防火墙系统简介

本文由baelcekcy贡献
pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。
河 北　工　业　科　技 第 17 卷 第 5 期　第 50 页 总第 63 期 2000 年 HEBEI JOU R N AL O F I ND U ST RI AL SCI EN CE & T ECHN O L OG Y V ol. 17　N o. 5　P . 50 Sum 63 2000
文章编号: 1008-1534( 2000) 05-0050-04
防火墙系统简介
张冬丽1 , 矫文成2
( 1. 河北科技大学经济与管理学院, 河北石家庄　050018; 2. 军械工程学院计算机教 研室, 河北石家庄　050003) 摘　要: 探讨了防火墙系统的结构以及防火墙系统功能、 拓扑结构的选择。 关键词: 防火墙; 包过滤; 应用代理; 状态检测 中图分类号: T P 215 文献标识码: A
1　防火墙系统的结构
目前保护网络安全最主要的手段之一就是 构筑防火墙, 它是一道界于开放的、 不安全的公 共网与信息、 资源汇集的内部网之间的屏障, 这 道屏障可由一个或一组系统组成, 用以实施两 个网络之间的访问控制和安全策略。 通 常 需 要设 置 防 火 墙 的 地方 是 INT ERNET 和 INT RANET 之间, 当 我们 建 立一个 INT ERNET 防火墙时, 首先必须确定 它的基础结构。 有两种类型的防火墙结构: 单层 结构与多层结构。 在单层结构中, 一台网络主机担负防火墙 的所有功能并且连接到它所控制的每个网络。 当只有两段网络需要互连, 并且成本是主要的 考虑因素时, 通常选择单层结构的防火墙系统。 它的优点是所有的防火墙功能都集中在一台主 机上, 在防火墙的功能相对简单并且仅有为数 不多的网络需要互连时, 对于操作和维护具有 较高的性能价格比。单层结构的最大缺点是对 于防火墙功能实现上的缺点和配置上发生错误
收稿日期: 1999-12-13; 修回日期: 2000-03-21 责任编辑: 李　穆 作者简介: 张冬丽( 1972-) , 女, 河北南皮县人, 学士。
的脆弱性, 依靠这种类型的防火墙系统, 某种设 计上的缺点或者错误可能导致网络被侵入。 在多层结构中, 防火墙的功能被分布在几 台主机上, 通常把几台防火墙主机连续地连接 起来, 在它们中间是 DM Z 网络。 这种结构较难 设计与操作, 但是通过变换设计防御策略能够 提供更高的安全性。 尽管成本较高, 建议在不同 的防火墙主机上采用不同的技术, 以免同样的 设计缺点和配置错误出现在各个主机上。利用 这种结构的通常设计是 INT ERNET 上的防火 墙: 包括两台防火墙主机和一个 DM Z 网络。
2　防火墙系统的功能选择
确定了基本结构后( 主机数目、 连接方法、 每台主机上完成的任务) , 下一步是选择在这些 主机上要实现的防火墙功能。通常的两类防火 墙功能是包过滤和应用

代理。这些功能可以分 别使用或合并使用, 可以在同一台或不同的主 机上实现。 在最近的产品中, 包过滤防火墙产品 已 经 具 备 了 应 用 代 理 的 某 些 功 能, 称 为 St at ef ul inspect io n 包过滤。 有很好的理由既使用包过滤又使用应用代 理服务 功能。一 些服 务, 如 SMT P , H T T P 或
第 5 期 张冬 丽等　防火墙系统简介
51
NNT P 通过包过滤控制通常就比较安全, 而另 外一些服务, 如 DNS , F T P 则要求通常只有通 过代理服务才能提供的更复杂的控制。包过滤 运行得较快, 而应用代理则一般运行较慢。 为防 止出现复杂的控制需要以至于使性能差到不能 忍 受 程 度 的 代 理 服 务, 可 以 选 择 st at ef ul inspect ion 包过滤。对于每一个防火墙系统的 设计, 应该尽可能多地选择这些不同的功能( 如 包过滤、 代理服务、 atef ul inspection ) , 在合适 st 的地方应用它们。 在今天的防火墙产品中, 可用的功能包括: 包过滤、 应用代理、 at eful inspection 包过滤。 st 这些功能中的每一个都隐含着一类可供选择的 运行平台。防火墙的运行平台指的是执行防火 墙功能的特殊硬件平台及操作系统的组合。对 于某些设计, 平台的选择和功能的选择是相互 独立的, 而在其他场合, 对其中的一项作出选择 意味着另一种必须作出相应的选择。下面简要 说明一下这些功能以及与之对应的可供选择的 运行平台。 2. 1　包过滤 因为在安全性需求和安全策略不同的网络 中通常有路由器, 因此, 在路由器上实现包过滤 功能使得只有经过许可的数据通过网络是可行 的, 选择的依据是系统内设置的过滤逻辑, 也被 称为访问控制表。通过在现存的路由设备中附 加包过滤功能使路由器具有防火墙功能性能是 一种性能价格比较好的作法。 顾名思义, 包过滤 器指的是在路由的过程中对包进行过滤。过滤 算 法通常检查包头的内容( 如源地址、 目的地 址、 协议、 端口号) 。 总的来说, 包过滤路由器提供了最高性能 的防火墙机制, 但由于它们是在较低层次上进 行配置, 配置起来比较难, 要求了 解协议的细 节, 并且不具备检测通过高层协议( 如应用层) 而实施的攻击。 包过滤通常在两类平台上实现: 通用的计算机作为路由器使用。优点是功 能扩展没有限制。 缺点是中等性能, 接口数量较 少, 操作系统具有易损性。
专用目的的路由器。 优点是性能较高, 接口 数量多。 缺点是功能不易扩展, 可能需要更多的 内存。 专用目的的路由器厂家已经在它们的路由 器产品中增加包过滤器从而提供有限的访问控 制以便用较少的设计及改动满足用户需求。然 而, 他们毕竟

