防火墙技术研究与应用

制 策 略， 是 内部网络 和 外部 网络 之 间的安 全 防范系 统 。从逻 辑上
３．被 屏蔽 主机 。被 屏蔽 主机 体 系结 构防 火墙 使用 ～个 路 由器
讲 ， 防火墙 是分 离器 、限制器 和 分析 器 ，有效 地监 视 了 内部 网络 把 内部 网络 与 外部 网络 隔开 ，在 这种 体系 结构 中，主 要 的安全 由
泛 ， 因 为 ＣＰＵ 用来 处 理 包过 滤 的 时 间可 以忽 略 不 计 。而 且 这种 的 网络设 备直 接 当作 防火 墙 ，是 因为 除 了先前 提 到的包 过滤 并 不
防 护 措 施 对 用户 透 明 ，合 法 用 户在 进 出 网络 时 ， 根 本感 觉 不 到 能达 到完 全 的控 制之 外 ，配置 工作 困难 、必须 具备 完整 的知 识 以
活 动 ，管理 进 出 网络 的访 问行为 ；（４）屏蔽 内部 网络 的拓 扑结 构 ， 一 步 的把 内部网络 和外 部 网络 隔离 开 。被屏 蔽子 网体 系结 构 的最
使 内部 网络结 构对 外不 可 知 。
简 单的 形式 为两个 屏 蔽路 由器 ，每 一个 都连 接 到周边 网，一 个位
信都 必须 经 过它 ；只有 内部 访 问策略授 权 的通 信才 能被 允许 通过 ； 是 ：一 旦入 侵 者侵入 堡 垒主机 并 使其 具有 路 由功 能 ，则 外 部 网上
系 统本 身有 很强 的 高可靠 性 。所 以防 火墙 在 网络之 间执 行访 问控 用 户就 可 以随 便访 问 内部网 。
工 程 技 术
计算机光盘软件与应用
Ｃｏｍｐｕｔｅｒ ＣＤ Ｓｏｆｔｗａｒｅ ａｎｄ Ａｐｐｌ ｉ ｃａｔ ｉｏ，ｎｓ
２０１１年 第 ２１期
（一 ） 包过 滤 技 术 。包 过 滤 技术 是 最 早 使 用 的 一 种 防火 墙 若不 能确 保 自身 安全 ，则 防火 墙 的控 制功 能再 强 ，也 终究 不能 保 技 术 ， 包 过 滤技 术 实现 的包 过 滤 防 火墙 ，它 根 据 定 义 好 的规 则 护 内部 网络 。２．防火 墙 的管理 难 易度 。防 火墙 的管 理难 易度 是选
和 外 部网络 之 间的任 何活 动 ，保 证 了 内部网络 的 安全 ；在物 理 实 数据 包过滤 提 供 ，数据 包过 滤用 于 防止 人们绕 过代 理 服务 器直 接
现 上 ，防火 墙 是位 于 网络 特殊 位 置 的一组 硬件 设备— — 路 由器 、 相连 。这种 体 系结 构涉 及到 堡垒 主机 ，堡垒 主机 是 因特 网上 能够
Ｋｅｙｗｏｒｄｓ：Ｆｉｒｅｗａｌｌ；Ｂａｓｔｉｏｎ ｈｎ ｓｔ；Ｐａｃｋｅｔ ｆｉｌｔｅｒｉｎｇ；Ａｐｐｌｉｃａｔｉｏｎ ｇａｔｅｗａｙ；Ｆｉｒｅｗａｌｌ ａｐｐｌｉｃａｔｉｏｎｓ
随着 Ｉｎｔｅｒｎｅｔ的广 泛应 用 ，网络 安全成 为人 们热 衷 的话题 之 门生产 的路 由器 实现 ，也 可 以用主 机来 实现 。屏 蔽路 由器 作 为 内
