防火墙技术的研究

防火墙技术的研究

濮阳县教师进修学校石慧慧

摘要

本文主要讲了防火墙的概况，以及其主要技术：包过滤，代理服务器，状态检测技术，其应用层次及技术复杂程度各有不同，单一包过滤技术最为普及，还谈到了防火墙体系结构的一些优缺点，以及自己的一些建设性的意见。

关键词：防火墙体系结构

一．防火墙简介

1.防火墙的概念

防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。

2.防火墙的发展

第一代防火墙

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。

第二、三代防火墙

1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。

第五代防火墙

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

二．防火墙的类型

从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。

包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。它代理用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种TCP／IP服务都要设计一个代理模块，建立对应的网关，实现起来比较复杂。

复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结

合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。

三．防火墙技术原理

防火墙从原理上主要有三种技术：包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。

1. 包过滤(PacketFiltering)技术

在基于TCP/IP 协议的计算机网络上，所有网络上的计算机都是用IP地址来唯一地标识其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的，数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的IP地址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的，它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，那么所有从这个地址传输过来的数据包都会被过滤掉。

2.代理服务(ProxyService)技术

代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接，将目的站点告知代理，对于合法的请求，代理以自己的身份(应用层网关)与目的站点建立连接，然后代理在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能，能隐藏内部IP地址，能够实现比包过滤路由器更严格的安全策略。它针对每一个特定应用都有一个代理模块，管理员可以根据自己的需要安装相应的代理。一般情况下每个代理相互无关，即使某个代理工作发生问题，只需将它简单地卸出，不会影响其它的代理模块，也保证了防火墙的失效安全。

3.状态检测(StateInspection)技术

状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，可以很容易地实现应用和服务的扩充。但其配置非常复杂，而且会降低网络的速度。

四．各种防火墙体系结构优缺点

1.双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，它围绕双重宿主主计算机构筑。该计算机至少有2个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。它能提供级别非常高的控制，并保证内部网上没有外部的IP包。但这种体系结构中用户访问因特网的速度会较慢，也会因为双重宿主主机的被侵袭而失效。

2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