只是路由器厂商而非安全产品厂 商, 所以, 当他们的设计需要在路由功能和安全 功能之间进行选择时, 他们选择路由功能。 在这 个意义上, 性能是路由性能而非防火墙性能, 所 以在进行路由器设计时, 路由性能总是第一优 先级。 另外在路由器中增加包过滤功能, 通常对 路由功能具有负作用, 进而影响网络的性能, 另 外, 可能需要更多的内存。 2. 2　应用代理 一个应用代理是两段网络之间的防火墙系 统上运行的应用程序。运行应用代理的主机不 必是路由器。当一个客户程序通过代理建立一 个到目的服务的连接时, 它首先建立一个直接 到代理服务器程序的连接。客户程序然后同代 理服务器进行协商, 使代理服务器以该客户的 身份在代理服务器和目的服务器 之间建立连 接。如果成功, 就存在两条连接, 一条从客户到 代理之间, 一条从代理到目的服务之间。 一旦建 立完成后, 代理就在客户和目的服务之间双向 接收并转发数据。它将内部系统与外界完全隔 离开来, 从外面只能看到代理而看不到任何内 部资源。 代理决定所有的连接建立和数据转发; 主机上所有的路由功能和代理无关。 与包过滤类似, 应用代理可以运行在专用 目的计算机上, 也可以运行在通用计算机上。 总 的来说, 应用代理比包过滤路由器慢, 但安全性 确比包过滤路由器高。由于设计缺点或者它们 所依赖的操作系统在实现路由功能时的疏忽, 包过滤路由器始终受到限制。因为包过滤功能 是后来加到路由功能上的, 它们不能修正或弥 补某些路由功能的缺点。为了作出更复杂的包 过滤和访问控制的决策, 应用代理要求较多的 计算机资源和昂贵的计算机。 2. 3　stateful inspection 或动态包过滤
52
河　北　工　业　科　技 第 17 卷　
用 st atef ul inspect ion 或动态 包过滤来指 路由器上功能更强的包过滤。普通包过滤的过 滤策略仅依据每个包的包头, 而不考虑以前的 包。st at ef ul inspection 包过滤允许根据包数据 内容的复杂组合和由前面的包建立起来的上下 文 关 系计算 过滤 结果。同普 通包过 滤类 似, st at ef ul inspect ion 是对路由功能的附加, 所以 运行 st atef ul inspect io n 功能的主机必须是路 由器。 采用 st at ef ul inspect ion 的主 要原因是基 于性能和安全性的平衡比较。作为在路由上附 加的 st atef ul inspect io n 比代理提供了更好的 性能。它又比简单的包过滤提高了防火墙安全 水平。 象车用代理一样, 它可以描述更复杂的访 问 控 制条 件, 又 类 似 于普 通 包 过 滤, st at ef ul inspect ion 依靠高质量的底层路由系统。 3. 3　DMZ 网络 在 DM Z 网络中, 不可靠

