防火墙技术研究

防火墙技术研究

摘要：网络安全中的防火墙技术是一项重要的防护措施。本文在简要论述防火墙技术的类型、优点等的基础上，对防火墙的局限性进行了说明，并对其的发展趋势作简单展望。

关键词：网络安全防火墙发展

一、防火墙的概念及功能

防火墙,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全,其主体功能可以归纳如下:1.根据访问规则对应用程序联网动作及数据进行过滤;2.实时监控,监视网络活动,管理进、出网络的访问行为;3.以日志方式记录通过防火墙的内容及活动;4.对网络攻击进

行报警,阻止被限制的行为。

二、防火墙的基本类型

1.包过滤防火墙。在互联网络这样的tcp／ip 网络上，所有往来的信息都被分割成许多一定长度的数据包，包中包含发送者的ip

地址和接收者的ip地址等信息，包过滤根据数据包的源ip 地址、目的ip地址、源端口、目的端口及包传递方向等报头信息来判断是否允许数据包通过。由于只x,zt数据包的ip 地址、tcp、udp 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

2.应用网关防火墙。应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务，如超文本传输(http)，远程文件传输(ftp)等等。在网关上执行一些特定的应用程序和服务器程序，实现协议过滤和转发功能。

3.代理服务防火墙使用代理技术来阻断内部网络和外部网络的

通信达到隐蔽内部网络的目的。

4.状态检测防火墙。用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。通过状态检测技术动态记录、维护各个连接的协议状态，并在网络层和ip之间插入一个检查模块，对ip包的信息进行分析检测，决定是否允许通过。

5.自适应代理技术。自适应代理技术是应用代理技术的一种，它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在

毫不损失安全性的基础之上将代理型防火墙的性能提高l0倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

三、防火墙技术的局限性

随着防火墙技术的发展,其在信息安全体系中的地位越来越不可替代,网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下,我们也应该清醒地认识到:防火墙并不是“包治百病”的,它对于一些特殊的攻击或其他行为有时也无能为力。所以,我们也应该了解其技术方面的一些局限性,毕竟没有任何一种技术能绝对保证安全。首先,防火墙技术最突出的缺点在于不能防范跳过防火墙的各种攻击行为。这其中比较典型的就是难以防范来自网络内部的恶意攻击。“堡垒往往容易从内部攻破”这句话用于防火墙再合适不过了。因此,用户在构建好防火墙的同时,也不要忘记了防火墙内的安全保障。其次,防火墙技术的另外一个显著不足是无法有效地应付病毒。当网络内的用户在访问外网中的含有病毒的数据时,防火墙无法区分带毒数据与正常数据,内部网络随时都有受到病毒危害的可能,防火墙技术的这

个缺点给网络带来很大的隐患。另外,由于防火墙技术的自身不断发展,其自身问题和漏洞也使其具有局限性。防火墙本身作为一个独立的系统,其软、硬件在发展过程中必然也有其自己的bug和漏洞,所以各种故障和因漏洞所遭受的各种攻击也不可避免。防火墙的技术原理与杀毒软件类似:先出现病毒,杀毒软件获得病毒的特征码,将其加入到病毒库内来实现查杀。防火墙的防御、检测策略,也是在发生攻击行为后分析其特征而设置的。如果出现新的未知攻击行为,防火墙也将束手无策。最后,防火墙的检测机制容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。

四、发展趋势

尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速、多功能化、更安全的方向发展。

实现高速防火墙，可以应用asic硬件加速技术、fpga和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持ipv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能，入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱

内。既节省宝贵的机柜空间，又能为企业节约一部分安全支出，更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。

任何一种防火墙只是为内部网络提供安全保障，但网络安全不能完全依赖于防火墙，还需要加强内部的安全管理，完善安全管理制度，提高用户的安全意识，从而形成全方位的安全防御体系。

参考文献：

[1] 雷震甲.网络工程师教程(笫2版)[m].北京:清华大学出版社,2006.

[2] 姜文红.网络安全与管理[m ].北京:清华大学出版社,2007.

[3] 荣海迅.防火墙技术及其发展趋势剖析[j].淮北职业技术学院学报, 2008(3).