防火墙(祁萍)

防火墙技术及其在网络安全中的应用

摘要

防火墙是网络安全的关键技术，在实际中被广泛应用。防火墙技术实际是一种隔离技术，它将企业内部网络或个人计算机与internet隔离开来，只允许符合特定规则的数据包通过，从而最大限度的保护计算机系统的安全。本文讨论防火墙技术的基本原理、实现防火墙的主要技术手段、防火墙技术的优缺点以及防火墙技术的实际应用。

关键字

防火墙网络安全包过滤代理服务器状态检测

1、防火墙的基本原理

在网络中，防火墙技术实际上是一种隔离技术，它将内部网与公众网隔离开来，从而达到保护内部网络不受侵害的目的。

典型的应用防火墙技术的网络系统具备如下三个基本特征：

1)内部网络和外部网络之间的所有数据流量都必须经过防火墙。

这是防火墙实现防护功能的前提，因为只有当防火墙是内网网络之间唯一的通讯通道时，它才能全面有效的保护内部网络。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。典型的防火墙网络体系结构如图1所示：

图1，防火墙网络体系结构

2)只有符合安全策略的数据流才能通过防火墙

安全策略是防火墙判断通过的数据的合法性的重要依据，拒绝违反安全策略的数据流的通过是防火墙实现安全防护功能的重要手段。

防火墙有两种对立的安全策略：

允许没有特别拒绝的数据流通过。这种情况下防火墙只规定了不允许通过的数据对象，除此之外其他任何数据都是允许的，安全性相对较弱。

拒绝北邮特别允许的数据流通过。这种情况下防火墙规定了允许通过的数据对象，除此之外任何数据都不允许通过，安全性相对较强。

3)防火墙自身硬具备很强的抗攻击能力

防火墙处于网络边缘，是内外网互通的唯一通道，内网的重要安全屏障，势必成为网络攻击的首要目标，这就要求防火墙本身必须具备很强的抗攻击免疫力，只有在自身安全的前提下才能完成保护内网不受攻击的首要目标。

此外，在传统防火墙基础上发展起来的新型防火墙，如应用层防火墙和数据库防火墙，除具有传统防火墙的功能特点之外，还具备特殊防护功能，如应用层防火墙具备区分端口和应用的能力，可以有效抵御应用层攻击，数据库防火墙具备针对数据库系统的恶意攻击的阻断能力，可以抵御针对数据库服务器攻击的SQL注入技术、返回行超标技术等。

2、防火墙的功能

安全功能是防火墙的核心功能，防火墙必须支持一定的安全策略，过滤掉不安全服务和非法用户，控制管理网络访问行为，监视网络安全状况，必要时发出警报。

除安全功能外，防火墙还可以实现如下功能：通过网络地址转换技术NAT缓解地址空间短缺问题；方便的实现流量统计、计费等功能；将企业内部用于发布信息的www服务器、ftp服务器等隔离开来。

3、防火墙的关键技术

1)包过滤技术

包过滤技术是一种简单有效的安全控制技术，其技术基础是网络数据分包传输技术。包过滤型防火墙是防火墙的初级产品，通过读取数据包中的源地址、目标地址、源端口、目标端口等信息判断该数据包是否来自可信任的安全站点。

包过滤型防火墙的优点是具有用户透明性，过滤效率高且易于维护。

包过滤型数据库的缺点是访问控制列表的配置比较复杂，对网络管理人员的要求较高；性能随访问控制列表的长度成指数下降；对通过应用层协议进行的攻击无能为力；没有用户的使用记录，无法通过日志分析网络攻击。

2)代理服务器技术

代理服务器在网络应用层提供授权检查，在内网和外网进行信息交换时对数据进行转发。使用代理服务器时，内网用户访问外网主机时，首先将请求发送到代理服务器，代理服务器检查该请求是否符合规定，不符合规定的请求直接丢弃，对符合规定的请求，代理服务器会修改数据包中的ip地址，然后发送给外网主机，对于外网主机来说，请求其实是代理服务器发送的。同样，外网服务器返回的数据包也先发送给代理服务器，代理服务器进行检查，丢弃不符合规则的数据包，将符合规则的数据库转发给原请求数据的内网用户。

代理服务器运行在内外网之间，能有效隔绝内外网的直接通信，其优点是安全性好，能实现流量监控、过滤和日志功能，但是由于每次通讯都需要通过代理服务器转发，具有使网

络访问速度变慢的缺点，同时，对于每一种应用服务都需要设计一个专门的代理软件模块，并不是所有的互联网应用软件都可以通过代理服务器访问。

3)状态检测技术

状态检测防火墙是在包过滤技术上发展而来的，又称动态包过滤防火墙。传统的包过滤技术只检测单个数据包，安全规则是静态的，状态检测技术可以将前后数据包的上下文联系起来，根据过去的通讯信息和其他状态信息动态生成过滤规则。

4)深度内容检测技术

普通报文检测仅分析报文中的源地址、目标地址、源端口、目标端口和协议类型的信息，而当前网络上的一些非法应用会采用隐藏假冒端口号的方法躲避检测和监管，仿冒合法报文攻击网络，在此情况下，传统的检测方法已经无能为力了。深度内容检测技术是通过对应用流中的数据报文内容进行探测，增加了应用层分析，识别各种应用及其内容，从而确定数据报文的真正应用。

4、防火墙在网络系统中的实际应用

1)个人防火墙

个人防火墙通常是一个运行在计算机上具有数据包过滤功能的软件，不需要特定的网络设备，只要在用户所使用的PC上安装软件即可。现在主流的pc操作系统，如window（windows xp之后版本）、linux等都有内置防火墙程序。

常见的个人防火墙有：天网防火墙个人版、瑞星个人防火墙、360木马防火墙、费尔个人防火墙、江民黑客防火墙和金山网标等。这些软件都能够独立运行于整个系统中或针对对个别程序、项目，所以在使用时十分方便及实用。

个人防火墙的优点是成本低，不需要额外的硬件资源，主要的缺点是其本身很容易受到威胁。

以下以Kaspersky Anti-Hacker为例，简单介绍个人防火墙的使用。图2是Kaspersky Anti-Hacker的主界面。