浅谈防火墙技术

2022-09-10

在因特网受到外部网络攻击的情况下防火墙作为因特网最新发展技术之一, 是目前实现网络安全策略最有效的工具。防火墙关键技术有包过滤技术和代理技术等。但防火墙对来自网络内部的攻击无能为力。

1 防火墙概述

1.1 防火墙的定义

防火墙是指隔离在本地网络与外界网络之间的一道防御系统, 是这一类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型, 通过它可以隔离风险区域 (即Internet或有一定风险的网络) 与安全区域 (局域网) 的连接, 同时不会妨碍人们对风险区域的访问。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的I P路由器, 它通过对每一个到来的I P包依据组规则进行检查来判断是否对之进行转发。一个代理服务器本质上是一个应用层的网关, 一个为特定网络应用而连接两个网络的网关。

1.2 防火墙的基本组成

防火墙的组成可以表示为:防火墙=过滤器+安全策略 (+网关) , 它是一种非常有效的网络安全技术。防火墙可以监控进出网络的通信数据, 从而完成仅让安全、核准的信息进入, 同时又抵制对企业构成威胁的数据进入的任务。

由于防火墙是一种被动技术, 它假设了网络边界和服务, 因此, 对内部非法访问难以有效的控制。所以防火墙适合于相对独立的网络, 例如Intranet等种类相对集中的网络。

Interment防火墙不仅仅是路由器、保垒主机、或任何提供网络安全的设备的组合, 它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中, 告诉用户们他们应有的责任, 公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施, 以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略, 那么防火墙就形同虚设。

1.3 防火墙的功能

通过部署防火墙, 就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存, 对于网络安全犯罪的调查取证提供了依据。总之, 防火墙减轻了网络和系统被用于非法和恶意目的的风险。从总体上看, 防火墙应具有以下五大基本功能。

(1) 过滤进、出网络的数据, 强化安全策略。

(2) 管理和控制进、出网络的访问行为。

(3) 对不安全的服务进行限制和拦截, 尽可能不暴露内部网络。

(4) 记录通过防火墙的信息内容和活动。

(5) 对网络攻击检测和告警。

由于防火墙处在内网和外网的分界点, 所有的网络流量必须通过防火墙, 所处位置比较优越, 所以在实际应用中防火墙也被加入一些其他的高级功能。

(1) 身份验证和授权。

(2) N A T即网络地址转换。

(3) VPN虚拟专用网。

(4) 病毒免疫。

防火墙也有其不足和缺陷存在:

(1) 不能防御内部攻击和后门威胁。

(2) 不能保证内容安全。

(3) 给用户的使用带来不便。

(4) 减少进出内部网络的带宽, 降低网络性能。

2 防火墙的分类

按照防火墙所采用的技术, 它可以分为以下几种类型。

(1) 包过滤防火墙。

第一代防火墙和最基本形式防火墙检查每一个通过的网络包, 或者丢弃, 或者放行, 取决于所建立的一套规则。这称为包过滤防火墙。包过滤防火墙一般在路由器上实现, 用以过滤用户定义的内容, 如I P地址。包过滤防火墙的工作原理是:系统在网络层检查数据包, 与应用层无关。这样系统就具有很好的传输性能, 可扩展能力强。但是, 包过滤防火墙的安全性有一定的缺陷因为系统对应用层信息无感知, 也就是说, 防火墙不理解通信的内容, 所以可能被黑客所攻破。

(2) 应用代理防火墙。

应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反, 它是接受来自内部网络特定用户应用程序的通信, 然后建立于公共网络服务器单独的连接。

(3) 状态检测防火墙。

状态检测防火墙, 跟踪通过防火墙的网络连接和包, 这样防火墙就可以使用一组附加的标准, 以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这里的。

(3) 电路级网关防火墙。

电路级网关防火墙工作在会话层, 它在两个主机首次建立T C P连接时创立一个电子屏障。它作为服务器接收外来请求, 转发请求;与被保护的主机连接时则担当客户角色, 其代理服务的作用。

(4) 自适应代理防火墙。

自适应代理技术是应用代理技术的一种, 它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点, 在毫不损失安全性的基础之上将代理型防火墙的性能提高1 0倍以上。

3 防火墙的体系结构

3.1 双重宿主主机体系结构

双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的, 该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送I P数据包。然而, 实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而, I P数据包从一个网络 (例如, 因特网) 并不是直接发送到其他网络 (例如, 内部的、被保护的网络) 。防火墙内部的系统能与双重宿主主机通信, 同时防火墙外部的系统 (在因特网上) 能与双重宿主主机通信, 但是这些系统不能直接互相通信。它们之间的I P通信被完全阻止。

3.2 屏蔽主机体系结构

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁 (例如, 传送进来的电子邮件) 。即使这样, 也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。因此, 堡垒主机需要拥有高等级的安全。

3.3 被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构, 即通过添加周边网络更进一步地把内部网络和外部网络 (通常是Internet) 隔离开。

被屏蔽子网体系结构的最简单的形式为:两个屏蔽路由器, 每一个都连接到周边网。一个位于周边网与内部网络之间, 另一个位于周边网与外部网络 (通常为Internet) 之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络, 侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机, 它将仍然必须通过内部路由器。

4 结语

任何一种防火墙只是为内部网络提供安全保障, 但网络安全不能完全依赖于防火墙, 还需要加强内部的安全管理, 完善安全管理制度, 提高用户的安全意识, 从而形成全方位的安全防御体系。目前的防火墙的技术结构, 往往是安全性高效率就低, 效率高就会以牺牲安全为代价。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

摘要：本文详细介绍了防火墙的相关基础知识, 详细介绍了防火墙的分类和体系结构, 最后提出了防火墙的发展趋势和方向。

关键词：防火墙,体系结构