第一篇：下一代防火墻NGFW技術(shù)探討

下一代防火墻NGFW技術(shù)探討

摘 要：NGFW（下一代防火墻）自從2009年得到Gartner的“正名”開始，便迅速成為邊界安全技術(shù)范疇最為炙手可熱的話題。國(guó)內(nèi)外廠商更是借勢(shì)紛紛發(fā)布各自的NGFW產(chǎn)品，但時(shí)至今日，所謂NGFW的業(yè)界標(biāo)準(zhǔn)卻依然沒有形成統(tǒng)一。因此，在當(dāng)前表現(xiàn)較為混亂的防火墻市場(chǎng)環(huán)境下，廣大用戶在面對(duì)形形色色的NGFW產(chǎn)品時(shí)，更需要關(guān)注的是本質(zhì)，而非表象。

關(guān)鍵詞：NGFW；標(biāo)準(zhǔn)；本質(zhì)NGFW概念

2009年，Gartner《定義下一代防火墻》首次對(duì)NGFW這一概念進(jìn)行了釋義，其關(guān)鍵內(nèi)容如下：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測(cè)、VPN等等。

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。

（3）應(yīng)用意識(shí)和全?？梢娦裕鹤R(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。

（4）額外的防火墻智能：防火墻收集外來信息來做出更好地阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)。

首先對(duì)Gartner的觀點(diǎn)做個(gè)簡(jiǎn)單解讀。包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測(cè)、VPN等安全功能傳統(tǒng)防火墻都能滿足；“集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)”則指出NGFW需要集成IPS功能，在IPS與防火墻之間能夠建立起自動(dòng)化的聯(lián)動(dòng)機(jī)制，使IPS引擎檢測(cè)到源自某個(gè)IP地址的攻擊行為后，能夠自動(dòng)由防火墻引擎采用最簡(jiǎn)單的方式直接對(duì)其進(jìn)行阻斷；“應(yīng)用意識(shí)和全棧可見性”更加關(guān)注應(yīng)用層控制；“額外的防火墻智能”表達(dá)了NGFW應(yīng)該能夠通過獲取外部信息，來幫助其作出更加合理與有效的安全策略。

通常情況下，傳統(tǒng)防火墻定性為面向網(wǎng)絡(luò)層安全，而NGFW則是更加關(guān)注應(yīng)用層安全。通過對(duì)Gartner的NGFW定義進(jìn)行解讀后不難發(fā)現(xiàn)，其似乎更像是對(duì)當(dāng)時(shí)防火墻技術(shù)發(fā)展的一個(gè)階段性總結(jié)。NGFW發(fā)展現(xiàn)狀

在國(guó)外安全市場(chǎng)中，PaloAlto被認(rèn)為是最先將NGFW概念應(yīng)用于產(chǎn)品的安全廠商，其通過“App-ID”、“User-ID”和“Content-ID”來詮釋NGFW產(chǎn)品對(duì)于“應(yīng)用”、“用戶”和“內(nèi)容”三個(gè)方面的安全控制與可視化管理，成為了業(yè)界NGFW產(chǎn)品特性描述的經(jīng)典。

反觀我們身處其中的國(guó)內(nèi)市場(chǎng)，NGFW產(chǎn)品的情況卻顯得有些復(fù)雜。從2011年開始，國(guó)內(nèi)廠商陸續(xù)發(fā)布各自的下一代防火墻產(chǎn)品。有些廠商此前并無防火墻技術(shù)積累與市場(chǎng)基礎(chǔ)，但為了滿足自身發(fā)展需要，實(shí)現(xiàn)業(yè)務(wù)的快速擴(kuò)張，便開始向防火墻市場(chǎng)進(jìn)軍，作為“新人”往往需要用些心思來體現(xiàn)自己的與眾不同。因此，在市場(chǎng)策略方面，將NGFW作為市場(chǎng)切入點(diǎn)或許是這類廠商再合適不過的選擇。除此以外，該類產(chǎn)品雖然擁有NGFW對(duì)“用戶”、“應(yīng)用”和“內(nèi)容”進(jìn)行控制的相似功能，但由于底層缺乏一套強(qiáng)大的安全系統(tǒng)架構(gòu)支撐，對(duì)于一款NGFW產(chǎn)品而言在專業(yè)性方面明顯不足，從“里”到“外”更像是在傳統(tǒng)上網(wǎng)行為管理產(chǎn)品基礎(chǔ)上進(jìn)行的一個(gè)簡(jiǎn)單修改。也就是說，該類廠商所謂的NGFW產(chǎn)品實(shí)質(zhì)上只是“優(yōu)化后的ACM+WAF”，僅此而已！NGFW發(fā)展方向