ＡＴ＆Ｔ的两位 工 程师 ｗｉｌｌ Ｊａｍ Ｃｈｅｓｗｉｃｈ和 Ｓｔｅｖｅｎ Ｂｅｌｌｏｖｉｎ给 出 双 穴主 机优 于屏 蔽路 由器 的 是 ：堡垒 主机 的系 统软 件可 用 于维 护
了防火 墙 的明确 定义 ：所 有 的从 外部 到 内部或 从 内部到 外部 的通 系统 日志 。这对 于 日后 的检 查很 有用 。双 穴主 机 的一个 致 命弱 点
不 能防御 一些 不经 过 防火 墙的 攻击 和威胁 。
体 系结 构 。
总 之 ，只有清 楚 防火 墙 的优势 和 缺陷 ，才 有利 于我们 更 好地
综 上所 述 ，我 们在 布置 防火 墙 时，一 般很 少采 用 单一 的结 构 ，
应 用防 火墙 ；下 面 ，我们 从 防火墙 的体系 结构 入手 来探 讨 防火墙 通 常 是 多种解 决不 同 问题 的结构 组合 。这 种组 合 主要 取决 于 网管
虽然 防火 墙能 对 网络威 胁起 到很 好 的防 范作 用 ，但它 不是 安 于 周边 网与 内部 网络之 间，另 一个 位于 周边 网 与外 部网络 之 间 ，
全 解 决方 案 的全部 ，防火 墙也 有局 限性 ，主 要体 现在 以下 几 点 ： 这 样就 在 内部与 外部 网络 之 间形成 一个 隔离 带 ，通 常我 们称 它 为 （１）不 能 防御 已经授 权 的访 问 ，以及 存在 于 网络 内部之 间 的系统 “ＤＭＺ”非 军事 区 。要 侵入用 这 种体 系结 构构 筑 的 内部 网络 ，侵 袭
验 ，探讨 防火 墙 的体 系结 构及 防火 墙 的技术 实现 ，最 后给 出防火 堡 垒主 机 的 ＩＰ转 发 功能来 实现 在物 理上 将 内外 网络 隔开 。外部 网
墙 的选择 依据 和 使用 建议 。
络 （通常 是 Ｉｎｔｅｒｎｅｔ）能够 与堡垒 主机 通信 ，内部 网络 也 能够 与
关键 词 ：防 火墙 ；堡 垒主机 ；包过 滤 ；应 用网关 ；防 火墙 的应 用 中图分类号 ：ＴＰ３９３．０８ 文献标识码 ：Ａ 文章编号：１００７－９５９９（２０１ １）２１－００３５－０２
Ｆｉｒｅｗａｉｌ Ｔｅｃｈｎｏｌｏｇｙ Ｒｅｓｅａｒｃｈ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎ
Ｌｉ Ｂｉｎｇ （Ｃｈａｎｇｓｈａ Ｎａｎｆａｎｇ Ｐｍｆｅｓｓｉｏｎａｌ Ｃｏｌｌｅｇｅ，Ｃｈａｎｇｓｈａ ４１ ０２０８，Ｃｈｉｎａ）
～ 、 防火 墙
堡 垒主 机通 信 ，但外 部 网络 与 内部 网络 不 能直 接通 信 ，它们 之 间
从狭 义上 说 防火 墙是 指安 装 了防 火墙 软件 的主机 或路 由器系 的通信 必须 通过 堡 垒丰机 的过 滤和 控 制 。内外 网络 之 间进 出的 信
统 ；从广 义上 说 防火 墙还 包括 整 个网 络的 安全策 略 和安 全行 为 。 息 都需 要堡 垒主 机来 实现 ，所 以它负 载较 大 ，容 易成 为系统 瓶颈 。
