淺談防火牆技術

　　最新的防火牆技術是基於狀態檢查的，提供“動態包過濾”的功能。基於狀態檢查的動態包過濾是一種新型的防火牆技術，就象代理防火牆和包過濾路由器的交叉產物。下面就由小編跟大家談談防火牆技術的知識吧。

　　一：

　　一、防火牆概述

　　防火牆是指一種將內部網路和外部網路分開的方法，實際上是一種隔離控制技術。在某個機構的網路和不安全的網路之間設定障礙，阻止對資訊資源的非法訪問，也可以阻止保密資訊從受保護網路上被非法輸出。通過限制與網路或某一特定區域的通訊，以達到防止非法使用者侵犯受保護網路的目的。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它對兩個網路之問傳輸的資料包和連線方式按照一定的安全策略對其進行檢查，來決定網路之問的通訊是否被允許：其中被保護的網路稱為內部網路，未保護的網路稱為外部網路或公用網路。應用防火牆時，首先要明確防火牆的預設策略，是接受還是拒絕。如果預設策略是接受，那麼沒有顯式拒絕的資料包可以通過防火牆;如果預設策略是拒絕，那麼沒有顯式接受的資料包不能通過防火牆。顯然後者的安全性更高。

　　防火牆不是一個單獨的計算機程式或裝置。在理論上，防火牆是由軟體和硬體兩部分組成，用來阻止所有網路問不受歡迎的資訊交換，而允許那些可接受的通訊。從邏輯上講，防火牆是分離器、限制器、分析器;從物理上講，防火牆由一組硬體裝置路由器、主計算機或者路由器、主計算機和配有適當軟體的網路的多種組合和適當的軟體組成。

　　二、防火牆的基本型別

　　防火牆的基本型別包括包過濾、網路地址轉化—NAT、應用代理和狀態檢測。

　　1.包過濾

　　包過濾型產品是防火牆的初級產品，其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的，資料被分割成為一定大小的資料包，每一個數據包中都會包含一些特定資訊，如資料的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的資料包，防火牆便會將這些資料拒之門外。系統管理員也可以根據實際情況靈活制訂判規則。

　　包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術，只能根據資料包的來源、目標和埠等網路資訊進行判斷，無法識別基於應用層的惡意侵入，如惡意的Java小程式以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火牆。

　　2.網路地址轉化—NAT

　　網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網路訪問因特網。它還意味著使用者不許要為其網路中每一臺機器取得註冊的IP地址。

　　在內部網路通過安全網絡卡訪問外部網路時，將產生一個對映記錄。系統將外出的源地址和源埠對映為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網絡卡訪問內部網路時，它並不知道內部網路的連線情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的對映規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連線請求對映到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將遮蔽外部的連線請求。網路地址轉換的過程對於使用者來說是透明的，不需要使用者進行設定，使用者只要進行常規操作即可。

　　3.應用代理

　　應用代理完全接管了使用者與伺服器的訪問，把使用者主機與伺服器之間的資料包的交換通道給隔離起來。應用代理不允許外部主機連線到內部的網路，只允許內部主機使用代理伺服器訪問Internet主機，同時只有被認為””可信任的””代理伺服器才可以允許通過應用代理。在實際的應用中，應用代理的功能是由代理伺服器來完成的。代理型防火牆的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響，而且代理伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定，大大增加了系統管理的複雜性。

　　4.狀態檢測

　　防火牆技術是網路安全領域應用較普遍的一種技術，傳統上防火牆基本分為兩大類，即包過濾防火牆和應用閘道器防火牆，這兩種防火牆由於其受限的地方，逐漸不能適應當前的需求，因此新一代的防火牆Stateful-inspection防火牆應運而生，這種防火牆既繼承了傳統防火牆的優點，又克服了傳統防火牆的缺點，是一種革新式的防火牆。

