前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)防火墻技術(shù)論文文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價(jià)格相對比較高昂。

2從防火墻技術(shù)分

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packetfiltering）型。

包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍Ω鱾€(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。

在整個(gè)防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。

包過濾方式的優(yōu)點(diǎn)是不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠(yuǎn)程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

（2）應(yīng)用（ApplicationProxy）型。

應(yīng)用型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。

另外型防火墻采取是一種機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過服務(wù)器審核，通過后再由服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點(diǎn)是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的服務(wù)，在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會很明顯。

3從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

這種防火墻其實(shí)與一臺計(jì)算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機(jī)一樣，因?yàn)樗墓ぷ餍再|(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。

隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。

原來單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。

分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺主機(jī)，對整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。

4按防火墻的應(yīng)用部署位置分

按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型，價(jià)格較貴，性能較好。

個(gè)人防火墻安裝于單臺主機(jī)中，防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用所產(chǎn)生的延時(shí)也越小，對整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

參考文獻(xiàn)

［1］孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇［M］.北京：人民郵電出版社，2003，（10）.

第2篇

1.1需精確地評估防火墻的失效狀況

任何軟件都有一定的生命周期，防火墻也有一定的生命周期，我們要正確的評估防火墻的使用效能，一旦防火墻失效，對網(wǎng)絡(luò)安全造成的后果無法想象。防火墻使用具有一定的級別，在被外界病毒等侵入時(shí)候具有一定的防御，我們在設(shè)置防火墻的功能時(shí)候要具有一定的科學(xué)性，當(dāng)防火墻受到攻擊時(shí)候，能自動啟動防御功能，因此，我們在設(shè)置防火墻功能時(shí)候，要正確檢測防火墻是否失效功能要開啟，達(dá)到防火墻失效狀態(tài)正常評估。

1.2正確選擇、科學(xué)配置防火墻

防火墻功能的科學(xué)配置，是對網(wǎng)絡(luò)安全防御的重要保障，防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬　周哲韞進(jìn)入新世紀(jì)以后，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速，尤其Internet的發(fā)展應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)安全越來越重要，尤其一些政府部門網(wǎng)絡(luò)，科研等機(jī)構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入，后果是非常嚴(yán)重的，在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中，防火墻技術(shù)室比較成熟的，本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。摘要中關(guān)鍵技術(shù)之一，在配置防火墻時(shí)候，要正確選擇，科學(xué)配置。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人才需要專門的培訓(xùn)與學(xué)習(xí)，才能進(jìn)行科學(xué)的配置，在配置防火時(shí)候具有一定的技巧，在不同環(huán)境，不同時(shí)期具有一定的應(yīng)用，因此正確科學(xué)的配置防火墻沒有通式，必須在根據(jù)環(huán)境狀態(tài)下進(jìn)行科學(xué)合理的配置，這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。

1.3有賴于動態(tài)維護(hù)

防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用，不是把防火墻軟件在計(jì)算機(jī)中安裝以后，進(jìn)行一些配置以后就完事，管理員要對防火墻實(shí)時(shí)進(jìn)行監(jiān)控，看防火墻是否出現(xiàn)一些異常狀況，管理員還要與廠商經(jīng)常保持密切聯(lián)系，是否有更新，任何在完美事物都有兩面性，要及時(shí)更新，彌補(bǔ)防火墻漏洞，防止計(jì)算機(jī)網(wǎng)絡(luò)被更新，因此防火墻技術(shù)是一種動態(tài)實(shí)時(shí)更新技術(shù)。

1.4搞好規(guī)則集的檢測審計(jì)工作

網(wǎng)絡(luò)安全技術(shù)最大的危險(xiǎn)是自己，網(wǎng)絡(luò)管理員不能出現(xiàn)一點(diǎn)大意，在防火墻技術(shù)的應(yīng)用過程中，要適時(shí)進(jìn)行更新，彌補(bǔ)漏洞，還要定期進(jìn)行一定的檢測和審計(jì)工作，用來評估網(wǎng)絡(luò)現(xiàn)在的安全性，以及在未來一段時(shí)間網(wǎng)絡(luò)的安全性，做好正確的評審工作，是網(wǎng)絡(luò)能長時(shí)間保持穩(wěn)定的重要條件，實(shí)時(shí)檢測，實(shí)時(shí)維護(hù)是網(wǎng)絡(luò)安全的基本法則。

2防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案

2.1設(shè)置內(nèi)部防火墻，編制可靠的安全方案

在網(wǎng)絡(luò)安全防范的過程中，內(nèi)部局域網(wǎng)一定要重視，當(dāng)局域網(wǎng)中一臺機(jī)器出現(xiàn)病毒狀況，可能瞬間整個(gè)網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài)，因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測，內(nèi)部局域網(wǎng)防火墻要進(jìn)行科學(xué)合理的設(shè)置，制定一個(gè)可行的安全方案，對整個(gè)局域網(wǎng)的網(wǎng)絡(luò)進(jìn)行一定的保障。內(nèi)部防火墻進(jìn)行一定的分段，每個(gè)主機(jī)要有標(biāo)準(zhǔn)，但有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)時(shí)同樣的，這樣對網(wǎng)絡(luò)的檢測等有一定的依據(jù)，增強(qiáng)了網(wǎng)絡(luò)的安全性。