從Gartner定義下一代防火墻到現(xiàn)在已有五年時(shí)間，隨著關(guān)于NGFW的各種討論持續(xù)升溫并且越發(fā)深入，使NGFW產(chǎn)品正在向著理性方向發(fā)展。真正的NGFW應(yīng)該具有如下幾個(gè)必要特征。

3.1 更精準(zhǔn)的應(yīng)用管控能力

下一代防火墻的應(yīng)用識(shí)別引擎不僅需要識(shí)別出底層的承載協(xié)議（例如標(biāo)準(zhǔn)的HTTP協(xié)議），還能進(jìn)一步區(qū)分出上層的精確應(yīng)用協(xié)議類型。除此以外，相比以往的安全網(wǎng)關(guān)類產(chǎn)品，下一代防火墻更應(yīng)該關(guān)注應(yīng)用的識(shí)別率，而非特征庫(kù)的規(guī)模。下一代防火墻對(duì)于主流網(wǎng)絡(luò)應(yīng)用的識(shí)別率應(yīng)至少達(dá)到90%以上，而對(duì)于加密應(yīng)用的識(shí)別率則需要達(dá)到更高標(biāo)準(zhǔn)，尤其是對(duì)帶寬資源占用較大的各種P2P加密流量，只有這樣，才能使我們的網(wǎng)絡(luò)帶寬資源真正得到有效控制。

3.2 更加關(guān)注未知威脅的識(shí)別與防御

下一代防火墻需要以深度、精細(xì)、高效的流量安全檢測(cè)技術(shù)為基礎(chǔ)，提供入侵防御、病毒防御、僵尸網(wǎng)絡(luò)阻斷、WEB安全防護(hù)、數(shù)據(jù)防泄漏等更為全面的應(yīng)用層威脅防御能力，才能有效阻止已知的各類安全威脅。

面對(duì)未知威脅，下一代防火墻當(dāng)然也需要提供相應(yīng)防御方案。沙箱技術(shù)目前被認(rèn)為是確定未知威脅最為有效的技術(shù)手段，而下一代防火墻借助沙箱技術(shù)能夠?yàn)榉烙粗{提供一套更為有效的解決方案。

3.3 全棧高性能安全處理

高性能尤其是應(yīng)用層高性能也是下一代防火墻必須要逾越的一道障礙。隨著硬件技術(shù)的飛速發(fā)展，多核硬件架構(gòu)逐漸在安全產(chǎn)品中得到廣泛應(yīng)用，主要包括X86多核與MIPS多核兩個(gè)陣營(yíng)。就多核技術(shù)的當(dāng)前現(xiàn)狀與發(fā)展趨勢(shì)看來，X86多核技術(shù)能夠?yàn)橄乱淮阑饓ν黄菩阅芷款i提供更加有力的硬件支撐。

3.4 由內(nèi)而外的風(fēng)險(xiǎn)可視化設(shè)計(jì)

