浅析网络防火墙技术

浅析网络防火墙技术 【作者】 【导师】 【作者基本信息】 【摘要】在当今的计算机世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如访问控制、认证表，以及最重要的方法一：防火墙。 随着网络技术的发展，因特网已经走进千家万户，网络的安全成为人们最为关注的问题。目前，保护内部网免遭外部入侵比较有效的方法为防火墙技术。 【Abstract】 In today's computer world, the Internet pervasive. To meet the "no sound" of the Internet, people have created several security mechanisms, such as access control, authentication tables, and a most important way: the firewall. With the development of network technology, the Internet has been every family, and network security become the most concern. At present, protect the internal network from external intrusion effective method for the firewall technology. 【关键词】防火墙 网络安全 【Key words】 firewall network security 一、防火墙的基本概念 防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。 二、防火墙的技术分类 　　现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。 　　包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、类型、端口号等进行筛选。包过滤在网络层进行。 　　代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。 　　复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。 　　各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。 　　三、防火墙的基本功能 　　典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。 　　（一）包过滤路由器 　　包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。 　　与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP／UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP／UDP目标端口的包丢弃即可。 独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。 二）应用层网关 　　应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。 　　应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。 　　（三）链路层网关 　　链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。 　　四、防火墙的安全构建 　　在进行防火墙构建中，网络管理员应考虑防火墙的基本；整个企业网的安全策略；以及防火墙的财务费用预算等。 　　（一）基本准则 　　可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。 　　（二）安全策略 　　在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全、全面的风险假设以及商务需求分析基础上来制定。 　　（三）构建费用 　　简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。 　　至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。 　　五、防火墙的局限性 　　尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络 的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取其他相应的安全策略。 　　参考文献： 　　[1]黎连业，张维，防火墙及其应用技术，清华大学出版社. 　　银石动力 ，实战网络安全，北京邮电大学出版社. 　　程代伟，网络安全完全手册，电子工业出版社. 　　李涛 ，网络安全概论，电子工业出版社.