计算机防火墙的体系配置与选择实施技术

摘要：计算机已经渗透到日常生活的各个层面，防火墙的建立、使用和维护日益重要，本文分析了计算机防火墙的体系结构和实施技术，并提出了不同用户的选择实施方案建议。

关键词：防火墙技术；体系配置；选择实施

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)15-20ppp-0c

Deploy and Implementation of Computer Firewall System

ZHOU Li

(Yunnan Jinma Machinery General Factory,Kunming 650102,China)

Abstract:Internet security is not only related to the further development of the Internet and popularity even linked to the Internet to puter security are many factors to establish an absolute security of information systems,how to build better security defenses,ensure the transmission of information security,the firewall has become the computer technology to examine the important issues of the world.This article analyzed not only the history of the firewall but also how to built up a strong firewall in the future.

Key words:Firewall technology;System structure; Choice implementation

随着计算机网络技术的不断发展和完善，计算机网络的应用已经渗透到人们日常生活的各个方面，对社会各个领域的发展产生了重要影响。我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理。然而，由于计算机网络在设计之初只考虑了它的开放性、共享性而忽略了它的安全性，构成计算机网络的许多要素从网络操作系统到网络传输协议 TCP/IP 以及各种网络服务软件都存在着设计缺陷或者系统漏洞，使得一些重要的计算机网络系统极易成为黑客恶意攻击的目标。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最核心、最有效的手段之一。

1 防火墙的体系结构

防火墙系统通常是由过滤路由器和服务器组成。对于一个典型的防火墙的体系结构来说，它包括屏蔽路由器、双宿主主机、被屏蔽主机，被屏蔽子网等类型。

1.1 屏蔽路由器

这是防火墙最基本的构件，它可以由厂家专门生产的路由器实现，也可以由主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装有基于IP层的报文过滤软件，实现报文过滤功能。它的缺点是一旦被攻陷之后很难发现，而且不能识别不同的户。

1.2 双宿主主机

双宿主主机结构是一台至少装有两块网卡或者说至少具有两个网络接口的堡垒主机构成的。其中的两块网卡分别和内网和外网相连，而防火墙的功能则是用堡垒主机运行的防火墙软件来实现。采用双宿主主机结构时，允许内网和外网与双宿主主机进行连接，但是不允许内网和外网直接通信。双宿主主机将在内网和外网的信息完全切断了，从而保护了内部网络。这种结构的优点是它可以利用堡垒主机中记录下的各种日志，可以便于日后检查。但是由于只有堡垒主机这一道屏障，一旦被攻破，那么防火墙就不会再起作用，整个内网完全暴露了出来。所以为了保护内网，双宿主主机要禁止网络层的路由功能，加强身份认证系统，尽量减少在堡垒主机上的用户的帐户数目。

1.3 屏蔽主机网关

屏蔽主机网关是由过滤路由器和应用网关组成的。这种结构使用了一台过滤路由器，它提供来自仅仅与内部网络相连的主机的服务，也即强迫所有到达路由器的数据包被发送到被屏蔽主机。对于这种结构来说，堡垒主机是配置在内部网络上的，而在内网和外网之间放有包过滤路由器。并且在路由器上设定好规则，使从外网来的数据必须要经过堡垒主机，而去往其它主机上的信息被阻塞了。在这种体系结构中，主要的安全是由数据包过滤提供的，而数据包过滤的设置必须要保证堡垒主机是内网和外网之间的唯一通道。同双宿主主机结构一样，堡垒主机也是至关重要的地方。此时它提供了众多的网络服务，例如：邮件服务器、新闻服务器、DNS 服务器，打印服务器或文件服务等等，因此它的安全配置重要到直接决定了整个内网的安全。

1.4 被屏蔽子网

在屏蔽主机网关的结构中，我们可以看到堡垒主机是受到攻击的主要部分，而且也使得内网的安全完全依靠于堡垒主机。那么如果在屏蔽主机网关的结构中多用上一台路由器，而这台路由器的意义主要在于构建一个安全子网在内网和外网之间。如果入侵者想攻入内网的话，那么他就必须在攻破堡垒主机之后，还要面对内部路由器，大大提高了安全性。这种结构就是当然具体建造防火墙时，为了解决安全问题，通常进行多种组合以便发挥更大的作用。