隨著安全網(wǎng)關(guān)類產(chǎn)品與技術(shù)的不斷發(fā)展，在業(yè)務(wù)層面，不僅使網(wǎng)關(guān)類產(chǎn)品獲得了更全面的安全防護(hù)功能與更強(qiáng)大的數(shù)據(jù)處理能力，而管理層面的各種特性也正在成為越來越多廠商的眾矢之的。其中，通過對(duì)轉(zhuǎn)發(fā)的業(yè)務(wù)數(shù)據(jù)、檢測(cè)的安全威脅等網(wǎng)絡(luò)流量信息進(jìn)行監(jiān)控、統(tǒng)計(jì)和分析，并從用戶、應(yīng)用、內(nèi)容等多維度將網(wǎng)絡(luò)應(yīng)用及安全狀態(tài)為管理員提供全面的可視化圖表展現(xiàn)，從而使通過網(wǎng)絡(luò)傳播的安全風(fēng)險(xiǎn)得到有效掌控，這些，已經(jīng)成為網(wǎng)關(guān)產(chǎn)品的一個(gè)基礎(chǔ)特性。而作為下一代防火墻產(chǎn)品，除了關(guān)注通過網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)以外，還可以在事先對(duì)源自設(shè)備內(nèi)部的各種安全風(fēng)險(xiǎn)信息進(jìn)行有效識(shí)別。

第二篇：防火墻技術(shù)研究報(bào)告

防火墻技術(shù)研究報(bào)告

防火墻技術(shù)

摘要：隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非?；钴S的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢(shì)。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目錄

一、概述.....................................................................................................................................4

二、防火墻的基本概念.............................................................................................................4

三、防火墻的技術(shù)分類.............................................................................................................4

四、防火墻的基本功能.............................................................................................................5

（一）包過濾路由器.........................................................................................................5

（二）應(yīng)用層網(wǎng)關(guān).............................................................................................................6

（三）鏈路層網(wǎng)關(guān).............................................................................................................6

五、防火墻的安全構(gòu)建.............................................................................................................6

（一）基本準(zhǔn)則..............................................................................錯(cuò)誤！未定義書簽。

（二）安全策略.................................................................................................................6

（三）構(gòu)建費(fèi)用..............................................................................錯(cuò)誤！未定義書簽。

（四）高保障防火墻......................................................................錯(cuò)誤！未定義書簽。

六、防火墻的發(fā)展特點(diǎn).............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墻的發(fā)展特點(diǎn).............................................................................................................9 參考文獻(xiàn)...................................................................................................................................10

防火墻技術(shù)研究報(bào)告

一、概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，全球信息化已成為人類發(fā)展的大趨勢(shì)?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

二、防火墻的基本概念

防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實(shí)際上是一種隔離技術(shù)。

一個(gè)有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示，尤其對(duì)于重大的信息量通過時(shí)除進(jìn)行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解IP地址資源緊張的問題，同時(shí)，可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。

三、防火墻的技術(shù)分類

現(xiàn)有的防火墻主要有：包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機(jī)、主機(jī)過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ)，對(duì)IP源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行。

代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。

復(fù)合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新 的防火墻，由堡壘主機(jī)提供代理服務(wù)。

各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī)；主機(jī)過濾防火墻是指一個(gè)包過濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè)：包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

（一）包過濾路由器

包過濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許／拒絕的決定。具體地，它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。

與服務(wù)相關(guān)的過濾，是指基于特定的服務(wù)進(jìn)行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP／UDP端口，因此，阻塞所有進(jìn)入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標(biāo)端口的包丟棄即可。

獨(dú)立于服務(wù)的過濾，有些類型的攻擊是與服務(wù)無關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的，此時(shí)，需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過濾路由器更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問都是通過訪問

相應(yīng)的代理服務(wù)實(shí)現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)安全性的提高是以購(gòu)買相關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)，網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。

五、防火墻的安全構(gòu)建

在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則；整個(gè)企業(yè)網(wǎng)的安全策略；以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。

（一）基本準(zhǔn)則

可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法，它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然，該理念的不足在于過于強(qiáng)調(diào)安全而減弱了可用性，限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。

（三）構(gòu)建費(fèi)用

簡(jiǎn)單的包過濾防火墻所需費(fèi)用最少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。

至于采用自行構(gòu)造防火墻方式，雖然費(fèi)用低一些，但仍需要時(shí)間和經(jīng)費(fèi)開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。

六、防火墻的發(fā)展特點(diǎn)

（一）高速

從國(guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無法應(yīng)用。

應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。

上面提到，為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測(cè)對(duì)CPU消耗小)呢？說到底還是因?yàn)槭墁F(xiàn)有技術(shù)的限制。目前，還沒有有效的對(duì)應(yīng)用層進(jìn)行高速檢測(cè)的方法，也沒有哪款芯片能做到這一點(diǎn)。因此，對(duì)于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫(kù)需要頻繁升級(jí)，對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。

