防火墙技术

防火墙技术
一、防火墙的基本概念
防火墙作为网络安全的一种防护手段得到了广泛的应用，并对网络起到了一定的保护作用。

防火墙来源于古代的建筑物防火墙的概念：为了保护建筑物内财物的安全，建立一座高大的墙体以遮挡、躲避来自于建筑物之外的火灾。

古代的护城河也是一种防火墙，保护城内以免遭到外部的攻击。

后来这种思想被引入到计算机网络中，主机不断遭到外部网络上的其他主机的攻击，为了抵御这种攻击，防止外部危害入侵到内部网络，创建了计算机网络防火墙，其在网络中的位置如下图所示。

图1
计算机网络防火墙是设置在内部网络和外部网络之间的一道屏障，它就像内部网络入口的“哨兵”，检查每一个从外部网络进入内部网络的访问者，目的是保护内部网络不受外部网络的侵扰。

防火墙是位于内部网络或Wb站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。

它是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它能够对每一个进入内部网络的访问执行检查，就像是安装在两个网络之间的一道栅栏，能够
允许或阻止每一个访问，它提供的是一种过滤机制，提供可控的过滤网络通信，只允许授权的通信。

二、防火墙的基本功能
一般来说，防火墙可防止来自“外部”未经授权的交互式登录，这将有助于防止破坏者登录到网络用户的计算机上。

另一方面，防火墙还充当了外部网络和内部网络连接的一个“阻塞点”，可以在“阻塞点”上设置安全和审计检查，定期系统安全向管理员提供一些情况概要，提供有关通过防火墙的数据流的类型和数量，以及有多少次试图闯入防火墙的信息。

防火墙具有以下基本功能：
1.防火墙充当内部网络的安全保护屏障
防火墙是信息进出网络的必经之路。

可以说，如果切断防火墙，就可以保护内部网络用户免受网络上的任何类型的攻击。

防火墙会检查所有经过的数据的细节，它会根据系统预先定义好的安全策略或安全规则允许或禁止这些数据流的通过，这将极大地提高内部网络的安全性。

2.防火墙能够强化网络安全策略
前面我们学习过网络安全策略的概念，它体现了一个单位的安全政策，为什么要采用防火墙？需要防范哪些威胁？哪些活动是被允许的？哪些活动需要被禁止？解决这些问题需要采用防火墙技术，它是能够帮助一个单位实施网络安全策略的重要技术保障之一。

3.防火墙能够对网络访问进行监控和审计
所有经过网络进出的信息都必须通过防火墙，因此防火墙能够记录下这些访问的来源、时间等信息，还能够对被保护网络与外部网络之间的事件做出日志记录，同时向系统管理员提供网络使用情况的统计数据。

通过对这些数据信息的统计分析，它还能够提供预警功能，对内部网络受到可疑的行为或者攻击企图等信息的统计结果有助于系统管理员做出适当的反应，以保障网络的安全。

4.防火墙能够限制暴露内部网络的信息
可以利用防火墙对内部网络实现网段的划分，对内部网络中重点网段进行隔离，从而限制局部重点或敏感的网络安全问题对整个网络造成影响。

在内部网络中，比如一些重要的服务器，如数据库服务器、Wb服务器等，极易受到来自外部网络的攻击，而防火墙的隔离限制了内部网络的结构等信息的暴露，使得外部网络的攻击者不易发现这些特别重要的服务器资源。

5.防火墙是一个安全策略的检查站
所有进出网络的信息必须通过防火墙，因此防火墙成为了网络上的一个检查站，对于来自外部的网络进行检测和报警，将发现的可疑访问拒之门外。

三、防火墙的实现技术
防火墙产品主要采用数据包过滤与代理两种实现技术。

这两种技术各有优缺点，有时将这两种技术混合起来使用。

在这些基本技术上，又衍生出一些新的技术如状态检测技术、深度检测技术、自适应代理技术等。

1.数据包过滤技术
数据包过滤是防火墙最基本的过滤技术，在网络层实现。

这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条数据包过滤规则匹配。

过滤规则基于数据包的报头信息进行制定，报头信息中包括P源地址、P目标地址、传输协议（TCP、UDP、ICMP等）、TCP/UDP目标端口、ICMP消息类型等。

数据包过滤类型的防火墙要遵循的一条默认的原则是“未经允许即为拒绝”，即明确允许哪些是可以通过防火墙的数据包，其他未经允许的全部被禁止。

数据包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、T℃P端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

