防火墻技術及其體系結構研究

防火墻技術及其體系結構研究

　　摘要： 本文首先指出了計算機網絡發展過程中的安全問題，然后給出了網絡安全可行的解決方案——防火墻技術，同時分析了實現防火墻的幾種主要技術，并討論了構筑、配置防火墻的幾種基本的體系結構。
　　
　　關鍵詞：防火墻 體系結構 網絡安全 外部網絡 內部網絡
　　
　　1概述
　　
　　隨著計算機網絡的發展，上網的人數不斷地增大，網上的資源也不斷地增加，網絡的
　　
　　開放性、共享性、互連程度也隨著擴大。政府上網工程的啟動和實施，電子商務（electronic commerce）、電子貨幣（electronic currency）、網上銀行等網絡新業務的興起和發展，使得網絡安全問題顯得日益重要和突出。防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。
　　
　　防火墻實際上是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，
　　
　　阻止對信息資源的非法訪問， 也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。換言之，防火墻是一道門檻， 控制進出兩個方向的通信。通過限制與網絡或某一特定區域的通信， 以達到防止非法用戶侵犯受保護網絡的目的。
　　
　　防火墻不是一個單獨的計算機程序或設備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網絡間不受歡迎的信息交換，而允許那些可接受的通信。
　　
　　2防火墻技術
　　
　　網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備，它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，其中被保護的網絡稱為內部網絡或私有網絡，另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸，從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性：
　　
　　1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻；
　　
　　2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻；
　　
　　3、防火墻本身不受各種攻擊的影響；
　　
　　4、使用目前新的信息安全技術，比如現代密碼技術等；
　　
　　5、人機界面良好，用戶配置使用方便，易管理。
　　
　　實現防火墻的主要技術有： 數據包過濾， 應用網關和代理服務等。
　　
　　2.1 包過濾技術
　　
　　包過濾（Packet Filter）技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯， 檢查數據流中每個數據包后， 根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過，其核心是安全策略即過濾算法的設計。
　　
　　例如，用于特定的因特網服務的服務器駐留在特定的端口號的事實（如TCP端口23用于Telnet連接），使包過濾器可以通過簡單的規定適當的端口號來達到阻止或允許一定類型的連接的目的，并可進一步組成一套數據包過濾規則。
　　
　　包過濾技術作為防火墻的應用有三類： 一是路由設備在完成路由選擇和數據轉發之外， 同時進行包過濾， 這是目前較常用的方式； 二是在工作站上使用軟件進行包過濾， 這種方式價格較貴； 三是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能。
　　
　　2.2應用網關技術
　　
　　應用網關（Application Gateway）技術是建立在網絡應用層上的協議過濾，它針對特別的網絡應用服務協議即數據過濾協議，并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制， 以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中， 應用網關一般由專用工作站系統來完成。
　　
　　有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時，服務器將檢查所緩存的頁面是否是最新的版本（即該頁面是否已更新），如果是最新版本，則直接提交給用戶，否則，到真正的服務器上請求最新的頁面，然后再轉發給用戶。
　　
　　2.3代理服務器技術
　　
　　代理服務器（Proxy Server）作用在應用層，它用來提供應用層服務的控制，起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其它接點的直接請求。
　　
　　具體地說，代理服務器是運行在防火墻主機上的專門的應用程序或者服務器程序；防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機，也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求（諸如FTP、Telnet），并按照一定的安全策略轉發它們到實際的服務。代理提供代替連接并且充當服務的網關。
　　
　　包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據通過，其優點是速度快、實現方便，缺點是審計功能差，過濾規則的設計存在矛盾關系，過濾規則簡單，安全性差，過濾規則復雜，管理困難。一旦判斷條件滿足， 防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前。代理技術則能進行安全控制又可以加速訪問，能夠有效地實現防火墻內外計算機系統的隔離，安全性好，還可用于實施較強的數據流監控、過濾、記錄和報告等功能。其缺點是對于每一種應用服務都必須為其設計一個代理軟件模塊來進行安全控制，而每一種網絡應用服務的安全問題各不相同，分析困難，因此實現也困難。
　　
　　在實際應用當中，構筑防火墻的“真正的解決方案”很少采用單一的技術，通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險，采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。
　　
　　一些協議（如Telnet、SMTP）能更有效地處理數據包過濾，而另一些（如FTP、Gopher、WWW）能更有效地處理代理。大多數防火墻將數據包過濾和代理服務器結合起來使用。
　　
　　3 防火墻的體系結構
　　
　　3.1 雙重宿主主機體系結構
　　
　　雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另外一個網絡發送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發送。因此IP數據包并不是從一個網絡（如外部網絡）直接發送到另一個網絡（如內部網絡）。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。如圖1.
　　
　　3.2 被屏蔽主機體系結構
　　
　　雙重宿主主機體系結構防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開，如圖2.在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用于防止人們繞過代理服務器直接相連）。
　　
　　圖1 雙重宿主主機體系結構
　　
　　這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。
　　
　　圖2 被屏蔽主機體系結構
　　
　　數據包過濾容許堡壘主機開放可允許的連接（什么是“可允許連接”將由你的站點的特殊的安全策略決定）到外部世界。
　　
　　在屏蔽的路由器中數據包過濾配置可以按下列方案之一執行：
　　
　　·允許其它的內部主機為了某些服務開放到Internet上的主機連接（允許那些經由
　　
　　數據包過濾的服務）
　　
　　·不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）
　　
　　圖2 被屏蔽主機體系結構
　　
　　3.3被屏蔽子網體系結構
　　
　　被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡（通常是Internet）隔離開。
　　
　　被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為Internet）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”.為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。如圖3.
　　
　　圖3 被屏蔽子網體系結構
　　
　　4結束語
　　
　　隨著Internet/Intranet技術的飛速發展，網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當，可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題，比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。事實上60%以上的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網絡法規、提高網絡管理人員的安全意識等等。
　　
　　參考文獻
　　
　　1、Karanjit S,Chirs H.Internet Firewall and Network Security,New Riders publishing,1996
　　
　　2、Steven M B, William R C. Network firewalls. IEEE Communications, 1994（9）
　　
　　3、林曉東，楊義先。 網絡防火墻技術。 電信科學， 1997（13）
　　
　　4、黃允聰，嚴望佳。 防火墻的選型、配置、安裝和維護。 清華大學出版社，1999
　　
　　作者簡介：黃智祥，男，合肥工業大學碩士研究生，主要研究方向：計算機網絡與分布式數據庫
　　
　　葉震，男，合肥工業大學微機所副研究員，主要研究方向：計算機網絡與多媒體技術
　　
　　孫志勇，男，合肥工業大學博士研究生，主要研究方向：計算機網絡與信息系統

【防火墻技術及其體系結構研究】相關文章：

Internet防火墻技術綜述08-06

新技術推廣的阻礙因素及其對策研究——以高校為例08-26

消費及其與經濟增長關系的研究08-05

股份回購研究及其在中國的應用08-05

軟交換技術及其應用08-06

論景觀概念及其研究的發展08-06

自認構成及其證據價值與規則研究08-05

德國基金研究及其借鑒價值08-05

WEP安全性能研究及其攻擊08-06