這里還要提到日志問題，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來越大，如此龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個(gè)字

符都需要一個(gè)字節(jié)，存儲(chǔ)量很大，對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫(kù)的存儲(chǔ)、加密和事后分析?？梢哉f，支持二進(jìn)制格式和日志數(shù)據(jù)庫(kù)，是未來防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。

（二）多功能化

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器;支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì)，國(guó)外90%的加密VPN都是通過防火墻實(shí)現(xiàn)的。

（三）安全

未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對(duì)抗過程中，防火墻的技術(shù)一定會(huì)不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。

七、防火墻的發(fā)展趨勢(shì)

近年來，計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。而隨著Internet的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全的要求也日益增高。越來越多的網(wǎng)站因?yàn)榘踩詥栴}而癱瘓，公司的機(jī)密信息不斷被竊取，政府機(jī)構(gòu)和組織不斷遭受著安全問題的威脅等等。

盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對(duì)安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。

計(jì)算機(jī)的安全問題正面臨著前所未有的挑戰(zhàn)。在這場(chǎng)網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠(yuǎn)沒有終點(diǎn)。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進(jìn) 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社

[2] 吳秀梅，傅嘉偉編著.防火墻技術(shù)及應(yīng)用教程.北京：清華大學(xué)出版社 [3] 張紅旗，王魯 等編著.信息安全技術(shù).高等教育出版社

[4] 張華貴，王海燕.計(jì)算機(jī)網(wǎng)絡(luò)在安全分析與對(duì)策

[5] 黃思育.淺議防火墻.達(dá)縣師范高等專科學(xué)校學(xué)報(bào)（自然科學(xué)版）

第三篇：實(shí)驗(yàn) 防火墻技術(shù)實(shí)驗(yàn)

實(shí)驗(yàn)九

防火墻技術(shù)實(shí)驗(yàn)

1、實(shí)驗(yàn)?zāi)康?/p>

防火墻是網(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個(gè)人防火墻和分布式防火墻三類。通過實(shí)驗(yàn)，使學(xué)生了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。

2、題目描述

根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測(cè)試相應(yīng)的防火墻的規(guī)則等。

3、實(shí)驗(yàn)要求

基本要求了解各種不同類型防火墻的特點(diǎn)，掌握個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。

4、相關(guān)知識(shí)

1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀(jì)的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進(jìn)入城堡的人都要經(jīng)過一個(gè)吊橋，吊橋的看守檢查每一個(gè)來往的行人。對(duì)于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(securitygateway),也就是一個(gè)電子吊橋，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。

防火墻也并不能防止內(nèi)部人員的蓄意破壞和對(duì)內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。

2)防火墻的分類前市場(chǎng)的防火墻產(chǎn)品主要分類如下：

（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。（2）從防火墻技術(shù)“包過濾型”和“應(yīng)用代理型”兩大類。

（3）從防火墻結(jié)構(gòu)單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個(gè)人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級(jí)防火墻和千兆級(jí)防火墻兩類。3）防火墻的基本規(guī)則

■一切未被允許的就是禁止的(No規(guī)則)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。

很多防火墻(例如SunScreenEFS、CiscoIOs、FW-1)以順序方式檢查信息包，當(dāng)防火墻接收到一個(gè)信息包時(shí)，它先與第一條規(guī)則相比較,然后是第二條、第三條??當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用那條規(guī)則。

4）防火墻自身的缺陷和不足

■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。

■無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對(duì)外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對(duì)來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP聯(lián)接進(jìn)入Internet。

■對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效。■Internet防火墻也不能完全防止傳送已感染病毒的軟件或文件。

■防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上，但一旦執(zhí)行就開始攻擊。例如，一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對(duì)系統(tǒng)的訪問權(quán)。

■不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動(dòng)式的防護(hù)手段，它只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。

