网络安全与防火墙技术

1、制造业自动化网络安全与防火墙技术杜淑光，陈永浩（北京机械工业自动化研究所，北京100011）摘要：网络安全技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多学科的综合性学科。随着 Internet 的迅速发展，网络安全问题日益严重，网络安全技术也被人们重视起来。解决网络安全问题的重要手段就是防火墙技术。文中首先对计算机网络安全中的防火墙技术进行了概述，然后论述了网络防火墙安全技术的分类及其主要技术特征，最后对防火墙的未来发展趋势进行了简单的介绍。关键词：网络；安全；防火墙中图分类号：TP391文献标识码：B文章编号：1009-0134(2007)1

2、2-0074-031概述Internet的迅速发展在提高了工作效率的同时，也带来了一个日益严峻的问题网络安全。很多企业为了保障自身服务器或数据安全都采用了防火墙。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。传统的防火墙通常

3、是基于访问控制列表(ACL)进行包过滤的，位于内部专用网的入口处，所以也俗称颖呓绶阑鹎接。随着计算机技术的发展，新的防火墙技术不断涌现，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在 O S I 参考模式的网络层，；有的工作在传输层，还有的工作在应用层。除了访问控制功能外，现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术，如 N A T 和 V P N 、病毒防护等。2几种主要的防火墙技术根据防火墙所采用的技术和对数据的处理方式不同,我们可以将它分为三种基本类型：包过滤型，收稿日期：2007-08-02作者简介：杜淑光，女，北京机械工业

4、自动化研究所。代理型和监测型。2.1 包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如 IP 地址。其工作原理是用户在网络中传输的信息被分割成具有一定大小和长度的 “包（Packet，或称为分组）”进行传输，每一个数据包的包头中都会包含数据包的 I P 源地址、目标地址、传输协议（TCP、UDP 、ICMP 等）、TCP/UDP目标端口、ICMP 消息类型等信息。这些分组采用存储转发技术逐一发送到目标主机。根据定义好的过滤规则检查每个通过它

5、的数据包，以确定其是否与某一条或多条过滤规则相匹配，并决定是否允许该数据包通过。即它对每一个数据包的包头按照包过滤规则进行判定，与规则相匹配的包则根据路由表信息继续转发，否则，则丢弃之。过滤规则是一个在系统内部设置的访问控制表（Access Control Table），它是根据数据包的包头信息来制定的。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低, 它不针对各个具体的网络服务采取特殊的处理方式，具有较强的通用性，可以满足大部分网络用户的安全需求在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术也存在非常明显的缺陷。包过

6、滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识【74】第 29 卷第 12 期2007-12制造业自动化别基于应用层的恶意侵入,如恶意的Java小程序以及传送中的数据流量。当安全要求较高时，安全检查电子邮件中附带的病毒。有经验的黑客很容易伪造仍在应用层中进行，保证防火墙的最大安全性；而IP 地址,骗过包过滤型防火墙。同时，由于访问控制一旦可信任身份得到认证，其后的数据便可直接通表中的过滤规则数目有限，因而各种安全要求不可过速度快得多的网络层。能充分满足，而且随着过滤规则数目的增加，设备2.3 监测型及网络性能均会受到很大地影响?。监测型防火墙是

7、新一代的产品,这一技术实际已2.2 代理型经超越了最初的防火墙定义。监测型防火墙能够对第一代代理型防火墙也可以被称为代理服务器,各层的数据进行主动的、实时的监测,在对这些数据它的安全性要高于包过滤型产品,并已经开始向应用加以分析的基础上,监测型防火墙能够有效地判断出层发展。在计算机和代理服务器之间会建立起一个各层中的非法侵入。同时,这种监测型防火墙产品一连接，这是作为一个媒介，并且是新的系统节点，用般还带有分布式探测器,这些探测器安置在各种应用来进行询问和监测。这样一来就避免了两个系统之服务器和其他网络的节点之中,不仅能够监测来自网间的直接连接，使得袭击者更加难以发现网络的真络外部的攻击,同时

8、对来自内部的恶意破坏也有极强实端口，因为他们永远都不能够获得直接由目标系的防范作用。据权威机构统计,在针对网络系统的攻统传送的数据包。击中,有相当比例的攻击来自网络内部。因此,监测型代理服务器也对它们支持的协议提供深入的和防火墙不仅超越了传统防火墙的定义,而且在安全性熟悉协议的安全分析。这使它们能够比那些纯粹以上也超越了前两代产品。数据包头信息为重点的产品做出更好的安全决策。虽然监测型防火墙安全性上已超越了包过滤型例如，一个专门为支持 FTP 协议而编写的代理防火和代理服务器型防火墙,但由于监测型防火墙技术的墙能够监视在命令通道上发出的实际的 F T P 命令，实现成本较高,也不易管理,所以目

