概述防火墙发展

摘要：全面介绍了防火墙的发展历程，详细剖析了各代防火墙的功能原理、关键技术及特点，同时简要描述了防火墙技术的发展趋势。

关键词：防火墙；包过滤；电路层防火墙；应用层防火墙；状态检测防火墙；自适应

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-657-02

Summarization for the Development of the Firewall

WU Xiao-ying

(Henan Science and Technology Institute,Information Engineering Department,Xinxiang 453003,China)

Abstract:A comprehensive account of the development process of firewall,a detailed analysis of the various principles and firewall functions,key technologies and features,a brief description of the firewall technology trend of development.

Key words:Firewall;Packet Filter;Circuit Level Firewall Application Level Firewall;Stateful Inspection Firewall;Adaptive Proxy

1 前言

防火墙在内外网络间形成一道安全屏障，是具体实施访问控制策略的系统，用来强化网络安全策略，加强网络间访问控制，对网络存取和访问进行监控审计，防止外部网络用户非法访问内部资源，防止各种信息的泄漏，阻止向外非法传递信息及破坏内部网络等。防火墙本身具有高可靠性，不受外部攻击影响。要有效保障安全，必须保证内外通信确实通过防火墙，只允许内部访问策略授权的通信通过。另外防火墙要具有易用性好，即使用界面友好，交互性强等特点。

防火墙已经出现多年，大体可分为四代：包过滤防火墙、电路层防火墙、应用层防火墙（防火墙）、复合型防火墙。

2 防火墙发展介绍

2.1 包过滤防火墙

包过滤技术几乎与路由器同时出现，是第一代防火墙技术。它从Cisco的IOD软件中分离出来，出现在1985年。美国数字设备公司的工程师JeffMogul，在1988年发表了第一篇介绍包过滤技术的论文[1]。包过滤防火墙就是应用包过滤技术的防火墙，它有一个包检查模块，检查通过网络的信息包的IP源和目标地址、ICMP消息类型、TCP报头中的ACK比特、端口号以及应用协议类型，按照系统管理员给定的过滤规则进行过滤，审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤遵循的一条基本原则是“最小特权原则”，只允许管理员授权信息通过，拒绝非授权信息通过。

包过滤防火墙分静态和动态两类。静态包过滤遇到动态端口协议时会发生困难，防火墙事先无法知道哪些端口需要打开，如果采用原始的静态包过滤，将所有可能用到的端口大范围的打开，会给安全带来很大隐患。动态包过滤可解决这个问题，它先检查应用程序信息，判断是否临时打开端口，传输结束，马上关闭。[4]动态包过滤防火墙动态设置过滤规则，跟踪每个通过防火墙的连接，根据需要动态地增加或更改过滤规则条目，可区分新旧连接的不同。动态包过滤防火墙主要工作在网络层，与静态包过滤防火墙不同的是，部分工作在传输层。

过滤路由器防火墙的优点是：费用低，速度快，对用户和应用是透明的，减少暴露风险，不增加设备也可做路由器数据包过滤。缺点是：维护困难，过滤规则定义复杂， 任何经路由器的数据包有数据驱动式攻击的潜在危险，不能对网络信息进行全面控制，不能控制动态分配端口的服务；不提供日志和用户身份认证功能，不能全面避免IP欺骗（只阻止一种IP欺骗，外部主机伪装内部主机的IP）等[2-3]。

包过滤防火墙可安装在双宿网关、路由器、服务器等上面，应用于非集中化管理，无强大的集中安全策略的机构，没使用DHCP动态IP分配协议，网络主机数少的场合。[2-3]市场上有Cisco公司的PIX防火墙，下面是一具体包过滤防火墙的访问控制规则[4]:

1)允许网络123.1.0.18使用FTP(21口)访问主机120.0.0.1;

2)允许IP地址为202.103.1.15，202.103.1.16和202.103.1.17的用户Telnet (23口)到主机120.0.0.3上；

3)允许任何地址的邮件(smtp25口)进入主机120.0.0.5;

4)允许任何HTTP协议数据(80口)通过;

5)不允许其他数据包进入。

2.2 电路层防火墙

l989至l990年间，美国电报公司贝尔实验室的Dave Presotto和HowardTrickey首先提出了第二代防火墙：电路层防火墙(Circuit Level Firewall)。 [1] 电路层防火墙是使用电路层网关技术的防火墙。电路层防火墙实施访问策略在网络的传输层上，不允许内部端点与外部端点直接进行TCP连接，一个虚拟回电路建立在内、外网络主机间，进行通信，转发数据包，不能严密控制应用层信息；具有证实握手的功能，对建立连接的序列号检查合法性。它有两个TCP连接，一个内部连接，在防火墙和内部主机间；另一个外部连接，在防火墙和外部主机间（如图1）。当向外连接时，网络管理员信任内部用户，防火墙接受来自外部网络的连接后，不再检查连接的TCP数据段内容，直接转送到内部连接。

■

图1 电路层网关

电路层防火墙有其自身的特点，优点是改进客户程序，可对不同协议进行服务，通透性好，在电路层网关器上可增加很多功能，可塑性相当高。同时也存在不足之处：它只支持建立在TCP协议之上的客户服务。对用户不透明。而且它没有改进底层协议的安全性，工作在会话层。

防火墙可应用在堡垒主机上，设置成混合网关，对内连接，支持应用层或服务，像一个过滤路由器；对外连接，支持电路层功能，像一个，方便内部用户访问Internet，同时保护内部网络免受外部攻击。目前SOCKS是比较强大的电路层防火墙。[5，10]

2.3 应用层防火墙

美国电报公司贝尔实验室的Bi11 Cheswick和MarcuSRanum，在l990年至l991年间，第一次描述了第三代防火墙：应用层防火墙(APPliCatiOnLayer Firewal1)。随后．以壁垒主机的形式，Marcus的应用层防火墙实现了服务的功能。以此为基础，美国数字设备公司开发了第一台商业产品SEAL防火墙。[1] 应用层防火墙也叫防火墙，应用（Proxy）技术参与每一个TCP连接全过程，一个程序针对一个特定应用，工作在应用层上。当内部用户请求访问外部站点，防火墙检查请求是否符合规定，如果规则允许用户访问该站点的话，将连接请求用特定的安全化的Proxy应用程序处理，再传递到真实的服务器上，代替客户访问站点，接受服务器应答，又处理答复，再交给发出请求的最终客户。当外部网通过防火墙访问内部网，内部网只接受提出的服务请求，拒绝外部网络其他节点的直接请求，答复也由服务器转交。 [5-7]