5、實(shí)驗(yàn)設(shè)備

主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個(gè)人版。

6、實(shí)驗(yàn)步驟

1）從指導(dǎo)老師處得到天網(wǎng)防火墻個(gè)人版軟件。

2）天網(wǎng)防火墻個(gè)人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。

3）系統(tǒng)設(shè)置。在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。

天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如下。

防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：

如果確定，天網(wǎng)防火墻將會(huì)把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對(duì)安全規(guī)則的修改和加入的規(guī)則將會(huì)全部被清除掉。

防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個(gè)人版專門為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)?。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。

應(yīng)用程序權(quán)限設(shè)置：勾選了該選項(xiàng)之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對(duì)所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。（譬如在運(yùn)行某些游戲程序的時(shí)候）

局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會(huì)以這個(gè)地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時(shí)自動(dòng)保存日志，當(dāng)你退出防火墻的保護(hù)時(shí)，天網(wǎng)防火墻將會(huì)把當(dāng)日的日志記錄自動(dòng)保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當(dāng)日的日志記錄。

4）安全級(jí)別設(shè)置天網(wǎng)個(gè)人版防火墻的缺省安全級(jí)別分為低、中、高三個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)。了解安全級(jí)別的說明請(qǐng)查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級(jí)別。

然后點(diǎn)擊左邊的將打開自定義的IP規(guī)則。

從中可以看出，規(guī)則的先后順序?yàn)镮P規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點(diǎn)擊保存圖標(biāo)進(jìn)行保存，否則無效。

單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?/p>

5）修改規(guī)則雙擊該規(guī)則，或者點(diǎn)擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對(duì)各部分進(jìn)行修改。

（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。

（3）“對(duì)方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點(diǎn)說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個(gè)地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個(gè)網(wǎng)絡(luò)和掩碼。

（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對(duì)應(yīng)的協(xié)議，其中：

■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對(duì)方地址：任何地址；動(dòng)作：繼續(xù)下一規(guī)則”。

■‘TCP’協(xié)議要填入本機(jī)的端口范圍和對(duì)方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標(biāo)志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標(biāo)志，那么將不會(huì)對(duì)標(biāo)志作檢查。

■‘ICMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則?！觥甀GMP’不用填寫內(nèi)容。

（5）當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，你就可以對(duì)該數(shù)據(jù)包采取行動(dòng)了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去?！鰯r截’指讓該數(shù)據(jù)包無法進(jìn)入你的機(jī)器

■繼續(xù)下一規(guī)則’指不對(duì)該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對(duì)該包的處理。（6）在執(zhí)行這些規(guī)則的同時(shí)，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來“警告”，或發(fā)出聲音提示。

6）新增規(guī)則點(diǎn)擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許

訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點(diǎn)擊“確定”，并點(diǎn)擊工具條的保存按鈕。

7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個(gè)人版增加對(duì)應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個(gè)人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會(huì)被天網(wǎng)防火墻個(gè)人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時(shí)可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運(yùn)行”，那么天網(wǎng)防火墻個(gè)人版在以后會(huì)繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運(yùn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。

8）高級(jí)應(yīng)用程序規(guī)則設(shè)置單擊

可以打開詳細(xì)的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對(duì)應(yīng)每一條應(yīng)用程序規(guī)則都有幾個(gè)按鈕

點(diǎn)擊“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級(jí)設(shè)置頁(yè)面。

“該應(yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動(dòng)作。其中：是指此應(yīng)用程序進(jìn)程可以向外發(fā)出連接請(qǐng)求，通常是用于各種客戶端軟件。則是指此程序可以在本機(jī)打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。

9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進(jìn)行測(cè)試。

需求1：ICMP規(guī)則允許ping進(jìn)來，其它禁止，TCP規(guī)則允許訪問本機(jī)的WWW服務(wù)和主動(dòng)模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機(jī)，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進(jìn)出UDP報(bào)文禁止。

7、實(shí)驗(yàn)思考

1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認(rèn)為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對(duì)的安全？攻擊防火墻系統(tǒng)的手段有哪些？

第四篇：防火墻技術(shù)論文

【摘要】

21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補(bǔ)了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，與此同時(shí)也給人們帶來了一個(gè)日益嚴(yán)峻的問題———網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一，而且網(wǎng)絡(luò)安全防范對(duì)我們校園網(wǎng)的正常運(yùn)行來講也顯得十分重要?，F(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn)，內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡(jiǎn)單，也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對(duì)此還并不是了解的十分透徹。

