防火墙技术

防火墙技术

摘要：因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。

关键词：网络安全，防火墙

1防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预

测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网

和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网

络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监

测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，

实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息

安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析

器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。

1.1 传统防火墙介绍

目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展

历程。

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技

术。

第二代、第三代防火墙：1989年，贝尔实验室的Dave Presotto和Howard

Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——

应用层防火墙（代理防火墙）的初步结构。

第四代防火墙：1992年，USC信息科学院的BobBraden开发出了基于动

态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说

的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司

开发出了第一个采用这种技术的商业化的产品。

第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）

技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋

予了全新的意义，可以称之为第五代防火墙。

1.2 智能防火墙简介

智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统

计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。

新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，

直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为

智能防火墙。

2 防火墙的功能

2.1 防火墙的主要功能

1）包过滤。

包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。

2）地址转换。

网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。

3）认证和应用代理。

认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。

4）透明和路由

指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。

2.2 入侵检测功能

入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下：

1）反端口扫描。

2）检测拒绝服务攻击

3）检测多种缓冲区溢出攻击(Buffer Overflow)。

4）检测CGI/IIS服务器入侵。

5）检测后门、木马及其网络蠕虫。

3 防火墙的原理及分类

国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器以及状态包检测防火墙。

3.1包过滤防火墙

顾名思义，包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。

3.2应用级代理防火墙

应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。

3.3代理服务型防火墙

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。

3.4复合型防火墙

由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，屏蔽子网防火墙体系结构。

4 防火墙包过滤技术

就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。

所谓包过滤，就是对流经网络防火墙的所有数据包逐个检查，并依据所制定的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。

由于其主要是对数据包的过滤操作，所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程，可以认为包过滤的核心问题就是如何充分利用数据包中各个字段的信息，并结合安全策略来完成防火墙的功能。

4.1传统包过滤技术

传统包过滤技术，大多是在IP层实现，它只是简单的对当前正在通过的单一数据包进行检测，查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等，结合访问控制规则对数据包实施有选择的通过。这种技术实现简单，处理速度快，对应用透明，但是它存在的问题也很多，主要表现有：

1）所有可能会用到的端口都必须静态放开。

2）不能对数据传输状态进行判断。

3）无法过滤审核数据包上层的内容。

综合上述问题，传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测，而没有考虑前后数据包之间的联系;(4)只检查包头信息，而没有深入检测数据包的有效载荷。

4.2 动态包过滤

动态包过滤又称为基于状态的数据包过滤，是在传统包过滤技术基础之上发展起来的一项过滤技术，最早由Checkpoint提出。