防火墻技術(shù)及其體系結(jié)構(gòu)研究

　　摘要： 本文首先指出了計算機網(wǎng)絡(luò)發(fā)展過程中的安全問題，然后給出了網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，同時分析了實現(xiàn)防火墻的幾種主要技術(shù)，并討論了構(gòu)筑、配置防火墻的幾種基本的體系結(jié)構(gòu)。
　　
　　關(guān)鍵詞：防火墻 體系結(jié)構(gòu) 網(wǎng)絡(luò)安全 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)
　　
　　1概述
　　
　　隨著計算機網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的
　　
　　開放性、共享性、互連程度也隨著擴大。政府上網(wǎng)工程的啟動和實施，電子商務(wù)（electronic commerce）、電子貨幣（electronic currency）、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展，使得網(wǎng)絡(luò)安全問題顯得日益重要和突出。防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計算機網(wǎng)絡(luò)安全的技術(shù)性措施。
　　
　　防火墻實際上是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，
　　
　　阻止對信息資源的非法訪問， 也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。換言之，防火墻是一道門檻， 控制進(jìn)出兩個方向的通信。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信， 以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。
　　
　　防火墻不是一個單獨的計算機程序或設(shè)備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換，而允許那些可接受的通信。
　　
　　2防火墻技術(shù)
　　
　　網(wǎng)絡(luò)防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性：
　　
　　1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；
　　
　　2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻；
　　
　　3、防火墻本身不受各種攻擊的影響；
　　
　　4、使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)等；
　　
　　5、人機界面良好，用戶配置使用方便，易管理。
　　
　　實現(xiàn)防火墻的主要技術(shù)有： 數(shù)據(jù)包過濾， 應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。
　　
　　2.1 包過濾技術(shù)
　　
　　包過濾（Packet Filter）技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯， 檢查數(shù)據(jù)流中每個數(shù)據(jù)包后， 根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計。
　　
　　例如，用于特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號的事實（如TCP端口23用于Telnet連接），使包過濾器可以通過簡單的規(guī)定適當(dāng)?shù)亩丝谔杹磉_(dá)到阻止或允許一定類型的連接的目的，并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則。
　　
　　包過濾技術(shù)作為防火墻的應(yīng)用有三類： 一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外， 同時進(jìn)行包過濾， 這是目前較常用的方式； 二是在工作站上使用軟件進(jìn)行包過濾， 這種方式價格較貴； 三是在一種稱為屏蔽路由器的路由設(shè)備上啟動包過濾功能。
　　
　　2.2應(yīng)用網(wǎng)關(guān)技術(shù)
　　
　　應(yīng)用網(wǎng)關(guān)（Application Gateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)��?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制， 以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中， 應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。
　　
　　有些應(yīng)用網(wǎng)關(guān)還存儲Internet上的那些被頻繁使用的頁面。當(dāng)用戶請求的頁面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時，服務(wù)器將檢查所緩存的頁面是否是最新的版本（即該頁面是否已更新），如果是最新版本，則直接提交給用戶，否則，到真正的服務(wù)器上請求最新的頁面，然后再轉(zhuǎn)發(fā)給用戶。
　　
　　2.3代理服務(wù)器技術(shù)
　　
　　代理服務(wù)器（Proxy Server）作用在應(yīng)用層，它用來提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它接點的直接請求。
　　
