任編輯：張濤］

The New Development of the Application of Firewall technology

JIN Fei ZHANG Xiao-jin LUO Di-wen
(Jiaxing Vocational and Technical College,The information technology branch,Jiaxing Zhejiang,314026,China)

Today the Internet has been widely applied to various fields of education,scientific research,military,commercial,cultural,With the development of computer network,the Internet to people's lives brought great convenience,while also facing various threats.How to use effective methods to reduce the threat of the network has been widely concerned by people.Firewall vulnerability scanning,intrusion detection and other network risk prevention become the main concern of security,it is necessary.

Network security;Function type;Configuration

金飛（1996—），男，漢族，浙江嘉興人，嘉興職業技術學院信息技術分院，計算機網絡技術專業。

張曉瑾（1997—），女，漢族，浙江嘉興人，嘉興職業技術學院信息技術分院，計算機網絡技術專業。

羅迪文（1995—），女，漢族，浙江溫州人，嘉興職業技術學院信息技術分院，計算機網絡技術專業。