2.2合理設(shè)定外部防火墻，防范外網(wǎng)攻擊

經(jīng)外部防火墻的設(shè)定，把內(nèi)網(wǎng)同外網(wǎng)相分開，可防范外網(wǎng)攻擊行為。外部防火墻通過編制訪問策略，僅已被授權(quán)的主機(jī)方能訪問內(nèi)網(wǎng)IP，使外網(wǎng)僅能訪問內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會變換地址，使外網(wǎng)無法掌握內(nèi)網(wǎng)結(jié)構(gòu)，阻斷了黑客攻擊的目標(biāo)。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間，防火墻對獲取的數(shù)據(jù)包加以剖析，把其中合法請求傳導(dǎo)到對應(yīng)服務(wù)主機(jī)，拒絕非法訪問。

3防火墻技術(shù)的未來發(fā)展趨勢及前景

防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物，為不安全的網(wǎng)絡(luò)搭建一個(gè)安全的網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)安全是不可預(yù)測的，防火墻技術(shù)也在日新月異的進(jìn)行發(fā)展，防火墻技術(shù)的未來發(fā)展是廣泛的，能為網(wǎng)絡(luò)安全作出一定的貢獻(xiàn)，下面闡述一下防火墻技術(shù)的未來發(fā)展趨勢，引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.1智能化

現(xiàn)在計(jì)算機(jī)的未來發(fā)展是網(wǎng)絡(luò)化、智能化，網(wǎng)絡(luò)安全問題的發(fā)展也比較快，對網(wǎng)絡(luò)安全的軟件要求也是越來越高，網(wǎng)絡(luò)上的病毒具有不可預(yù)見性，對防御病毒的軟件提出一個(gè)嶄新的要求，必須具有一定的智能化，就是防火墻自身具有很強(qiáng)的防御功能，不是人為的進(jìn)行控制，智能化是網(wǎng)絡(luò)安全專家對防火墻技術(shù)的期盼，也是防火墻技術(shù)自身發(fā)展的需要，但防火墻技術(shù)實(shí)現(xiàn)智能化需要一定的時(shí)間，需要網(wǎng)絡(luò)安全專家不停努力的結(jié)果。

3.2擴(kuò)展性能更佳

計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，點(diǎn)到點(diǎn)客戶的快速發(fā)展，現(xiàn)在3G網(wǎng)絡(luò)已經(jīng)向4G網(wǎng)絡(luò)發(fā)展，對防火墻的擴(kuò)展型提出更好的要求，軟件技術(shù)的發(fā)展必須為未來的發(fā)展提出更好的要求，其擴(kuò)展性具有一定發(fā)展，使防火墻技術(shù)能更好的為網(wǎng)絡(luò)安全服務(wù)，提高網(wǎng)絡(luò)安全服務(wù)的本領(lǐng)，減少病毒的入侵，提高網(wǎng)絡(luò)安全。

第3篇

關(guān)鍵詞：Internet網(wǎng)路安全防火墻過濾地址轉(zhuǎn)換

1．引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場量還不到1萬套；到1996年底，就猛增到10萬套；據(jù)國際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測，防火墻市場將以173%的復(fù)合增長率增長，今年底將達(dá)到150萬套，市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。

為了更加全面地了解Internet防火墻及其發(fā)展過程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。

2.Internet防火墻技術(shù)簡介

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上，防火墻并不像現(xiàn)實(shí)生活中的防火墻，它有點(diǎn)像古代守護(hù)城池用的護(hù)城河，服務(wù)于以下多個(gè)目的：

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入；

2)限定人們從一個(gè)特定的點(diǎn)離開；

3)防止侵入者接近你的其他防御設(shè)施；

4)有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中，Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet，如圖1所示。

圖1防火墻在Internet中的位置

從上圖不難看出，所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點(diǎn)同樣可以從圖1中體會出來。那么，防火墻究竟是什么呢?實(shí)際上，防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：

過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；

管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；

封堵某些禁止行為；

記錄通過防火墻的信息內(nèi)容和活動；

對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展，可以將其劃分為如下四個(gè)階段(即四代)。

3.1基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：

1)利用路由器本身對分組的解析，以訪問控制表(AccessList)方式實(shí)現(xiàn)對分組的過濾；

2)過濾判斷的依據(jù)可以是：地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；

3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺路由器作為防火墻。

第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：

路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。

路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯(cuò)誤。

路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實(shí)施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能。

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對付黑客的攻擊是十分危險(xiǎn)的。

3.2用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：

1)將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；

2)針對用戶需求，提供模塊化的軟件包；

3)軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；

4)與第一代防火墻相比，安全性提高了，價(jià)格也降低了。

由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：

配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；

對用戶的技術(shù)要求高；

全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多。

3.3建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些

特點(diǎn)：

1)是批量上市的專用防火墻產(chǎn)品；

2)包括分組過濾或者借用路由器的分組過濾功能；

3)裝有專用的系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同

。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問題，比如：

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性

無從保證；

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的

安全性負(fù)責(zé)；

3)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商

的攻擊；

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；

5)透明性好，易于使用。

4.第四代防火墻的主要技術(shù)及功能

第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。

4.1雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個(gè)網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。

