防火墙的概念与原理.doc

防火墙的概念与原理（浙江 杭州 310027）摘要：随着网络安全问题日益严重，网络安全产品越来越受到人们的重视。本文论述了防火墙的基本概念，阐述了防火墙的基本原理，分析了防火墙的主要技术分类及各自优缺点，并对防火墙的未来发展提出展望。关键词：防火墙；基本概念；基本原理；技术分类；发展展望1.引言：随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术，是隔离在本地网络与外界网络之间的一道防御系统，其核心思想是在不安全的网络环境中构造一个相对安全的子网系统，防火墙是实施网络安全控制的一种必要技术。2.防火墙概述 防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。如果缺省策略是接受，那么没有显式拒绝的数据包可以通过防火墙；如果缺省策略是拒绝，那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络问不受欢迎的信息交换，而允许那些可接受的通信。从逻辑上讲，防火墙是分离器、限制器、分析器；从物理上讲，防火墙由一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。3.防火墙的基本原理防火墙足指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之问信息的唯一出入口。能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流。且本身具有较强的抗攻击能力、它是提供信息安全服务，实现网络和信息安全的基础设施。存逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控着内部网和Internet之间的任何活动，保证内部网络的安全。防火墙是网络安全的屏障：一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，防火墙应该可以拒绝所有以上类型攻击的报史并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件口令、加密、身份认证、审计等配置在防火墙上。跟将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。防止内部信息的外泄：利用防火墙对内部网络的划分可实现内部网重点网段的隔离从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。另外。隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节日T能包含了有关安全的线索而引起外部攻击者的兴趣甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。4.防火墙的技术分类及优缺点4.1 防火墙的技术分类（1）包过滤技术包过滤防火墙工作在网络层。对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、具有路由功能的交换机以及有些操作系统已经具有用包过滤控制的能力。由于只对数据包的IP地址、TCPUDP协议和端u进行分析，包过滤防火墙的处理速度较快，并且易于配置。但包过滤防火墙不能防范黑客攻击，不支持应用层协议，不能处理新的安全威胁。（2）应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信。内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。（3）状态检测技术状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的觫点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。任何一款高性能的防火墙都会采用状态检测技术。4.2 各种技术分类的优缺点4.2.1包过滤技术的优缺点（1）使用包过滤防火墙的优点a.防火墙对每条传入和传出网络的包实行低水平控制。b.每个IP包的字段都被检查。防火墙将基于这些信息应用过滤规则。c.防火墙可以识别和丢弃带欺骗性源IP地址的包。d.包过滤防火墙是两个网络之间访问的唯一来源。e.包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。（2）使用包过滤防火墙的缺点a.配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新版本的防火墙对这个缺点正在作改进。b.为特定服务开放的端口存在着危险，可能会被用于其他传输。例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。c.通过拨入连接的方法绕过防火墙进入网络，但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。4.2.2 应用程序代理的优缺点（1）使用应用程序代理防火墙的优点a.指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问。b.通过限制某些协议的传出请求，来减少网络中不必要的服务。c.大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。（2）使用应用程序代理防火墙的缺点a.必须在一定范围内定制用户的系统，这取决于所用的应用程序。b.一些应用程序可能根本不支持代理连接。4.2.3 状态检测技术的优缺点（1）状态检测技术的优点a.检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。b.识别带有欺骗性源IP地址包的能力。c.基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过。d.基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。e.记录有关通过的每个包的详细信息的能力。（2）状态检测技术的缺点状态动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。5.防火墙的发展趋势（1）新需求引发的技术走向防火墙技术的发展离不开社会需求的变化，着眼未来，防火墙技术有的新需求如下：远程办公的增长：企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。（2）黑客攻击引发的技术走向防火墙作为内网的贴身保镖。黑客攻击的特点也决定了防火墙的技术走向。数据包的深度检测：IT业界权威机构Gagner认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为。包检测的技术方案需要增加签名检测等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。协同性：从黑客攻击事件分析，对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。目前主要支持和IDS的联动和认证