数据包过滤的最大优点是对用户透明，传输性能高。

但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比数据包过滤更为有效的安全控制方法。

对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。

对该连接的后续数据包，只要符合状态表，就可以通过。

这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使
得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步的提高。

2.代理技术
代理防火墙也叫应用层网关防火墙。

这种防火墙通过一种代理（Poxy）技术参与到一个TCP连接的全过程。

从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以起到隐藏内部网结构的作用。

代理服务器，是指代表客户处理服务器连接请求的程序。

当代理服务器得到一个客户的连接请求时，它们将核实客户请求，并经过特定的安全化的代理应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接收服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。

代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。

代理类型的防火墙的最突出的优点就是安全。

由于每一个内外网络之间的连接都要通过Poxy的介入和转换，通过专门为特定的服务如Hp编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时（比如要求达到75~100Mbi/s时），代理防火墙就会成为内外网络之间的瓶颈。

自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。

它可以结合代理类型的防火墙的安全性和数据包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。

组成这种类型的防火墙的基本要素有两个：自适应代理服务器与动态数据包过滤器。

在自适应代理与动态数据包过滤器之间存在一个控制通道。

在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应POxy的管理界面进行设置就可以了。

然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。

如果是后者，它将动态地通知数据包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

四、防火墙的分类
防火墙的分类有很多种方法，通常以软硬件构成来划分。

按防火墙软、硬件形式可分为软件防火墙和硬件防火墙以及芯片级防火墙。

1.软件防火墙
软件防火墙又称个人防火墙，运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。

如美国飞塔公司的Wb应用防火墙、天网防火墙、瑞星防火墙等。

2.硬件防火墙
硬件防火墙是区别于专用处理芯片的防火墙。

硬件防火墙是把软件防火墙嵌入在硬件中，一般的软件安全厂商所提供的硬件防火墙便
是在硬件服务器厂商定制硬件，然后再把Liux系统与自己的软件系统嵌入其中。

这些硬件主要运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、inux和FreeBSD系统。

传统硬件防火墙一般至少应具备3个端口，分别接内网、外网和DMZ区（非军事化区）。

3.芯片级防火墙
芯片级防火墙基于专门的硬件平台。

专有的A$C芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

一些具有代表性的厂商有FortiNet（飞塔）、Juniper
（瞻博）、Cisco（思科）等。

这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少。

五、防火墙的应用与发展趋势
今天互联网快速发展，信息资源和基础设施形成了现代企业的核心。

部署了网络的企业不但能提高业务效率和业绩，还能获得持续竞争优势。

但是，网络也会给企业带来风险。

目前，不仅网络攻击数量不断攀升，而且攻击的水平也越来越高，致使各机构核心业务面临的风险越来越大。

因此，部署防火墙已经成为一个企业必不可少的基础设施。

如图2，是思科公司设计的一种防火墙在整个企业中的部署架构示意图。

防火墙正在朝着一体化安全网关、多功能方向发展。

这类防火墙可以被认为是一种复合型防火墙，不仅在硬件芯片上有很大的提高，在软件算法上也有一些新的突破。

当前业界推出的一些包含了状态检测、深度包检测、透明代理的新一代技术的防火墙，进一步基于ASIC
架构或X86架构，把防病毒、内容过滤整合到防火墙里，其中还包括NAT、路由策略、VPN、入侵检测系统、入侵防御系统、防病毒网关等功能，形成了一体化的安全网关。

业界一些著名的防火墙集成产品主要有思科公司推出的PX防火墙：瞻博公司推出的ISG、SSG、SRX等系列产品；阿姆瑞特公司推出的F500、F1800、5500等系列产品；飞塔公司推出的统一安全网关（UTM）系列产品，如下图3所示。

图2
图3。