4.2透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

4.3靈活的系統(tǒng)

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種機(jī)制：一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決，后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

4.4多級過濾技術(shù)

為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對服務(wù)的通行實(shí)行嚴(yán)格控制。

4.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

4.6Internet網(wǎng)關(guān)技術(shù)

由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。

在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。

在匿名FTP方面，服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

4.7安全服務(wù)器網(wǎng)絡(luò)(SSN)

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。

SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。4.8用戶鑒別與加密

為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對郵件的加密。

4.9用戶定制服務(wù)

為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的，便可以利用這些支持，方便設(shè)置。

4.10審計(jì)和告警

第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、名服務(wù)器等。告警功能會守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。

此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

5．第四代防火墻技術(shù)的實(shí)現(xiàn)方法

在第四代防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中，安全內(nèi)核、系統(tǒng)、多級過濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。

5.1安全內(nèi)核的實(shí)現(xiàn)

第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個(gè)方面進(jìn)行：

1)取消危險(xiǎn)的系統(tǒng)調(diào)用；

2)限制命令的執(zhí)行權(quán)限；

3)取消IP的轉(zhuǎn)發(fā)功能；

4)檢查每個(gè)分組的接口；

5)采用隨機(jī)連接序號；

6)駐留分組過濾模塊；

7)取消動態(tài)路由功能；

8)采用多個(gè)安全內(nèi)核。

5.2系統(tǒng)的建立

防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接均要通過系統(tǒng)來實(shí)現(xiàn)，為保證整個(gè)防火墻的安全，所有的都應(yīng)該采用改變根目錄方式存在一個(gè)相對獨(dú)立的區(qū)域以安全隔離。

在所有的連接通過防火墻前，所有的要檢查已定義的訪問規(guī)則，這些規(guī)則控制的服務(wù)根據(jù)以下內(nèi)容處理分組：

1)源地址；

2)目的地址；

3)時(shí)間；

4)同類服務(wù)器的最大數(shù)量。

所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站處理，進(jìn)站要保證內(nèi)部主機(jī)能夠了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。

所有從內(nèi)部網(wǎng)絡(luò)SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站處理，出站必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。

5.3分組過濾器的設(shè)計(jì)

作為防火墻的核心部件之一，過濾器的設(shè)計(jì)要盡量做到減少對防火墻的訪問，過濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時(shí)，過濾規(guī)則會從內(nèi)核中消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行，極為安全。分組過濾器包括以下參數(shù)。

1)進(jìn)站接口；

2)出站接口；

3)允許的連接；

4)源端口范圍；

5)源地址；

6)目的端口的范圍等。

對每一種參數(shù)的處理都充分體現(xiàn)設(shè)計(jì)原則和安全政策。

5.4安全服務(wù)器的設(shè)計(jì)

安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn)：第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的；第二，SSN的作用類似于兩個(gè)網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘ν馔该?，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對外訪問的方式十分有限。

SSN上的每一個(gè)服務(wù)器都隱蔽于Internet，SSN提供的服務(wù)對外部網(wǎng)絡(luò)而言好像防火墻功能，由于地址已經(jīng)是透明的，對各種網(wǎng)絡(luò)應(yīng)用沒有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于：

1)解決分組過濾器與SSN的連接；

2)支持通過防火墻對SSN的訪問；

3)支持服務(wù)。

5.5鑒別與加密的考慮

鑒別與加密是防火墻識別用戶、驗(yàn)證訪問和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)之外，還有安全管理功能，目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種一種是加密卡(CryptoCard)；另一種是SecureID，這兩種都是一次性口令的生成工具。



對信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除PEM、PGP和Kerberos外，目前國外防火墻產(chǎn)品中尚沒有更好的機(jī)制出現(xiàn)，由于加密算法涉及國家信息安全和，各國有不同的要求。

6．第四代防火墻的抗攻擊能力

作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對防火墻的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。

6.1抗IP假冒攻擊

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。

6.2抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上，內(nèi)部用戶可以通過防火墻下載程序，并執(zhí)行下載的程序。



6.3抗口令字探尋攻擊

在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強(qiáng)力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。

第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對口令字的攻擊。

6.4抗網(wǎng)絡(luò)安全性分析

網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前，SATA軟件可以從網(wǎng)上免費(fèi)獲得，InternetScanner可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對內(nèi)部網(wǎng)絡(luò)做分析。

6.5抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。

7．防火墻技術(shù)展望

伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢。下面諸點(diǎn)可能是下一步的走向和選擇：

1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

2)過濾深度會不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。

3)利用防火墻建立專用網(wǎng)是較長一段時(shí)間用戶使用的主流，IP的加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。

4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

5)對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。