　　Stateful-inspection防火牆是新一代的防火牆技術，由Check Point公司引入。它監視每一個有效連線的狀態，並根據這些資訊決定網路資料包是否能夠通過防火牆。它在協議棧低層擷取資料包，然後分析這些資料包，並且將當前資料包及其狀態資訊和其前一時刻的資料包及其狀態資訊進行比較，從而得到該資料包的控制資訊，來達到保護網路安全的目的。和應用閘道器不同，Stateful-inspection防火牆使用使用者定義的過濾規則，不依賴預先的應用資訊，執行效率比應用閘道器高，而且它不識別特定的應用資訊，因此不用對不同的應用資訊制定不同的應用規則，伸縮性好

　　三、防火牆的發展趨勢

　　1.新需求引發的技術走向

　　防火牆技術的發展離不開社會需求的變化，著眼未來，防火牆技術有的新需求如下：遠端辦公的增長：企事業在家辦公，這就要求防火牆既能抵抗外部攻擊，又能允許合法的遠端訪問，做到更細粒度的訪問控制。現在一些廠商推出的虛擬專用網技術就是很好的解決方式。只有以指定方式加密的資料包才能通過防火牆，這樣可以確保資訊的保密性，又能成為識別入侵行為的手段。

　　2.黑客攻擊引發的技術走向

　　防火牆作為內網的貼身保鏢。黑客攻擊的特點也決定了防火牆的技術走向。資料包的深度檢測：IT業界權威機構Gagner認為代理不是阻止未來黑客攻擊的關鍵，但是防火牆應能分辨並阻止資料包的惡意行為。包檢測的技術方案需要增加簽名檢測等新的功能，以查詢已經的攻擊，並分辨出哪些是正常的資料流，哪些是異常資料流。協同性：從黑客攻擊事件分析，對外提供Web等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為，這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同，共同完成保護網路安全的任務。目前主要支援和IDS的聯動和認證伺服器進行聯動。

　　現有防火牆技術仍無法給我們一個相當安全的網路。攻擊時的變數太大，所以對網路安全的需求對防火牆提出了更高的要求，在防火牆目前還不算長的生命週期中，雖然問題不斷，但是防火牆也從具有普通的過濾功能，逐步豐富了自身的功能，擔當了更重的任務。未來，防火牆將成為網路安全技術中不可缺少的一部分。

　　二：

　　一、防火牆的概念

　　防火牆是網路安全工具中最早成熟、最早產品化的。網路防火牆一般定義為兩個網路間執行訪問控制策略的一個或一組系統。防火牆現在已成為許多組織將其內部網介入外部網所必需的安全措施了。特別意義上說，防火牆是部件和系統的彙集器，它置於兩個網路之間，並具有如下特性：所有從內部通向外部的通訊業務都必須經過它;只有被預定本地安全策略授權的資訊流才被允許通過;該系統自身具有很高的抗攻擊能力。簡言之，防火牆是由於保護可信網路免受非可信網路的威脅，同時仍允許雙方通訊。

　　二、防火牆的功能

　　本質上來講，防火牆認為是兩個網路間的隔斷，只允許所選定的一些形式的通訊通過。防火牆另外一個重要特徵是它自身抵抗攻擊的能力：防火牆自身應當不易被攻入，因為攻入防火牆就給攻擊者進入內部網一個立足點。從安全需求看，理想的防火牆應具備以下功能：能夠分析進出網路的資料;能夠通過識別、認證和授權對進出網路的行為進行訪問控制;能夠封堵安全策略禁止的業務;能夠審計跟蹤通過的資訊內容和活動;能夠對網路入侵行為進行檢測和報警。