计 算机 或 者其他 特 制 的硬 件设 备 。
唯一 连接 到 内部 网络上 的主 机 。任 何外 部 网络要 访 问 内部 网络 的
（一 ）防 火墙 的功 能
服 务都必 须连 接 到堡垒 主机 ，因此 堡垒 主机 要保 持更 高等 级 的安
防火墙 作 为 网络 安 全 的重要 屏障 ，它 主要 有 以下 功能 ：（１） 全 。如果 攻击 者设 法登 录到 堡 垒主机 上 ， 内网 中的其 余主 机就 会
审查每个数据包并确定数据包是否与过滤规则匹配，从而决定 择 防火墙 时考 虑 的 因素之 一 。若 防火 墙 的管理 过 于繁琐 ，则可 能
数 据 包 是 否 能够 通 过 ，与 应 用 层 无 关 ，包 过 滤 器 的 应用 非常 广 会造 成配 置上 的错误 ，影 响其 功 能 。一般 企业 之所 以很 少 以 已有
２０１１年 第 ２ｌ期
计 算机 光盘 软件 与应 用
Ｃｏｍｐｕｔｅｒ ＣＤ Ｓｏｆｔｗａｒｅ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓ
工 程 技 术
防火墙技术研究与应用
李 兵 （长沙 南方职业 学院 ，长 沙 ４１０２０８）
摘 要 ：在 Ｉｎｔｅｒａｃｔ高速 发展 的 同时 ，如何 同步保 障 网络 安全 ，是 个很 重要 的 问题 ，而 防 火墙技 术正是 基 于这一 问题 而进行 研 究 ，防 火墙技 术 的核 心思 想是在 不安 全的 Ｉｎｔｅｍｅｔ环 境 中构 造一 个相 对安 全的子 网环 境 。本 文从 防 火墙 的基 本特 性 入手 ，主要 分析 防 火墙 体 系结构及 它的 实现技 术 ，最后 探 讨 防火墙 的选择 、配置 、应 用原 则 。
护 的网络 从开 放 的、无边 界 的网络 环境 中独 立 出来 ，成 为可管 理 、 全 性差 ，而 且它 还有 路 由功能 ，内部 网络 的结 构并 没有 被 隐藏 ，
控 制 、安 全 的 内部 网络 。而 实现 它 的最基 本 的分 隔手 段就 是 防火 一 旦被攻 陷后 很难 发现 ，不能 识别不 同的用户 。
墙 。为 了确保 信 息的 安全及 网 络 系统 的可用 性 ，防火 墙技 术及 其
２．双穴 主机 。这 种配 置 是用一 台装 有 两块 网卡 的堡 垒主 机做
应用 是 网络安 全 系统 中的 一项 重要举 措 。本 文结 合实 际 的工 作经 防 火墙 ，位 于 内外 网络之 间 ，并分 别与 内外 网络相 连 ，通 过 禁止
防 范理 论 ，从 中明确 各类 防火 墙 的优势 和缺 陷 。
中心 向用 户提供 什 么样 的服 务 ， 以及 网管 中心 能接 受什 么 样 的等
（二 ）防 火墙 的体 系结构
级风 险 。
１．屏 蔽路 由器 。这 是 防火墙 最基 本 的构件 。它 可 以 由厂 家 专
二 、防火 墙 的技术 实现
一 。 而网络 安全 问题 主 要是 由于 网络 的开放 性、 无边 界性 、 自由 外连 接 的唯一 通道 ，对所 接 受的每 个数 据包 作允 许 或拒绝 的 决定 。