　　具體地說，代理服務(wù)器是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)器程序；防火墻主機可以是具有一個內(nèi)部網(wǎng)絡(luò)接口和一個外部網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機訪問的堡壘主機。這些程序接受用戶對因特網(wǎng)服務(wù)的請求（諸如FTP、Telnet），并按照一定的安全策略轉(zhuǎn)發(fā)它們到實際的服務(wù)。代理提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。
　　
　　包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)通過，其優(yōu)點是速度快、實現(xiàn)方便，缺點是審計功能差，過濾規(guī)則的設(shè)計存在矛盾關(guān)系，過濾規(guī)則簡單，安全性差，過濾規(guī)則復(fù)雜，管理困難。一旦判斷條件滿足， 防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便“暴露”在外來用戶面前。代理技術(shù)則能進(jìn)行安全控制又可以加速訪問，能夠有效地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離，安全性好，還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。其缺點是對于每一種應(yīng)用服務(wù)都必須為其設(shè)計一個代理軟件模塊來進(jìn)行安全控制，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，分析困難，因此實現(xiàn)也困難。
　　
　　在實際應(yīng)用當(dāng)中，構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級的風(fēng)險，采用何種技術(shù)來解決那些問題依賴于你的時間、金錢、專長等因素。
　　
　　一些協(xié)議（如Telnet、SMTP）能更有效地處理數(shù)據(jù)包過濾，而另一些（如FTP、Gopher、WWW）能更有效地處理代理。大多數(shù)防火墻將數(shù)據(jù)包過濾和代理服務(wù)器結(jié)合起來使用。
　　
　　3 防火墻的體系結(jié)構(gòu)
　　
　　3.1 雙重宿主主機體系結(jié)構(gòu)
　　
　　雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。如圖1.
　　
　　3.2 被屏蔽主機體系結(jié)構(gòu)
　　
　　雙重宿主主機體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖2.在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。
　　
　　圖1 雙重宿主主機體系結(jié)構(gòu)
　　
　　這種體系結(jié)構(gòu)涉及到堡壘主機。堡壘主機是因特網(wǎng)上的主機能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。
　　
　　圖2 被屏蔽主機體系結(jié)構(gòu)
　　
　　數(shù)據(jù)包過濾容許堡壘主機開放可允許的連接（什么是“可允許連接”將由你的站點的特殊的安全策略決定）到外部世界。
　　
　　在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：
　　
　　·允許其它的內(nèi)部主機為了某些服務(wù)開放到Internet上的主機連接（允許那些經(jīng)由
　　
　　數(shù)據(jù)包過濾的服務(wù)）
　　
　　·不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)）
　　
　　圖2 被屏蔽主機體系結(jié)構(gòu)
　　
　　3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)
　　
　　被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。
　　
　　被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”.為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。如圖3.
　　
　　圖3 被屏蔽子網(wǎng)體系結(jié)構(gòu)
　　
　　4結(jié)束語
　　
　　隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等。
　　
　　參考文獻(xiàn)
　　
　　1、Karanjit S,Chirs H.Internet Firewall and Network Security,New Riders publishing,1996
　　
　　2、Steven M B, William R C. Network firewalls. IEEE Communications, 1994（9）
　　
　　3、林曉東，楊義先。 網(wǎng)絡(luò)防火墻技術(shù)。 電信科學(xué)， 1997（13）
　　
　　4、黃允聰，嚴(yán)望佳。 防火墻的選型、配置、安裝和維護(hù)。 清華大學(xué)出版社，1999
　　
　　作者簡介：黃智祥，男，合肥工業(yè)大學(xué)碩士研究生，主要研究方向：計算機網(wǎng)絡(luò)與分布式數(shù)據(jù)庫
　　
　　葉震，男，合肥工業(yè)大學(xué)微機所副研究員，主要研究方向：計算機網(wǎng)絡(luò)與多媒體技術(shù)
　　
　　孫志勇，男，合肥工業(yè)大學(xué)博士研究生，主要研究方向：計算機網(wǎng)絡(luò)與信息系統(tǒng)

【防火墻技術(shù)及其體系結(jié)構(gòu)研究】相關(guān)文章：

Internet防火墻技術(shù)綜述08-06

新技術(shù)推廣的阻礙因素及其對策研究——以高校為例08-26

消費及其與經(jīng)濟增長關(guān)系的研究08-05

股份回購研究及其在中國的應(yīng)用08-05

軟交換技術(shù)及其應(yīng)用08-06

論景觀概念及其研究的發(fā)展08-06

自認(rèn)構(gòu)成及其證據(jù)價值與規(guī)則研究08-05

德國基金研究及其借鑒價值08-05

WEP安全性能研究及其攻擊08-06