主机被放 到防火 墙内部, 但它自己却作为单独的一个网络( 此时 防火墙连接 3 段网络) 。这种方法提高了安全 性、 可靠性和不可靠主机的可用性, 但不能提高 其 他 内 部 主 机 对 它 的 信 任 程 度。其 他 的 U ntrustw or thy 主 机 为 了 完 成 诸 如 公 共 的 W EB 站点或 F T P 服务器任务, 可以容易地放 在 DM Z 区, 建立一个公共服务网络。
3　选择防火墙的拓扑结构
以上描述了防火墙的功能, 可以有多种方 式组合使用这些功能。下面将论述经常采用的 几种结构, 合理选择不同的结构以便于提高防 火墙系统的效率。 3. 1　基础边界防火墙 这是所有防火墙系统的入口点。一个基础 防火墙是单独的一台主机, 连接企业内部网络 与一些不可靠的网络, 通常是 INT ERNET 。在 这种配置中, 单台主机提供了所有防火墙的功 能。 3. 4　双防火墙 通过增加一台防火墙主机可以将企业内部 网络与不可靠网络彻底隔离。把不可靠网络连 接到一台防火墙上, 企业内部网络连接到另外 一台 防火 墙上, DM Z 位 居其 中, 内 部 网络 与 INT ERNET 之间的通信必须跨越两个防火墙 和 DM Z。
3. 2　Untrustworthy 主机 在基础边界防火墙中, 增加一台主机位于 防火墙不能保护的不可靠网络上; 对这台主机 进行尽可能安全的配置与管理。防火墙被配置 成所有的进入和发出信息都通过这台主机。这 台主机被称为 Unt rust w ort hy 主机, 因为它不 被防火墙保护, 所以可靠网络上的主机仅能够 有限度地信任它。
在每一种结构中, 防火墙位于网络的边界, 用于访问控制, 主要为了保护内部网络与不可 靠网络的连接。 完全位于网络内部的防火墙, 也 可以提供网络上不同子网间的相互保护。内部 不同于网间的 访问控制 与内部 网和 INT ERNET 之间 的访问控制没 有区别, 所以 所有的上述结构也可以用于内部 网络的防火 墙。
第 5 期 张冬 丽等　防火墙系统简介
53
董　春, 张红雨, 刘英杰. 北京: 电子工业出版社, 1997.
参考文献:
[ 1] S CO TT Full er , K EV IN Pagan . Int ernet Fir ew al ls [ M ] .
[ 2] Chris Hare, K aranjit S iyan. 防火 墙与网 络安全 [ M ] . 刘 成勇, 刘明刚. 北京: 机械工业出版社, 1998.
A Brief Int roduct ion of Fire W all Syst em
ZHANG Do ng -li , JIAO Wen -cheng
1 2
( 1. Co llege of Econom ics and manag ement , Hebei U niver sity o f Science and T echnolog y, Hebei Shijiazhuang , 050018, China; 2. T eaching and Research Sectio n o f Computer , Or dance Engineening Institute 050003, China )
Abstract: T he st ructure, the function and the select ion o f topolo gy st ructure o f fir e wall sy stem ar e discussed . Key words: fir e wall;

packet filt ering ; applicatio n pr ox y; state inspection
( 上接第 49 页) 参考文献:
[ 1] 路甬 祥 . 关于 先进 制造 技 术[ J ] . 科 学 中国 人, 1996, 2 ( 6) : 6-12. [ 2] 彭　毅 . 并行工程—— 制造业新的制高点[ J ] . 科学中国 人, 1996, 2( 6) : 32-38. [ 3] 汪应洛, 孙 林岩, 黄映 辉 . 先进制 造生产模 式与管理 的 研究[ J ] . 中国机械工程, 1997, 8( 2) : 63-73. [ 4] 张伯鹏, 汪劲 松, 郑　力, 等 . 先进制造技术基础研究 现
状及发展趋势[ J ] . 中国机械工程, 1997, 8( 2) : 60-63. [ 5] 陈芨 熙, 王剑峰, 顾新建 . 生 物制造系 统的概念 和原理 [ J ] . 机电工程, 1997, 14( 6) : 25-27. [ 6] 张　曙, 林德生 . 可持续发展的生产 模式—— 分散网络 化生产系统[ J] . 中国机械工程, 1998, 9( 2) : 68-71. [ 7] 曹　岩, 袁清珂, 赵汝嘉 . 虚拟制造及其关键技术[ J] . 电 子机械工程, 1998, ( 5) : 12-16. [ 8] 赵东 标, 朱剑 英 . 智 能制造 技术 与系 统的发 展与 研究 [ J] . 中国机械工程, 1999, 10( 8) : 927-931.
Syst em Pat t ern of Advanced M anuf act ur ing Engineer ing
ZH ANG Heng
( R esearch I nstitute o f Info rmat ion on Science and T echno lo gy o f Hebei Pr ov ince, Hebei Shijiazhuang 050021, China)
Abstract: T he evo lution of the mea ning of a dv anced manufa ct ur ing eng ineering, the var io us co nceptio ns of
advanced pro duction or ganization at ho me and abr oad, the pat tern of pr oduct ion management and the feat ur esof and applications of pr oduction manufacturing str ateg y ( the to tal is called manufacturing eng ineering sy stem ) ar e descr ibed br iefly.
Key words : advanced ma nufacturing t echnique ( AM T ) ; flex ible munufactur ing sy st em ( EM S ) ; co mputer
integ rat ed munuf act ur ing sy stem( CIM S)