物联网中的防火墙技术

物联网中的防火墙技术摘要：随着物联网成为新兴事物，随之而来的安全问题也引人重视。通过对防火墙的研究及分类，阐释了防火墙的原理，从而对防火墙的发展和物联网的建设起积极的建言作用。关键词：物联网，安全，防火墙The Internet Connection Firewall of The Web of thingsAbstract:There are security issues with web of things becoming a newly sprouted thing.The article studied on firewall and made a classification,which also explained the principle of firewalls.This aricle aims at giving advices to the developments of firwalls and the construction of the web of things.Keywords:web of things,seurity,firewall.0引言近年来，与物联网有关的相关概念大量在网络和人们对的视野中出现。早在1999年，物联网的概念就已经被提了出来将生活中的所有物品通过射频识别等信息传感设备与互联网相连，从而实现智能化识别和管理。物联网把新一代IT技术充分地运用在各行各业之中。具体地说，就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中，形成物联网，然后将物联网与现有的互联网整合起来，实现人类社会与物理系统的整合。在这个整合的网络当中，存在能力超级强大的中心计算机群，能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制。在此基础上，人类可以实现更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。1 物联网的安全问题物联网的诞生及应用，使得人与物的交互更加方便，给人们带来了诸多便利。然而，在物联网的应用中，如果网络安全没有保障，那么个人隐私、物品信息等随时都可能被泄露。更严重的是，如果网络不安全，那么社会的正常运行，公共设施的保障就成了空谈。不可否认，目前的物联网在安全方面的确存在许多问题。花样繁多的病毒入侵、无孔不入的黑客侵袭，都在时时刻刻地威胁着物联网的安全，但也诞生了物联网的防范措施。防火墙便是其中之一。2 防火墙所谓“防火墙”指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，计算机流入流出的所有网络通信和数据包均要经过于此，是一种获取安全性方法的形象说法。它使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙,公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。3 防火墙技术的分类防火墙使用的基本技术包括：包过滤、代理服务（应用代理、电路级代理、网络地址转换）和状态监视技术。（1） 包过滤：包过滤技术是根据流经防火墙的数据包的特征，依据事先定义好的规则，决定是否与许数据包通过的技术。它对数据包进行分析筛选的依据是系统内设置的访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息或它们的组合信息来确定是否允许该数据包通过。包过滤技术分为静态包过滤和动态包过滤两种。近年来，研究人员在动态包过滤的基础上，又进一步提出了包状态检测技术和深度包检测技术。A 静态包过滤：又称简单包过滤，是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，然后对所接收的每个数据包做允许或拒绝而决定。过滤规则基于数据包报头中的信息，例如源IP地址、目标IP地址、源端口和目的端口等等。B动态包过滤：采用动态设置包过滤规则的方法过滤数据包。采用这种技术的防火墙对每一个连接都进行跟踪，动态地决定哪些数据包可以通过，并且可以根据需要动态地在过滤规则中增加或更新条目。C包状态检测：继承了包过滤技术的优点，同时摒弃了包过滤技术仅考察数据包的IP地址、协议类型等几个参数，而不关心数据包连接状态的缺点，就是包状态检测。通过建立状态连接表，并将进出网络的数当成一个个的会话，利用状态表跟踪每一个会话状态。因而能提供更完整的对传输层的控制能力。D深度包检测：融合了入侵检换和攻击防范能力，通过指纹匹配、启发式技术、异常检测和统计分析等技术来决定如何处理数据包，并可以根据特征检测盒内容过滤来寻找已知的攻击，阻止分布式拒绝服务攻击、病毒传播和异常访问等威胁行为。（2） 代理服务：在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全阻隔了网络通信流，是的从内部网络发出的数据包经过代理技术处理后，就好像是源于防火墙的外部网卡一样，从而可以达到隐藏内部网络结构的作用。 A 应用层代理：又称为应用层网关，工作在OSI的最高层应用层。他通过代理技术参与到一个TCP连接的全过程，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，在用户层和应用协议层间提供访问控制。当客户端提出一个请求时，代理程序将核实请求，处理连接请求，并将处理后的请求传递出去，然后接受应答并作处理，最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。应用层代理服务器针对不同的网络应用提供不同的处理，例如HTTP代理、FTP代理等。 B电路层代理：又称电路级网关，用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息，从而判断该会话请求是否合法。显然，电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。（3） 状态监视技术：这是第三代防火墙技术，继承了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口，这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。4 防火墙的未来：未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用 网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。 未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。5 结束语： 物联网作为未来信息领域的发展新方向将给世界带来很大的变化，但是，在物联网显著提高经济和社会运行效率的同时，也要看到安全问题面临的严峻挑战。防火墙仅作为保护物联网安全的其中一项方法，仍任重