9、前在实用中的防火并且阻止任何禁止的行为。代理防火墙允许实施熟墙产品仍然以第二代代理型产品为主,但在某些方面悉协议的记录。因为服务器是由代理保护的，这种也已经开始使用监测型防火墙。基于对系统成本与记录能够让人们很容易发现攻击方法并且为现有的安全技术成本的综合考虑,用户可以选择性地使用某记录创建一个备份。些监测型技术。这样既能够保证网络系统的安全性代理服务器的优点是安全性较高,可以针对应用需求,同时也能有效地控制安全系统的总拥有成本。层进行侦测和扫描,对付基于应用层的侵入和病毒都实际上,作为当前防火墙产品的主流趋势,大多十分有效。其缺点是对系统的整体性能有较大的影数代理服务器(也称应用网关)也集成

10、了包过滤技术,响,而且代理服务器必须针对客户机可能产生的所有这两种技术的混合应用显然比单独使用具有更大的应用类型逐一进行设置,大大增加了系统管理的复杂优势。由于这种产品是基于应用的,应用网关能提供性。对协议的过滤。例如,它可以过滤掉 FTP 连接中的第二代代理防火墙称为自适应代理防火墙，它PUT 命令,而且通过代理应用,应用网关能够有效地采用自适应代理（Adaptive Proxy）技术,集动态包过避免内部网络的信息外泄。正是由于应用网关的这滤防火墙的高速度和代理服务器防火墙的安全性两些特点,使得应用过程中的矛盾主要集中在对多种网大优势为一体，这样既保证防火墙具有很高的安全络应用协议的有效支持

11、和对网络整体性能的影响上。性，又将防火墙的性能大大提高。3 防火墙的发展趋势自适应代理防火墙主要由自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic未来防火墙的发展趋势是朝高速、多功能化、Packet filter）组成。在自适应代理防火墙中，对数更安全的方向发展。据包的初始安全检查仍然在应用层进行，一旦建立从国内外历次测试的结果都可以看出，目前防安全通道，其后的数据包就可重新定向到网络层快火墙一个很大的局限性是速度不够。新一代防火墙速转发；另外，自适应代理技术可根据用户定义的系统不仅应该能更好地保护防火墙后面内部网络的安全规则（如服务类型、安全级别等

12、），动态“适应”安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，第 29 卷第 12 期2007-12【75】制造业自动化但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持 NAT 功能，它可以让受防火墙保护的一边的 IP 地址不至于暴露在没有保护的另一边，但启用 NAT 后，势必会对防火墙系统性能有所影响，目前如何尽量减少这种影响也成为防火墙产品

13、的卖点之一。另外防火墙系统中集成的 VPN 解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。应用 ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯 CPU 的防火墙，就必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的对应用层

14、进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和 IDS 功能(传输层以下的 IDS 除外，这些检测对 CPU 消耗小)。对于 IDS，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很【上接第 61 页】普诺夫方法中的比较原理，来分析在燃烧控制系统中燃料和空气输入量的配比，在过渡过程中使系统在受到小的外界扰动后, 找到被调量和设定量之间的偏差值的平衡点，即为设定配比容许值内的燃烧效率最高且热值最为稳定。且利用能描述系统性能不仅是应用先进优化程序而且人工的智能监督，根据模式特性和输入关系

15、实施调整修改，为此，在焦炉煤气和空气流量配比变化最小时燃烧控制最佳，此时系统具有良好的实效性和稳定性。参考文献：1 阿.阿.玛尔德纽克(乌克兰). 实用稳定性及应用M. 北京:【76】第 29 卷第 12 期2007-12多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的 SYSLOG 日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传

16、送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持 IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用

17、提供更安全的保障。参考文献:1 Karanjit S, Chirs H.Internet Firewall and Network SecurityM. New Riders publishing, 1996.2 Steven M B.William R C. Network firewallsJ. IEEE Comm-unications, 1994(9).科学出版社.2004.2 阿.阿.玛尔德纽克(乌克兰). 带小参数的非线性系统的稳定性分析M. 北京: 科学出版社, 2004.3 王广雄,何联,赵文斌. 描述系统及其控制问题J. 电机与控制学报,1999,3,(4):119-222.4 SALIM L, MOHAMED S B, THIERRY M G. Adaptive fuzzy co