Internet防火墻技術范文

本站小編為你精心準備了Internet防火墻技術參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1.防火墻技術

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境之中，尤以internet網(wǎng)絡為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術產(chǎn)品市場量還不到1萬套；到1996年底，就猛增到10萬套；據(jù)國際權威商業(yè)調查機構的預測，防火墻市場將以173%的復合增長率增長，今年底將達到150萬套，市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。

為了更加全面地了解Internet防火墻及其發(fā)展過程，特別是第四代防火墻的技術特色，我們非常有必要從產(chǎn)品和技術角度對防火墻技術的發(fā)展演變做一個詳細的考察。

2.Internet防火墻技術簡介

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講，Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險（病毒、資源盜用等）傳播到你的網(wǎng)絡內(nèi)部。而事實上，防火墻并不像現(xiàn)實生活中的防火墻，它有點像古代守護城池用的護城河，服務于以下多個目的：

1）限定人們從一個特定的控制點進入；

2）限定人們從一個特定的點離開；

3）防止侵入者接近你的其他防御設施；

4）有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

在現(xiàn)實生活中，Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡上并接入Internet,如圖1所示。

12.jpg（25078字節(jié)）

圖1防火墻在Internet中的位置

從上圖不難看出，所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那么，防火墻究竟是什么呢？實際上，防火墻是加強Internet（內(nèi)部網(wǎng)）之間安全防御的一個或一組系統(tǒng)，它由一組硬件設備（包括路由器、服務器）及相應軟件構成。3.防火墻技術與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看，防火墻應該具有以下五大基本功能：

●過濾進、出網(wǎng)絡的數(shù)據(jù)；

●管理進、出網(wǎng)絡的訪問行為；

●封堵某些禁止行為；

●記錄通過防火墻的信息內(nèi)容和活動；

●對網(wǎng)絡攻擊進行檢測和告警。

為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應用了網(wǎng)絡拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發(fā)展，可以將其劃分為如下四個階段（即四代）。

3.1基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡訪問控制可能通過路控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是：

1）利用路由器本身對分組的解析，以訪問控制表（AccessList）方式實現(xiàn)對分組的過濾；

2）過濾判斷的依據(jù)可以是：地址、端口號、IP旗標及其他網(wǎng)絡特征；

3）只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡則需要單獨利用一臺路由器作為防火墻。

第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：

●路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡要探尋內(nèi)部網(wǎng)絡十分容易。例如，在使用FTP協(xié)議時，外部服務器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設置了過濾規(guī)則，內(nèi)部網(wǎng)絡的20號端口仍可以由外部探尋。

●路由器上分組過濾規(guī)則的設置和配置存在安全隱患。對路由器中過濾規(guī)則的設置和配置十分復雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。

●路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡上是以明文方式傳送的，黑客（Hacker）可以在網(wǎng)絡上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質缺陷是：由于路由器的主要功能是為網(wǎng)絡訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的、固定的控制，這是一對難以調和的矛盾，防火墻的規(guī)則設置會大大降低路由器的性能。

可以說基于路由器的防火墻技術只是網(wǎng)絡安全的一種應急措施，用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2用戶化的防火墻工具套

為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡，從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：

1）將過濾功能從路由器中獨立出來，并加上審計和告警功能；

2）針對用戶需求，提供模塊化的軟件包；

3）軟件可以通過網(wǎng)絡發(fā)送，用戶可以自己動手構造防火墻；

4）與第一代防火墻相比，安全性提高了，價格也降低了。

由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當復雜的要求，并帶來以下問題：

配置和維護過程復雜、費時；

對用戶的技術要求高；

全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。

3.3建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些

特點：

1）是批量上市的專用防火墻產(chǎn)品；

2）包括分組過濾或者借用路由器的分組過濾功能；

3）裝有專用的系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4）保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設置；

5）安全性和速度大大提高。

第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經(jīng)得到了廣大用戶的認同

.但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題，比如：

1）作為基礎的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性

無從保證；

2）由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的

安全性負責；

3）從本質上看，第三代防火墻既要防止來自外部網(wǎng)絡的攻擊，還要防止來自操作系統(tǒng)廠商

的攻擊；

4）在功能上包括了分組過濾、應用網(wǎng)關、電路級網(wǎng)關且具有加密鑒別功能；

5）透明性好，易于使用。

4.第四代防火墻的主要技術及功能

第四代防火墻產(chǎn)品將網(wǎng)關與安全系統(tǒng)合二為一，具有以下技術功能。

4.1雙端口或三端口的結構

新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做IP轉化而串接于內(nèi)部與外部之間，另一個網(wǎng)卡可專用于對服務器的安全保護。

4.2透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。

4.3靈活的系統(tǒng)

系統(tǒng)是一種將信息從防火墻的一側傳送到另一側的軟件模塊，第四代防火墻采用了兩種機制：一種用于從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接；另一種用于從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉接（NIT）技術來解決，后者采用非保密的用戶定制或保密的系統(tǒng)技術來解決。

4.4多級過濾技術

為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應用級網(wǎng)關一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所有通用服務；在電路網(wǎng)關一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

4.5網(wǎng)絡地址轉換技術

第四代防火墻利用NAT技術能透明地對所有內(nèi)部地址做轉換，使得外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結構，同時允許內(nèi)部網(wǎng)絡使用自己編的IP源地址和專用網(wǎng)絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

4.6Internet網(wǎng)關技術

由于是直接串聯(lián)在網(wǎng)絡之中，第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務，同時還要防止與Internet服務有關的安全漏洞，故它要能夠以多種安全的應用服務器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)網(wǎng)關功能。為確保服務器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調用（chroot）”做物理上的隔離。

在域名服務方面，第四代防火墻采用兩種獨立的域名服務器：一種是內(nèi)部DNS服務器，主要處理內(nèi)部網(wǎng)絡和DNS信息；另一種是外部DNS服務器，專門用于處理機構內(nèi)部向Internet提供的部分DNS信息。