本文在簡(jiǎn)要論述防火墻的基本分類、工作方式等的基礎(chǔ)上，對(duì)防火墻的優(yōu)缺點(diǎn)以及局限性進(jìn)行了說明，也簡(jiǎn)述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對(duì)其的發(fā)展趨勢(shì)作簡(jiǎn)單展望。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國(guó)防部以及大型機(jī)房等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個(gè)意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，顧名思義，是一種隔離設(shè)備。防火墻是一種高級(jí)訪問控制設(shè)備，臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一

通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講，防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計(jì)算機(jī)與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)數(shù)據(jù)異常或有害，防火墻就會(huì)將數(shù)據(jù)攔截，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)。防火墻是網(wǎng)絡(luò)安全策略的組成部分，它只是一個(gè)保護(hù)裝臵，通過監(jiān)測(cè)和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，其主要目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫(kù)訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

■ 提供基于狀態(tài)檢測(cè)技術(shù)的ip地址、端口、用戶和時(shí)間的管理控制； ■ 訪問控制對(duì)象的多種定義方式支持多種方式定義訪問控制對(duì)象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級(jí)細(xì)粒度應(yīng)用層管理控制；應(yīng)用層安全控制策略主要針對(duì)常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp，控制策略可以實(shí)現(xiàn)定義訪問源對(duì)象到目標(biāo)對(duì)象間的常用協(xié)議命令通過防火墻的權(quán)限，源對(duì)象可以是網(wǎng)段、主機(jī)。http和ftp的協(xié)議端口用戶可根據(jù)實(shí)際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實(shí)現(xiàn)了url和文件級(jí)的訪問控制。

■ 雙向nat，提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射，實(shí)現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)：nat在ip層上通過地址轉(zhuǎn)換提供ip復(fù)用功能，解決ip地址不足的問題，同時(shí)隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu)，強(qiáng)化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對(duì)外訪問時(shí)，防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己，并將結(jié)果透明地返回用戶，相當(dāng)于一個(gè)ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換，可以針對(duì)具體的通信事件進(jìn)行地址轉(zhuǎn)換。internet用戶訪問對(duì)內(nèi)部網(wǎng)絡(luò)中具有保留ip主機(jī)的訪問，可以利用反向nat實(shí)現(xiàn)，即為內(nèi)部網(wǎng)絡(luò)主機(jī)在防火墻上映射一注冊(cè)ip地址，這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機(jī)了。映射類型可以為ip級(jí)和端口級(jí)。端口映射

■阻止activex、java、javascript等侵入：屬于http內(nèi)容過濾，防火墻能夠從http頁(yè)面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測(cè)出危險(xiǎn)的代碼，同時(shí)，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警功能：網(wǎng)絡(luò)衛(wèi)士防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)行為時(shí)，防火墻提供告警等功能。

■ 可擴(kuò)展支持第三方ids入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)協(xié)同工作：網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實(shí)現(xiàn)無縫集成，協(xié)同工作。

（3）用戶認(rèn)證

因?yàn)槠髽I(yè)網(wǎng)絡(luò)為本地用戶、移動(dòng)用戶和各種遠(yuǎn)程用戶提供信息資源，所以為了保護(hù)網(wǎng)絡(luò)和信息安全，必須對(duì)訪問連接用戶采用有效的權(quán)限控制和身份識(shí)別，以確保系統(tǒng)安全。