2 防火墙的安全防护措施及选择和实施

2.1 防火墙的安全防护措施

防火墙攻击可以分为三部：防火墙探测、绕过防火墙的攻击和破坏性攻击。在防火墙探测攻击中，一旦攻击者标识出目标网络的防火墙，就能确定它们的部分脆弱点。对于这一类攻击，可以通过设置防火墙过滤规则把出去的ICMP 数据包过滤掉，或者可以在数据包进入防火墙时，检查IP数据包的TTL值。如果为1或者0则丢弃，且不发出任何ICMP数据包来达到防止这种探测的目的。绕过防火墙攻击通常是利用地址欺骗、TCP序列号等手段绕过防火墙的认证机制。可以在配置防火墙时过滤掉那些进来数据包的源地址是内部地址的数据包来达到防范IP欺骗攻击；对源路由攻击所采取的防御方法就是简单丢弃所有包含源路由选项的数据包；对于分片攻击目前可行的解决方案是在分片进入内部网络之前防火墙对其进行重组，但是这增加了防火墙的负担，也影响防火墙传发数据包的效率；木马攻击是比较常用的攻击手段，最好的防范就是避免木马的安装以及在系统上安装木马检测工具。

2.2 防火墙的选择和实施

2.2.1 选择

首先是明确目的。想要如何操作这个系统，亦即只允许想要的工作通过，比如某企业只需要电子邮件服务，则该企业将防火墙设置为只允许电子邮件服务通过，而禁止FTP．WWW等服务；还是允许多种业务通过防火墙，但要设置相应的监测、计量、注册和稽核等。其次是想要达到什么级别的监测和控制。根据网络用户的实际需要，建立相应的风险级别，随之便可形成一个需要监测、允许、禁止的清单，再根据清单的要求来设置防火墙的各项功能。

第三是费用问题。安全性越高，实现越复杂，费用也相应的越高，反之费用较低，这就需要对网络中需保护的信息和数据进行详细的经济性评估。一般网络安全防护系统的造价占需保护的资源价值的1%左右。所以在装配防火墙时，费用与安全性的折衷是不可避免的，这也就决定了“绝对安全”的防火墙是不存在的。可以在现有经济条件下尽可能科学的配置各种防御措施，使防火墙充分地发挥作用。

2.2.2 防火墙的实施技术

2.2.2.1 网络地址转换技术(NAT)

NAT现在已成为防火墙的主要技术之一。通过此项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作用。NAT又分“SNAT(SourceNAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非法用户对内部主机的攻击更加困难。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信，这样就有效地保护了内部主机的信息安全。

2.2.2.2 加密技术

加密技术分为两类:即对称加密和非对称加密。在对称加密技术中，对信息的加密和解密都使用相同的钥匙，这种加密方法可简化加密处理过程。在非对称加密体系中，密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密。现在许多种类的防火墙产品都采用了加密技术来保证信息的安全。

2.2.2.3 多级的过滤技术

防火墙采用分组、应用网关和电路网关的三级过滤措施来实现其功能。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级，能利用SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的执行严格控制。

3 结束语

在互联网高速发展的时代，人们在享受众多快捷信息的同时，网络安全问题也变的日趋重要。防火墙作为维护网络安全的第一道防线，被认为是威力最大、效果最好的有利保护措施，已成为保障计算机网络安全不可缺少的必备工具，并得到了广泛的应用，但是我们也不能过分依赖防火墙，防火墙不是万能的，网络的安全是一个整体，并不是有某一样特别出色的配置，所以我们要合理的应用防火墙，使它发挥最大的功效，为我们提供更安全的保障。

参考文献：

[1]周明全,吕林涛,李军怀.网络信息安全技术.西安电子科技大学出版社,2005年12月,P143-150.

[2]朱鹏.基于状态包过滤的防火墙技术.微计算机工程,2005年3月, P197-199.

[3]吴功宜.计算机网络.清华大学出版社,2005年9月,P386-392.

[4]胡道元,闵京华.网络安全.清华大学出版社,2005年9月,P145-167.

[5](美)Anne Carasik-Henmi,等.李华飚,柳振良,王恒,等.防火墙核心技术精解.中国水利水电出版社,2005年12月,P256-277.

[6]王代潮.曾能超防火墙技术的演变及其发展趋势分析,信息安全与通信保密,2005年7月.

收稿日期：2008-02-02

作者简介：周立（1971-），男，云南昆明人，研究方向：机械加工，管理方面及计算机开发应用工作。