　　三、防火牆的型別

　　1.應用閘道器也稱為基於代理的防火牆

　　它通常被配置為“雙宿主閘道器”，具有兩個網路介面卡，同時介入內部和外部網。由於閘道器可以與兩個網路通訊，它是安裝傳遞資料軟體的理想位置。這種軟體就成為“代理”，通常是為其所提供的服務定製的。代理服務不允許位元組連線，而是與代理伺服器通訊。各個應用代理在使用者和服務之間處理所有的通訊，能夠對通過它的資料進行詳細的審計追蹤。代理級防火牆具有以下主要優點：代理服務可以識別並實施高層協議，如http和ftp等;代理服務包含通過防火牆伺服器的通訊資訊;通過提供透明服務，可以讓使用代理的使用者感覺在直接與外部通訊。

　　2.基於狀態檢查的動態包過濾防火牆

　　目前，最新的防火牆技術是基於狀態檢查的，提供“動態包過濾”的功能。基於狀態檢查的動態包過濾是一種新型的防火牆技術，就象代理防火牆和包過濾路由器的交叉產物。對終端使用者來講，它看起來只工作在網路層，但事實上該防火牆同代理防火牆一樣可在應用層檢查流經的通訊。它能夠監視活動連線的狀態並根據這些資訊決定哪些包允許通過防火牆，對通過安全邊界的資料使用虛連線。如果一個相應包產生並返回給原請求者，則虛連線建立並允許該包通過防火牆，該連線終止即斷開此虛連線，相當於動態地更改安全規則庫。

　　四、防火牆的體系結構

　　1.遮蔽路由器ScreeningRouter

　　遮蔽路由器可以由廠家專門生產的路由器實現，也可以用主機來實現。遮蔽路由器作為內外連線的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基於IP層的報文過濾軟體，實現報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由遮蔽路由器構成的防火牆的危險包括路由器本身及路由器允許訪問的主機。遮蔽路由器的缺點是一旦被攻擊後很難發現，而且不能識別不同的使用者。

　　2.雙穴主機閘道器DualHomedGateway

　　雙穴主機閘道器是用一臺裝有兩塊網絡卡的堡壘主機做防火牆。兩塊網絡卡各自與受保護網和外部網相連。堡壘主機上執行著防火牆軟體，可以轉發應用程式，提供服務等。與遮蔽路由器相比，雙穴主機閘道器堡壘主機的系統軟體可用於維護系統日誌、硬體拷貝日誌或遠端日誌。但弱點也比較突出，一旦黑客侵入堡壘主機並使其只具有路由功能，任何網上使用者均可以隨便訪問內部網。

　　3.被遮蔽主機閘道器ScreenedGatewy

　　遮蔽主機閘道器易於實現也最為安全。一個堡壘主機安裝在內部網路上，通常在路由器上設立過濾規則，並使這個堡壘主機成為從外部網路唯一可直接到達的主機，這確保了內部網路不受未被授權的外部使用者的攻擊。如果受保護網是一個虛擬擴充套件的本地網，即沒有子網和路由器，那麼內部網的變化不影響堡壘主機和遮蔽路由器的配置。危險帶限制在堡壘主機和遮蔽路由器，閘道器的基本控制策略由安裝在上面的軟體決定。如果攻擊者沒法登入到它上面，內網中的其餘主機就會受到很大威脅。這與雙穴主機閘道器受攻擊時的情形差不多。

　　4.被遮蔽子網ScreenedSubnet

　　被遮蔽子網就是在內部網路和外部網路之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個DNS，內部網路和外部網路均可訪問被遮蔽子網，但禁止它們穿過被遮蔽子網通訊。有的遮蔽子網中還設有一堡壘主機作為唯一可訪問點，支援終端互動或作為應用閘道器代理。這種配置的危險僅包括堡壘主機、子網主機及所有連線內網、外網和遮蔽子網的路由器。如果攻擊者試圖完全破壞防火牆，他必須重新配置連線三個網的路由器，既不切斷連線又不要把自己鎖在外面，同時又不使自己被發現，這樣也還是可能的。但若禁止網路訪問路由器或只允許內網中的某些主機訪問它，則攻擊會變得很困難。