■ 提供高安全強(qiáng)度的一次性口令(otp)用戶認(rèn)證：一次性口令認(rèn)證機(jī)制是高強(qiáng)度的認(rèn)證機(jī)制，能極大地提高了訪問控制的安全性，有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認(rèn)證的基本過程是：首先用戶向防火墻發(fā)送身份認(rèn)證請(qǐng)求，并指明自己的用戶名，防火墻收到請(qǐng)求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結(jié)合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性，為防止口令猜測(cè)，如果用戶連續(xù)三次認(rèn)證失敗則在一定時(shí)間內(nèi)禁止該用戶認(rèn)證。由于采用一次性的口令認(rèn)證機(jī)制，即使竊聽者在網(wǎng)絡(luò)上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個(gè)口令進(jìn)行認(rèn)證鑒別。在實(shí)際應(yīng)用中，用戶采用一次性口令登錄程序登陸時(shí)，防火墻向用戶提供一個(gè)種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計(jì)算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同，每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌?，用戶可以定期改變種子來達(dá)到更高的安全目標(biāo).■ 可擴(kuò)展支持第三方認(rèn)證和支持智能ic卡、ikey等硬件方式認(rèn)證：網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴(kuò)展性，可擴(kuò)展支持radius等認(rèn)證，提供撥號(hào)用戶等安全訪問。也可通過擴(kuò)展支持支持職能ic卡、ikey等硬件方式認(rèn)證。

（4）安全管理

■ 提供基于otp機(jī)制的管理員認(rèn)證。

■ 提供分權(quán)管理安全機(jī)制；提供管理員和審計(jì)員分權(quán)管理的安全機(jī)制，保證安全產(chǎn)品的安全管理。

過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠(yuǎn)程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

■ 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。

另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會(huì)很明顯。

（3）從防火墻結(jié)構(gòu)上分類

從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

0

信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

1.4 各類防火墻的優(yōu)缺點(diǎn)

（1）包過濾防火墻

使用包過濾防火墻的優(yōu)點(diǎn)包括：

■ 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。

■ 每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

■ 防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個(gè)特征。

使用包過濾防火墻的缺點(diǎn)包括：

■ 配臵困難。因?yàn)榘^濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場(chǎng)上，許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，Web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。

■ 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個(gè)并不是

213

也不要忘記了防火墻內(nèi)的安全保障。

其次，防火墻技術(shù)的另外一個(gè)顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時(shí)，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時(shí)都有受到病毒危害的可能，防火墻技術(shù)的這個(gè)缺點(diǎn)給網(wǎng)絡(luò)帶來很大的隱患。

另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個(gè)獨(dú)立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫(kù)內(nèi)來實(shí)現(xiàn)查殺。防火墻的防御、檢測(cè)策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測(cè)機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過它的數(shù)據(jù)包，所以當(dāng)數(shù)據(jù)流量較大時(shí)，容易導(dǎo)致數(shù)據(jù)擁塞，影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí)，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發(fā)展趨勢(shì)

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實(shí)現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能，入侵檢測(cè)、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強(qiáng)內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識(shí)，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息

51617

第五篇：防火墻技術(shù)報(bào)告

《網(wǎng)絡(luò)與信息安全技術(shù)》

防火墻技術(shù)淺談

班 級(jí)：

11計(jì)算機(jī)科學(xué)與技術(shù)3班

學(xué) 號(hào)：

2011404010306

姓 名： 王 志 成 分 數(shù)：

2013年12月12日

防火墻技術(shù)淺談

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，全球上網(wǎng)的人數(shù)在不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨之不斷擴(kuò)大。然而，因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來了極大方便的同時(shí)，因特網(wǎng)本身也正遭遇著前所未有的威脅。所以，網(wǎng)絡(luò)的安全問題也越來越成為人們現(xiàn)在考慮的十分重視的問題。

本文主要介紹討論了防火墻的定義、特點(diǎn)、基本功能，數(shù)據(jù)包頭分析后與過濾規(guī)則的匹配、對(duì)數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫(kù)的存儲(chǔ)。關(guān)鍵詞：防火墻技術(shù) 數(shù)據(jù)包過濾 數(shù)據(jù)庫(kù)

引言

網(wǎng)絡(luò)的安全問題正越來越成為人們現(xiàn)在十分重視的問題。如何使用有效、可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)已越來越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估也是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一 種技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)的安全等級(jí)；其中，對(duì)網(wǎng)絡(luò)安全的威脅表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以及對(duì)風(fēng)險(xiǎn)的防范，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。

1.防火墻概述

1.1防火墻的定義

所謂“防火墻”，是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行說控制策略的一個(gè)或一組系統(tǒng)，包括硬伯和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。它是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的

