常见防火墙技术分析

常见防火墙技术分析

周国清1指导教师：曾启杰

（广东工业大学管理学院，广州，510006）

【摘要】计算机网络技术的突飞猛进。一方面任梦在享受数字的跳动、数据传输的便利中，另一方面又在担忧个人的隐私以及权益是否被人侵犯，所以网络安全的问题已经日益突出地摆在各类

用户的面前，网络安全问题越来越受到重视，各种网络安全保护机制得到迅速发展，而防火墙

自然而然流行起来，它作为一道防御系统，能够很好的将外界网络隔离

【关键词】网络安全、防火墙、包过滤、状态/动态检测、应用程序代理、个人

1引言

近年来, Internet的快速增长促进了信息技术的飞速发展，它的迅猛成长正在使世界成为一个整体。随着Internet 的日益普及，通过浏览访问互联网，不仅使人们更容易的获得各种信息，也使网络被攻击的可能性大大增加，随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet，以便成员可以最大可能地利用Internet上的资源，同时又需要把自己的数据有意识地保护起来，以防数据泄密及受到外界对内部系统的恶意破坏。由于Internet 的开放性，网络安全防护的方式发生了根本变化，使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，且它们的实施可由通信双方共同完成。而由于Internet是一个开放的全球网络，其网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，且主要是用来解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。在此情形下，防火墙技术应运而生。防火墙与包过滤技术是当前能采用的一个有效措施，通过精心设置访问策略，可以得到资源共享与信息安全的均衡。

2防火墙及其功能

用专业术语来说，防火墙是指在可信的内部网络和不安全的外部网络之间设置的一种或多种部件的集合(由软件和硬件组成)。防火墙的作用是防止不希望的、未经授权的通信进入，1周国清（1992—），男，财务管理专业2011级6班

保护的内部网络。防火墙可以实施网络之间访问控制，限制内外网之间的交流，最终达到保护内部网的目的。对于普通用户来说，所谓"防火墙"，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从外部网络交给计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会将其拦截下来，实现了对计算机的保护功能。

如果没有防火墙，整个内部网络的安全性就完全依赖于每一个主机。所以，所有的主机都必须达到一个相当的安全水平。否则，安全水平最低的那台主机一旦被攻克，整个内部网络就会完全的暴露在攻击者面前。这就是所谓的"木桶原理"，木桶能装多少水由最短的那块板决定。网络规模越大，要使网络中所有主机都达到一个相当的安全水平就越困难。防火墙还可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、监测型、代理型和网络地址转换—NA T

3包过滤防火墙

3.1使用包过滤防火墙的技术优点

包过滤防火墙主要是在内部网络和外部网络之间选择性地包过滤，使用包过滤防火墙的技术优点是显而易见的：

1）防火墙对每条传入和传出网络的包实行低水平控制。

2）每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。

3）防火墙可以识别和丢弃带欺骗性源IP地址的包。

3.2使用包过滤防火墙的局限性

包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过防火墙是困难的。包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。但是很显然，使用包过滤防火墙也存在极大的局限性：

1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。

2）为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认

端口为80，而计算机上又安装了RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的，就这样无意中，RealPlayer就利用了Web 服务器的端口。

3）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。

4状态/动态检测防火墙

采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要，可动态地在过滤规则中增加或更新条目。

4.1状态/动态检测防火墙的优势

1）检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。

2）识别带有欺骗性源IP地址包的能力。

3）基于应用程序信息验证一个包的状态的能力，例如，基于一个已经建立的FTP连接，允许返回的FTP包通过。

4）基于应用程序信息验证一个包状态的能力，例如，允许一个先前认证过的连接继续与被授予的服务通信。

5）记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所以信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。

4.2状态/动态检测防火墙的固有的缺点

虽然状态/动态检测防火墙的功能近乎完美，但是也存在其自身固有的缺点：状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能造成网络连接的某种迟滞，特别是在同时有许多连接激活，或者是有大量的过滤网络通信的规则存在时。目前，防火墙的硬件速度一直在提高，速度硬件速度越快，这个问题就越不易察觉。速度的解决也从部分上缓解了状态检测防火墙的这个弱点。

5应用程序代理防火墙

5.1应用程序代理防火墙的使用优点

应用级防火墙，其性能总的来说，要比上述两种防火墙的性能有一个质的提高，使用应用程序代理防火墙的优点很明显：

1）指定对连接的控制。允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。