防火墙技术研究
2010 NO.06
Science and Technology Innovation HeraldI T 技 术科技创新导报
1 防火墙概述
防火墙是指设置在不同网络(如可信任的企业内部网络和不可信任的互联网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出口,能够根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。实质就是限制数据流通和允许数据流通。从总体上看,防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
2 防火墙的技术简介
自从1986年美国Digital公司在Internet 上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。
防火墙的种类多种多样,在不同的发展阶段,采用的技术也各不相同,采用不同的技术,因而也就产生了不同类型的防火型。防火墙所采用的技术主要如下。2.1屏蔽路由技术
最简单和最流行的防火墙形式是“屏蔽路由器”。多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器一般只在网络层工作(有的还包括传输层),采用包过滤或虚电路技术,包过滤通过检查每个IP网络包,取得其头信息,一般包括:到达的物理网络接口,源IP地址,目标IP地址,传输层类型(TCP UDP ICMP),源端口和目的端口。根据这些信息,判别是否规则集中的某条目匹配,并对匹配包执行规则中指定的动作(禁止或允许)。包括过滤系统通常可以重置网络包地址,从而流出的通信包看来不同于其原始主机地址转换(NAT),通过NAT可以隐藏内部网络拓扑
和地址表,而虚电路技术的核心是验证通
信包是一个连接中的数据包(两个传输层
之间的虚电路)。
屏蔽路由技术往往比较脆弱,因为它
还要依赖其背后主机上应用软件的正确配
置。因此,在使用此类型的防火墙时,通常
配合其他系统使用。
2.2基于代理的(也称应用网关)防火墙壁
技术
它通常被配置为“双宿主网关”,具有
两个网络接口卡,同时接入内部和外部网。
由于网关可以与两个网络通信,它是安装
传递数据软件的理想位置。这种软件就称
为“代理”,通常是为其所提供的服务定制
的。代理服务不允许直接与真正的服务通
信,而是与代理服务器通信(用户的默认网
关指向代理服务器)。各个应用代理在用户
和服务之间处理所有的通信。
代理防火墙可以识别并实施高层的协
议,如http和ftp等。通过防火墙服务器的通
信信息,可以提供源于部分传输层,全部应
用层和部分会话层的信息。可以用于禁止
防问特定的网络服务,而允许其他服务的
使用。但是代理防火墙的代理服务有性能
上的延迟,因为流入数据需要被处理两次
(应用程序和其代理),代理防火墙一般需要
客户端的修改或设置,因此,配置过程繁
琐,会给用户带来不便。
2.3包过滤技术
系统按照一定的信息过滤规则,对进
出内部网络的信息进行限制,允许授权信
息通过,而拒绝非授权信息通过。包过滤防
火墙工作在网络层和逻辑链路层之间。截
获所有流经的IP包,从其IP头、传输层协议
头,甚至应用层协议数据中获取过滤所需
的相关信息。然后依次按顺序与事先设定
的访问控制规则进行一一匹配比较,执行
其相关的动作。
2.4动态防火墙技术
它是针对静态包过滤技术而提出的一
项新技术。它可创建动态的规则,使其适应
不断改变的网络业务量。根据用户的不同
要求,规则能被修改并接受或拒绝条件。具
体地讲,动态防火墙技术并不是根据状态
来对包进行有效性检查,而是通过为每个
会话维护其状态信息,来提供一种防御措
施和方法。从外部看,在没有合法的通讯
时,除规则允许外部访问的所有内部主机
端口开放。并且当连接结束进,也随之关
闭;而从内部看,除规则明确拒绝处,所有
外部资源都是开放的,并且它还为一些针
对TCP的攻击提供了在包过滤上进行防御
的手段。
2.5一种改进的防火墙技术(或称复合型防
火墙技术)
由于过滤型防火墙安全性不高,代理
服务器型防火墙速度较慢,因而出现了一
种综合上述两种技术优点的改进型防火墙
技术,它保证了一定的安全性,又使通过它
的信息传输速度不至于受到太大的影响。
3 新型防火墙技术
伴随着Internet的飞速发展,防火墙技
术与产品的更新步伐必然会加强,而要全
面展望防火墙技术的发展几乎是不可能
的。但是,从产品及功能上,却又可以看出
一些动向和趋势:功能性能不断突破、满足
下一代网络的新需求、高速、安全、可用。
一种新型的防火墙技术,分布式防火
墙技术,它可以很好地解决边界防火墙以
上的不足,它是把防火墙的安全防护系统
延伸到网络中各对台主机。一方面有效地
保证了用户的投资不会很高,另一方面给
网络所带来的安全防护是非常全面的。
另一种新型防火墙——智能防火墙也
是未来的发展趋势之一。相对传统的防火
墙而言的,它更聪明、更智能。智能防火墙
从技术特征上,是利用统计、记忆、概率和
决策的智能方法来对数据进行识别,并达
到访问控制的目的,它必将把信息安全带
入新的境界。
总之,防火墙作为一种防护手段,对维
护网络安全起到了一定的作用,但并非万
无一失,它只能防护经过自身的非法访问
和攻击;它虽然能够针对所有服务进行安
全检查,过滤其是否合法,但不能有效地杜
绝所有恶意数据包,利用合法的连接传输
非法数据确实存在。还要在尽快加强网络
立法和执法力度的同时,不断提高全民的
文明道德水准,倡导健康的“网络道德”,增
强每个网络用户的安全意识。
参考文献
[1]梅杰,许榕生.Internet防火墙技术新发
展.微电脑世界,2005
[2]王睿,林海波.网络安全与防火墙技术
[M].北京:清华大学出版社,2000.
[3]白斌.防火墙在网络安全中的应用.科
技创新导报,2007年第35期.
[4]郑树申.浅谈网络安全的防火墙技术.
科技创新导报,2008年第31期.
防火墙技术研究
苏醒1 周祖荣2
(1.德州职业技术学院 山东德州 253000; 2.青岛科技大学 山东青岛 266042)摘 要:随着Internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。目前,保护内部网络免遭外部入侵的比较有效的方法是防火墙技术。本文全面介绍了几种防火墙技术的体系结构以及新型防火墙技术。
关键词:防火墙网络安全Int ernet
中图分类号:T N915.08文献标识码:A文章编号:1674-098X(2010)02(c)-0036-01
36科技创新导报 Science and Technology Innovation Herald