封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

（2）防火墻的基本功能

? 防火墻能夠強(qiáng)化安全策略

因?yàn)橐蛱鼐W(wǎng)上每天都有上百萬人瀏覽信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過。? 防火墻能有效地記錄因特網(wǎng)上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻記錄著被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行的所有事件。

? 防火墻限制暴露用戶點(diǎn)

防火墻駒用來隔開網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，就能夠有效控制影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。

? 防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻，防火墻便成為一個(gè)安全檢查點(diǎn)，使可疑的訪問被拒絕于門外。

1.3.防火墻的體系結(jié)構(gòu)

目前，防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過濾體系結(jié)構(gòu)和子網(wǎng)過濾體系結(jié)構(gòu)。

（1）雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻

分布式防火墻的優(yōu)勢(shì)：

（1）增強(qiáng)了系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略。

（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

（3）系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。（4）實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。（5）應(yīng)用更為廣泛，支持VPN通信。

3.數(shù)據(jù)包過濾處理原理分析

防火墻技術(shù)其實(shí)是基于對(duì)工作在網(wǎng)絡(luò)層中的數(shù)據(jù)包的過濾，數(shù)據(jù)包的過濾原理要遵揗一些過濾規(guī)則：（1）過濾規(guī)則

本系統(tǒng)采用的默認(rèn)過濾規(guī)則是：默認(rèn)接收所有的進(jìn)入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進(jìn)出包。當(dāng)要有選擇地接收數(shù)據(jù)包時(shí)，本地的過濾規(guī)則需要進(jìn)行相應(yīng)的設(shè)置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內(nèi)的一主機(jī)的IP地址)的主機(jī)與本地主機(jī)通信，在用戶相應(yīng)的選項(xiàng)卡中，填上這一I地址就是表示拒絕此IP地址主機(jī)向本機(jī)發(fā)出的所有數(shù)據(jù)包，這就是數(shù)據(jù)包的IP 過濾功能。

當(dāng)然也要實(shí)現(xiàn)端口的過濾功能。比如:想禁止某一服務(wù)的業(yè)務(wù)功能，就可以在相應(yīng)的IP 號(hào)下同時(shí)設(shè)置端口號(hào)，就是表示對(duì)任一用戶的這一服務(wù)被禁止。其實(shí)，這只能對(duì)某一些常用的端口號(hào)進(jìn)行過濾，如：對(duì)HTTP(端口80)進(jìn)行過濾，就是禁止外部用戶通過防火墻訪問內(nèi)部HTTP 服務(wù)器；對(duì)FTP(端口20，21)進(jìn)行過濾，就是禁止外部主機(jī)通過防火墻訪問內(nèi)部FTP服務(wù)器。

數(shù)據(jù)處理模塊用到的過濾規(guī)則將在用戶界面中直接對(duì)規(guī)則數(shù)據(jù)庫(kù)操作進(jìn)而來設(shè)置要過濾的規(guī)則，而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫(kù)中直接調(diào)用。因此，過濾規(guī)則是在數(shù)據(jù)庫(kù)中定義，由用戶在數(shù)據(jù)庫(kù)操作界面上輸入的，供底層應(yīng)用程序調(diào)用。

外部命令，在C語言中可以用execlp()這一函數(shù)來執(zhí)行外部命令。（4）存入日志數(shù)據(jù)庫(kù)

對(duì)數(shù)據(jù)包頭分析處理后，可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數(shù)據(jù)庫(kù)的連接與上文所說的一樣，因此，此處存入的是被拒絕的數(shù)據(jù)包頭信息。

5.結(jié)束語

防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源的主要手段。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對(duì)來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。

參考文獻(xiàn)：

1）袁津生 吳硯農(nóng) 《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》 北京：人民郵電出版社 2013 2）黎連業(yè)，張維，防火墻及其應(yīng)用技術(shù)，清華大學(xué)出版社.2004 3）程代偉，網(wǎng)絡(luò)安全完全手冊(cè)，電子工業(yè)出版社.2006 4）李濤，網(wǎng)絡(luò)安全概論，電子工業(yè)出版社.2004