防火墙技术的研究

　　摘要：本文主要阐述了防火墙的概况及其主要技术：包过滤、代理服务器、状态检测技术，分析了防火墙体系结构的一些优缺点，并提出了一些建设性的意见。关键词：防火墙技术原理体系结构

　　作者：石慧慧

　　一、防火墙简介

　　1.防火墙的概念

　　防火墙的本义是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。

　　2.防火墙的发展

　　（1）第一代防火墙

　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。

　　（2）第二、三代防火墙

　　1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

　　（3）第四代防火墙

　　1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。

　　（4）第五代防火墙

　　1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

　　二、防火墙的类型

　　从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。

　　包过滤型防火墙（PacketFilterFirewall）通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

　　代理服务器型防火墙（ProxyServiceFirewall）通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。

　　复合型防火墙（HybridFirewall）把包过滤、代理服务和许多其他的网络安全防护功能结合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。

　　三、防火墙技术原理

　　防火墙从原理上主要有三种技术：包过滤（PackeFiltering）技术、代理服务（ProxyService）技术和状态检测（StateInspection）技术。

　　1.包过滤（PacketFiltering）技术

　　在基于TCP/IP协议的计算机网络上，所有网络上的计算机都是利用IP地址的唯一标志来确定其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式来传输的，数据包中包含了标志发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的IP地址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的，它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。

　　2.代理服务（ProxyService）技术

　　代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接，将目的站点告知代理，对于合法的请求，代理以自己的身份（应用层网关）与目的站点建立连接，然后代理在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能，能隐藏内部IP地址，能实现比包过滤路由器更严格的安全策略。

　　3.状态检测（StateInspection）技术

　　状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据（状态信息）的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参考。

　　四、各防火墙体系结构的优缺点

　　1.双重宿主主机体系结构提供来自于多个网络相连的主机的服务（但是路由关闭），它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。

　　2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接（由站点安全策略决定）到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接（允许那些经由数据包过滤的服务）。②不允许来自内部主机的所有连接（强迫这些主机经由堡垒主机使用代理服务）。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。

　　3.被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器（因为它可被因特网上用户访问），我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有两个屏蔽路由器，每一个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另一个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过两个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。

　　五、对防火墙技术造成的安全漏洞的建议

　　防火墙的管理及配置相当复杂，要想成功地维护防火墙，防火墙管理员必须对网络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统组成的防火墙，管理上有所疏忽也是在所难免的。

　　对此可作如下改进：管理上的安全问题，关键在于提高管理员的素质，积极学习安全管理及网络安全知识，熟练掌握防火墙的系统配置关系，多多实践，积累足够的经验，多个系统防火墙的管理一定要有高度认真、负责到底的精神。总而言之，提高管理者的素质至关重要。