性 等 其他 因素 造成 的 。出 于对上 述 问题 的考 虑 ，我们 应该 把被 保 采用 这种 结构 的防火墙 优 点在 于速 度快 、 费用低 、实现方 便但 安
Ａｂｓｔｒａｃｔ：Ｔｈｅ ｒａｐｉｄ ｄｅｖｅｌｏｐｍｅｎｔ ｏｆ ｔｈｅ Ｉｎｔｅｒｎｅｔ，ｈｏｗ ｔｏ ｓｙｎｃｈｒｏｎｉｚｅ ｔＯ ｅｎｓｕｒｅ ｎｅｔｗ ｏｒｋ ｓｅｃｕ ｒ ｉｔｙ，ｉｓ ａ ｖｅｒｙ ｉｍｐｏｒｔａｎｔ ｉｓｓｕｅ，ａｎｄ ｆ ｉｒｅｗａｌｌ ｔｅｃｈｎｏｌｏｇｙ ｉｓ ｂａｓｅｄ ｏｎ ｔｈｉｓ ｒｅｓｅａｒｃｈ ｐｒｏｂｌｅｍ，ｆ ｉｒｅｗａｌｌ ｔｅｃｈｎｏｌｏｇｙ，ｔｈｅ ｃｏｒｅ ｉｄｅａ ｉｓ ｉｎ ａｎ ｉｎｓｅｃｕｒｅ ｅｎｖｉｒｏｎｍｅｎｔ ｏｆ ｔｈｅ Ｉｎｔｅｒ ａ ｃｔ ｔｏ ｃｏｎｓｔｒｕｃｔ ａ ｒｅｌａｔｉｖｅｌｙ ｓｅｃｕｒｅ ｓｕｂｎｅｔ ｅｎｖｉｒｏｎｍ ｅｎｔ．Ｉｎ ｔｈｉｓ ｐａｐｅｒ，ｔｈｅ ｂａｓｉｃ ｆ ｉｒｅｗ ａｌｌ ｆｅａｔｕｒｅｓ ｔｏ ｓｔａｒｔ，ｔｈｅ ｍ ａｉｎ ａｎａｌｙｓｉｓ ｏｆ ｔｈｅ ｆ ｉｒｅｗａｌｌ ａｒｃｈｉｔｅｃｔｕｒｅ ａｎｄ ｉｔｓ ｉｍｐｌｅｍｅｎｔａｔｉｏｎ ｔｅｃｈｎ ｉｑｕｅｓ，ｔｈｅ ｆｉｎａｌ ｃｈｏｉｃｅ ｏｆ ａ ｆ ｉｒｅｗａｌｌ，ｃｏｎｆ ｉｇｕｒａｔｉｏｎ，ａｐｐｌｉｃａｔｉｏｎ ｐｒｉｎｃｉｐｌｅｓ．
攻击 ；（２）不能 防御 合法 用户 恶意 的攻 击 ， 以及 各种 非预 期 的威 者 必须 通过 两个 路 由器 ，即使 侵袭 者侵 入堡 垒 主机 ，仍 然必 须通
胁 ；（３）不 能修 复脆 弱 的管理 措施 和 存在 问题 的安全 策 略 ；（４） 过 内部 路 由器 。总 之 ，被 屏 蔽子 网结 构是 一种 比较 完整 的 防火 墙
Baidu Nhomakorabea
是 一个 安 全策 略 的检查 站 ，对 网络攻 击进 行检 查 和报 警 ；（２）强 受 到很大 威胁 。这 与双 穴主 机 结构受 攻击 时 的情形 差不 多 。
化 安 全策 略 ，过滤 不 安全 的服 务和 非法用 户 ；（３）有 效记 录 网络
４．被屏 蔽子 网 。被屏 蔽子 网体 系结 构通 过添 加周 边 网络更 进
容 ， 不 能在 用 户 级 别 上 进 行 过 滤 ， 即不 能识 别 不 同 的用 户 和 防 ３．能 否 向使用 者 提供 完善 的售 后服 务 。 由于有 新 的产 品出现 ，就
它的存在 ，使用起来很方便 。因此系统就具有很好的传输性能， 及不 易排 错等 管 理 问题更 是一 般 企业 不愿 意使 用 的主要 原 因。 正
易 扩 展 。但 是这 种 防火 墙 不 太 安全 ， 因为 系 统 不 理解 通 信 的 内 因如 此 ，当前很 多防 火墙 都支 持 图形化 界面 配 置 ，配置 简单 高效 。