物联网中的防火墙技术

物联网中的防火墙技术-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

物联网中的防火墙技术

摘要：随着物联网成为新兴事物，随之而来的安全问题也引人重视。通过对防火墙的研究及分类，阐释了防火墙的原理，从而对防火墙的发展和物联网的建设起积极的建言作用。

关键词：物联网，安全，防火墙

The Internet Connection Firewall of

The Web of things

Abstract:There are security issues with web of things becoming a newly sprouted thing.The article studied on firewall and made a classification,which also explained the principle of firewalls.This aricle aims at giving advices to the developments of firwalls and the construction of the web of things.

Keywords:web of things,seurity,firewall.

0引言

近年来，与物联网有关的相关概念大量在网络和人们对的视野中出现。早在1999年，物联网的概念就已经被提了出来——将生活中的所有物品通过射频识别等信息传感设备与互联网相连，从而实现智能化识别和管理。

物联网把新一代IT技术充分地运用在各行各业之中。具体地说，就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中，形成物联网，然后将物联网与现有的互联网整合起来，实现人类社会与物理系统的整合。在这个整合的网络当中，存在能力超级强大的中心计算机群，能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制。在此基础上，人类可以实现更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。①

1 物联网的安全问题

物联网的诞生及应用，使得人与物的交互更加方便，给人们带来了诸多便利。然而，在物联网的应用中，如果网络安全没有保障，那么个人隐私、物品信息等随时都可能被泄露。更严重的是，如果网络不安全，那么社会的正常运

行，公共设施的保障就成了空谈。②不可否认，目前的物联网在安全方面的确存在许多问题。花样繁多的病毒入侵、无孔不入的黑客侵袭，都在时时刻刻地威胁着物联网的安全，但也诞生了物联网的防范措施。防火墙便是其中之一。

2 防火墙

所谓“防火墙”指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，计算机流入流出的所有网络通信和数据包均要经过于此，是一种获取安全性方法的形象说法。它使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙,公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。③

3 防火墙技术的分类

防火墙使用的基本技术包括：包过滤、代理服务（应用代理、电路级代理、网络地址转换）和状态监视技术。④

（1）包过滤：

包过滤技术是根据流经防火墙的数据包的特征，依据事先定义好的规则，决定是否与许数据包通过的技术。它对数据包进行分析筛选的依据是系统内设置的访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息或它们的组合信息来确定是否允许该数据包通过。

包过滤技术分为静态包过滤和动态包过滤两种。近年来，研究人员在动态包过滤的基础上，又进一步提出了包状态检测技术和深度包检测技术。

A 静态包过滤：

又称简单包过滤，是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，然后对所接收的每个数据包做允许或拒绝而决定。过滤规则基于数据包报头中的信息，例如源IP地址、目标IP地址、源端口和目的端口等等。

B动态包过滤：

采用动态设置包过滤规则的方法过滤数据包。采用这种技术的防火墙对每一个连接都进行跟踪，动态地决定哪些数据包可以通过，并且可以根据需要动态地在过滤规则中增加或更新条目。

C包状态检测：

继承了包过滤技术的优点，同时摒弃了包过滤技术仅考察数据包的IP地址、协议类型等几个参数，而不关心数据包连接状态的缺点，就是包状态检测。通过建立状态连接表，并将进出网络的数当成一个个的会话，利用状态表跟踪每一个会话状态。因而能提供更完整的对传输层的控制能力。

D深度包检测：

融合了入侵检换和攻击防范能力，通过指纹匹配、启发式技术、异常检测和统计分析等技术来决定如何处理数据包，并可以根据特征检测盒内容过滤来寻找已知的攻击，阻止分布式拒绝服务攻击、病毒传播和异常访问等威胁行为。

（2）代理服务：

在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全阻隔了网络通信流，是的从内部网络发出的数据包经过代理技术处理后，就好像是源于防火墙的外部网卡一样，从而可以达到隐藏内部网络结构的作用。

A 应用层代理：

又称为应用层网关，工作在OSI的最高层——应用层。他通过代理技术参与到一个TCP连接的全过程，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，在用户层和应用协议层间提供访问控制。

当客户端提出一个请求时，代理程序将核实请求，处理连接请求，并将处理后的请求传递出去，然后接受应答并作处理，最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。

应用层代理服务器针对不同的网络应用提供不同的处理，例如HTTP代理、FTP 代理等。

B电路层代理：

又称电路级网关，用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息，从而判断该会话请求是否合法。显然，电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。

（3）状态监视技术：

这是第三代防火墙技术，继承了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口，这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

4 防火墙的未来：

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目