计算机网络 防火墙技术

计算机网络防火墙技术

在计算机网络中，防火墙（Firewall）是指隔离在信任网络（本地网络）与不可信任网络（外部网络）之间的一道防御系统。它是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或其它存在风险的网络）与安全区域（本地网络）的连接，但不会妨碍安全区域对风险区域的访问，其防火墙在网络中的位置，如图13-6所示。

防火墙

图13-6 防火墙位置

防火墙技术是一门综合性的技术，它涉及到计算机网络技术、密码技术、安全技术、软/硬件技术、安全协议、网络标准化组织的安全规范及安全操作系统等多方面。

从狭义的角度来讲防火墙是指安装了防火墙软件的主机或路由器系统，从广义的角度来讲它还包括整个网络的安全策略和安全行为。AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义。

●所有的从外部到内部或从内部到外部的通信都必须经过它；

●只有具有内部访问策略授权的通信才被允许通过它；

●其系统本身具有很强的高可靠性

总的来讲，防火墙是一种保障网络安全的手段，是网络通信时执行的一种访问控制尺度，通过防火墙可以监控进出网络的各种数据，仅让安全，通过核准后的数据进入局域网内，从而防止那些对局域网存在威胁的数据流入，对内部网络的正常使用造成干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器或者说是分析器，它有效的监视了内部网络和Internet 之间的任何通信活动，保证内部网络的安全性；在物理上，防火墙是位于网络中特殊位置的一组硬件设备（路由器、计算机或其它硬件设备）。

1．包过滤防火墙（Packket filter firewall）

它工作在OSI参考模型中的网络层，对数据包的源IP地址及目的IP地址具有识别控制的作用。对于传输层，它只能识别数据包是通过TCP传输还是UDP传输机所用的端口信息。它对所接收到的IP数据包中的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数与管理员预先设置的访问控制列表进行比较，确定其是否符合预定义的安全策略，从而决定数据包是否通过。

包过滤防火墙可以与现有的路由器进行集成，也可以使用独立的包过滤软件来实现。它具有成本低、速度快、效率高及对用户透明的优点。

但不足的，它依赖IP报头中的各种信息，但其可靠性没有保证，IP源地址也可以伪造，通过内外串通，能够轻易的绕过防火墙；工作在网络层，不能监测那些对高层进行的攻击；不具备身份认证功能。因为包过滤只能够过滤IP地址，它不能识别相同IP地址下的不同用户。

2．应用网关防火墙（Application gateway firewall）

应用网关是指能够在网关上执行某些特定的应用程序和服务器程序，从而实现协议过滤和转发功能。应用网关防火墙工作在OSI参考模型中的应用层。它基于软件能够针对特别的网络应用协议来制定数据过滤规则。

这种防火墙能够彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，外网的访问应答先由防火墙处理，然后再由防火墙转发给内网用户。所有通信都必须经过应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，由于针对各种应用协议的应用网关防火墙提供了丰富的应用层的控制能力，使应用网关防火墙具有了极高的安全性。

应用网关也采用了过滤的机制，因此存在让Internet上的用户了解内部网络的结构和运行状态的可能。

3．代理服务防火墙（Agency service firewall）

代理服务防火墙包括代理服务器、代理客户和协议分析三个模块。它在通信中充当一个中间角色，能很好地从Internet中隔离出受信赖的网络，不允许受信赖的网络和非受信赖的网络之间进行直接通信，具有很高的安全性。但这降低了他的速度，并且对用户不透明，要求用户了解通信细节。

代理服务防火墙主要使用代理技术来阻断内部网络和外部网络间的通信，以达到保护内部网络的目的。

4．状态检测防火墙（Stateful inspection firewall）

状态检测防火墙也被称为自适应防火墙或动态包过滤防火墙，最早是由CheckPoint公司提出的，现在已经成为防火墙的主流技术。

状态检测防火墙是通过状态检测技术动态记录、维护各个连接的协议状态，并且在网络层和IP之间插入一个检查模块，对IP包的信息进行分析检测，以决定是否允许它通过防火墙。它还引入了动态规则的概念，即对网络可以动态的打开或者关闭，这减少了被网络攻击的可能性，提高了网络的安全性。它根据过去的通信信息和其它应用程序来获得状态信息以动态地生成过滤规则，根据新生成的过来规则过滤新的通信。在新的通信接收时，新生成的过滤规则将自动从规则表中删除。

状态检测防火墙规范了网络层和传输层的行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。目前业界很多优秀的防火墙产品采用了状态检测型的体系结构，比如Cisco的PIX防火墙。

防火墙的性能及特点主要是由它所在的工作层次及所采用的工作机制决定的。这是因为，工作层次决定了防火墙的工作效率及安全性，。一般来说工作层次越低，工作效率越高，但安全性随之下降；反之，工作层次越高，工作效率越低，但安全性随之提高。如果防火墙采用代理机制，则其具有隐藏内部信息的特点，安全性较高，效率却比较低；如果采用过滤机制，则效率高，安全性却降低了。