浅谈网络安全与防火墙技术

摘 要：从信息安全的角度出发，阐述了网络安全的重要性，并从防火墙的基本类型着手，论述了防火墙部署原则，又从防火墙部署的位置详细阐述了防火墙的选择标准。

关键词：网络安全；防火墙；技术

一、概述

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，中国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。

防火墙处于五层网络安全体系中的最底层，属于网络层安全技术范畴。在这一层上，对安全系统提出的问题是：所有的IP是否都能访问到的内部网络系统？如果答案是“是”，则说明内部网还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

二、防火墙的基本类型

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换DNAT、型和监测型。

1.包过滤型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

2.网络地址转化DNAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

3.型。型防火墙也可以被称为服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，服务器相当于一台真正的服务器；而从服务器来看，服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给服务器，服务器再根据这一请求向服务器索取数据，然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络系统。

4.监测型。监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

三、防火墙的选择

选择防火墙的标准有很多，根据实际情况选择也不完全相同，但最重要的是以下几条：

1.总拥有成本。防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。

2.防火墙本身是安全的。作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

3.管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到，在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

4.可扩充性。在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大了产品覆盖面。

5.防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

参考文献

[1]陈伟.宽带网络技术原理与应用[M].武汉：科学技术出版社，2006.

[2]计算机网络：第3版[M].熊桂喜，王小虎，译.北京：清华大学出版社，2000.

[3]Roger B Marks.The IEEE 802.16 Working Group on Broadband Wireless[EB/OL].

[4]ARTZ.D..The Eternity Service，Proc.FirstInt’l Conf.On Theory and Appl.ofCryp-tology，CTU Publishhing House，1996.

[5]BROWN，S.：Implementing Virtual Private Networks，New York：McGraw-Hill，1999.