防火墙技术浅谈

随着全球互联网的迅猛发展，越来越多的人亲身体会到信息化给人们带来的实实在在的便利和实惠。信息化带动了工业化，并由此带动全球经济以前所未有的惊人的速度向前发展。然而任何事情都有两面性，信息化也是如此，它在给经济带来新高、给人们带来实惠的同时，也由此产生了新的威胁。特别应用在与通信或者商务服务的internet相连接的网络中。网络安全性中，近来最重要的一个发展就是，防火墙已经成为一个重要角色。由于黑客与的公开攻击、病毒和其他入侵软件的蔓延，防火墙已经成为一个基本安全工具。防火墙现在实质上已不是每个网络以及许多pc机上可有可无的部分，而是不可或缺的一部分。

一、防火墙概述

防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。如果缺省策略是接受，那么没有显式拒绝的数据包可以通过防火墙；如果缺省策略是拒绝，那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。

防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络问不受欢迎的信息交换，而允许那些可接受的通信。从逻辑上讲，防火墙是分离器、限制器、分析器；从物理上讲，防火墙由一组硬件设备（路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合）和适当的软件组成。

二、防火墙的基本类型

防火墙的基本类型包括包过滤、网络地址转化—NAT、应用和状态检测。

1.包过滤

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

2.网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3.应用

应用完全接管了用户与服务器的访问，把用户主机与服务器之间的数据包的交换通道给隔离起来。应用不允许外部主机连接到内部的网络，只允许内部主机使用服务器访问Internet主机，同时只有被认为””可信任的””服务器才可以允许通过应用。在实际的应用中，应用的功能是由服务器来完成的。型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4.状态检测

防火墙技术是网络安全领域应用较普遍的一种技术，传统上防火墙基本分为两大类，即包过滤防火墙和应用网关防火墙，这两种防火墙由于其受限的地方，逐渐不能适应当前的需求，因此新一代的防火墙Stateful-inspection防火墙应运而生，这种防火墙既继承了传统防火墙的优点，又克服了传统防火墙的缺点，是一种革新式的防火墙。

Stateful-inspection防火墙是新一代的防火墙技术，由Check Point公司引入。它监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。和应用网关不同，Stateful-inspection防火墙使用用户定义的过滤规则，不依赖预先的应用信息，执行效率比应用网关高，而且它不识别特定的应用信息，因此不用对不同的应用信息制定不同的应用规则，伸缩性好

三、防火墙的发展趋势

1.新需求引发的技术走向

防火墙技术的发展离不开社会需求的变化，着眼未来，防火墙技术有的新需求如下：远程办公的增长：企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

2.黑客攻击引发的技术走向

防火墙作为内网的贴身保镖。黑客攻击的特点也决定了防火墙的技术走向。数据包的深度检测：IT业界权威机构Gagner认为不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为。包检测的技术方案需要增加签名检测等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。协同性：从黑客攻击事件分析，对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。目前主要支持和IDS的联动和认证服务器进行联动。

现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大，所以对网络安全的需求对防火墙提出了更高的要求，在防火墙目前还不算长的生命周期中，虽然问题不断，但是防火墙也从具有普通的过滤功能，逐步丰富了自身的功能，担当了更重的任务。未来，防火墙将成为网络安全技术中不可缺少的一部分。