防火墙的技术及应用

防火墙的技术及应用随着计算机网络和现代技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。因此，防火墙的作用就是防止不希望的、未授权的通信进出被保护的网络。在互联网的众多站点中，非常多的网站都是由某种形式的防火墙加以保护，这是对黑客防范最严密，安全性较强切较有效的一种方式。这不免使的一些不法之徒恶意利用有效的网络工具进行恶意攻击。网络环境日益复杂，安全问题接受的挑战越来越大越来越多的时候，对防火墙技术需要有全面的认识。因此了解其所处的现状以及优势和缺点，未来的展望就显得格外重要。本文将详细介绍与防火墙的有关的技术。本文简要介绍了防火墙在网络信息安全中的重要作用,描述了防火墙的原理及分类,分析了构建防火墙时对防火墙的选择与设置,说明了防火墙的主要规则设置方法。然后从实际出发，描述防火墙技术的应用现状。最后提出了面对网络安全问题以及构建安全网络环境应用防火墙所面临的挑战，其中论述了防火墙在网络安全中起的重要作用以及应用需求,最后对该技术的未来发展进行展望，以期促进防火墙技术发展，实现安全网络环境的构建。1、防火墙简介1.1防火墙的基本概念防火墙是一个位于内部网络与Internet之间的网络安全系统，是按照一定的安全策略建立起来的硬件和(或)软件的有机组成体，以防止黑客的攻击，保护内部网络的安全运行。防火墙可以被安全在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部虚拟主机网络里面的窥探。它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它实际上是一种隔离技术。它是一种计算机硬件和软件的结合，1使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙可以是硬件类型的，所有数据都首先通过硬件芯片监测;也可以是软件类型，软件在电脑上运行并监控。其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时问，功能作用非常强大，处理速度很快，对于个人用户来说软件型，更加方便实在。1.2防火墙的发展（1）第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。（2）第二、三代防火墙1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。（3）第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。（4）第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。1.3防火墙的基本构成防火墙的基本构成包括：安全策略、高层认证、包过滤、应用网关。其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。服务/访问策略是建立防火墙中最重要的组成部分，其余3部分在实现和执行策略中是必要的。保护网站防火墙的有效性，取决于使用防火墙的实现类型，以及使用正确的程序和服务/访问策略。它是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个或两个以上的网络间，实施网络之间访问控制的一组组件集合。2对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，它对从网络发往计算机的所有数据都进行判断处理，并决定能否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算机的保护功能。2、使用防火墙的必要性如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。2.1为什么要使用防火墙很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows2003以前的时代，Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”2.2设置防火墙的目的设置防火墙的目的是防火墙是在网络之间执行控制策略的系统，它包括硬件和软件，目的是保护内部网络资源不被外部非授权用户使用、防止内部网络受到外部非法用户的攻击。防火墙的主要功能检查所有从外部网络进入内部网络的数据包；检查所有从内部网络流出到外部网络的数据包；执行安全策略，限值所有不符合安全策略要求的数据包通过具有防攻击能力，以保证自身的安全性。它是一种过滤器，按照防火墙事先设计的规则对内网和外网之间的通信数据包进行筛选和过滤，只允许授权的的数据通过不符合童心规则的数据包将被丢弃，以此来限制网络内部和外部的相互访问，达到保护内网的目的。防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审3记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。简单来说，通常应用防火墙的目的有以下几方面：限制他人进入内部网络、过滤掉不安全的服务和非法用户、防止入侵者接近你的防御设施、限定人们访问特殊站点、为监视局域网安全提供方便。3、防火墙的主要类型3.1包过滤防火墙数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表，又叫规则表，规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于Cisco和SonicSystem等公司的路由器上。缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口存在着潜在的危险。例如：“天网个人防火墙”就属于包过滤类型防火墙，根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理，有效地提高了计算机的抗攻击能力。3.2应用代理防火墙应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用；缺点是执行速度慢，操作系统容易遭到攻击。代理服务在实际应用中比较普遍，如学校校园网的代理服务器一端接入Internet,另一端介入内部网，在代理服务器上安装一个实现代理服务的软件，如WinGatePro、MicrosoftProxyServer等，就能起到防火墙的作用。3.3状态检测防火墙状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接4的参数有意外变化，该连接就被终止。状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。在实际使用中，一般综合采用以上几种技术，使防火墙产品能够满足对安全性、高效性、适应性和易管性的要求，再集成防毒软件的功能来提高系统的防毒能力和抗攻击能力，例如，瑞星企业级防火墙RFW-100就是一个功能强大、安全性高的混合型防火墙，它集网络层状态包过滤、应用层专用代理、敏感信息的加密传输和详尽灵活的日志审计等都肿安全技术于一身，可根据用户的不同需求，提供强大的访问控制、信息过滤、代理服务和流量统计等功能。4、各防火墙体系结构的优缺点4.1双重宿主主机体系结构提供来自于多个网络相连的主机的服务（但是路由关闭），它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。4.2被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接（由站点安全策略决定）到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接（允许那些经由数据包过滤的服务）。②不允许来自内部主机的所有连接（强迫这些主机经由堡垒主机使用代理服务）。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。4.3被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器（因为它可被因特网上用户访问），我5们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种