1、計算機防火墻技術淺析科學技術的飛速發展，人們已經生活在信息時代。計算機技術和 網絡技術深入到社會的各個領域，因特網把“地球村”的居民緊密 地連在了一起。因特網提供給人們的不僅僅是精彩，還無時無刻地 存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險 不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因 特網的各種有益的服務，對個人來說這樣會失去了了解世界、展示 自己的場所，對企業來說還失去了拓展業務、提高服務、增強競爭 力的機會。不斷地提高自身網絡的安全才是行之有效地辦法。一、防火墻是什么防火墻是一種非常有效的網絡安全模型。 主要用來保護安全網絡 免受來自不安全網絡的入侵，比如安

2、全網絡可能是企業的內部網絡， 不安全網絡是因特網。但防火墻不只是用于因特網，也用于 IntranetIntranet 中的部門網絡之間。在邏輯上，防火墻是過濾器限制器和分析器;在物理上，防火墻的實現有多種方式。通常，防火墻是一組硬件設 備路由器，主計算機，或者是路由器，計算機和配有的軟件的網 絡的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預算以及全面規劃等。二、防火墻的分類從防火墻的防范方式和側重點的不同來看，防火墻可以分為很 多類型，但是根據防火墻對內外來往數據處理方法， 大致可將防 火墻分為兩大體系：包過濾防火墻和代理防火墻。靜態包過濾防火墻：靜態包過濾防火墻采用的是一個都不放

3、過的原則。它會檢查所有通過信息包里的 IPIP 地址號，端口號及其它的包頭信息，并根據系統 管理員給定的過濾規則和準備過濾的信息包一一匹配，其中：如果 信息包中存在一點與過濾規則不符合，那么這個信息包里所有的信 息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的， 如果每條規都和過濾規則相匹配，那么信息包就允許通過。靜態包 的過濾原理就是：將信息分成若干個小數據片（數據包），確認符 合防火墻的包過濾規則后，把這些個小數據片按順序發送，接收到 這些小數據片后再把它們組織成一個完整的信息這個就是包過濾的 原理。這種靜態包過濾防火墻，對用戶是透明的，它不需要用戶的 用戶名和密碼就可以登錄，它的

4、速度快，也易于維護。但由于用戶 的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一 個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊 者來說是攻破它是非常容易的。動態包過濾防火墻：靜態包過濾防火墻的缺點，動態包過濾防火墻都可以避免。它采 用的規則是發展為“包狀態檢測技術”的動態設置包過濾規則。它 可以根據需要動態的在過濾原則中增加或更新條目， 在這點上靜態 防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。 在 這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火 墻不同之點在于，它的內外網之間不存在直接的

5、連接，一般由兩部 分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節 點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。代理（應用層網關）防火墻：這種防火墻被網絡安全專家認為是最安全的防火墻，主要是因為從內部發出的數據包經過這樣的防火墻處理后，就像是源于防火墻 外部網卡一樣，可以達到隱藏內部網結構的作用。由于內外網的計 算機對話機會根本沒有，從而避免了入侵者使用數據驅動類型的攻 擊方式入侵內部網。自適應代理防火墻：自適應代理技術是商業應用防火墻中實現的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優點，即保證了安全性又 保持了高速度，同時它的性能也在代理防火墻的

6、十倍以上，在一般 的情況下，用戶更傾向于這種防火墻。三、防火墻功能防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是 指運行特別編寫或更改過操作系統的計算機，它的目的就是保護內 部網的訪問安全。防火墻可以安裝在兩個組織結構的內部網與外部 的 InIn terter netnet 之間，同時在多個組織結構的內部網和 InIn terneternet t 之間也 會起到同樣的保護作用。它主要的保護就是加強外部InIn ternetternet 對內部網的訪問控制，它主要任務是允許特別的連接通過，也可以阻止 其它不允許的連接。防火墻只是網絡安全策略的一部分，它通過少 數幾個良好的監控位置來進行

7、內部網與 InIn ternetternet 的連接。防火墻的 核心功能主要是包過濾。其中入侵檢測，控管規則過濾，實時監控 及電子郵件過濾這些功能都是基于圭寸包過濾技術的。防火墻的主體功能歸納為以下幾點：(1)(1)根據應用程序訪問規則可對應用程序聯網動作進行過濾。(2)(2)對應用程序訪問規則具有自學習功能。(3)(3)可實時監控，監視網絡活動。(4)(4)具有日志，以記錄網絡訪問動作的詳細信息。(5)(5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。四、防火墻的不足防火墻對網絡的威脅進行極好的防范， 但是，它們不是安全解決方 按的全部。某些威脅是防火墻力所不及的。防火墻不能防止內部的攻擊，

8、因為它只提供了對網絡邊緣的防衛。 內部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防 止像社會工程攻擊一一種很常用的入侵手段，就是靠欺騙獲得一些可 以破壞安全的信息，如網絡的口令。另外，一些用來傳送數據的電話 線很有可能被用來入侵內部網絡。另一個防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現在有 些防火墻可以檢查病毒和特洛伊木馬， 但這些防火墻只能阻擋已知的 惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序 不僅僅來自網絡，也可能來自軟盤。五、常見攻擊方式以及應對策略(1 1)常見攻擊方式病毒盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能， 但仍然很難將所有的

9、病毒(或特洛伊木馬程序)阻止在網絡外面，很 容易欺騙用戶下載一個程序從而讓惡意代碼進入內部網。策略：設定安全等級，嚴格阻止系統在未經安全檢測的情況下執行 下載程序；或者通過常用的基于主機的安全方法來保護網絡。口令字對口令字的攻擊方式有兩種： 窮舉和嗅探。 窮舉針對來自外部網絡 的攻擊，來猜測防火墻管理的口令字。探針對內部網絡的攻擊，通過 監測網絡獲取主機給防火墻的口令字。 策略：設計主機與防火墻通過單獨接口通信（即專用服務器端口）、 采用一次性口令或禁止直接登錄防火墻。郵件來自于郵件的攻擊方式越來越突出， 在這種攻擊中， 垃圾郵件制造 者將一條消息復制成成千上萬份，并按一個巨大的電子郵件地址清

10、單 發送這條信息，當不經意打開郵件時，惡意代碼即可進入。策略：打開防火墻上的過濾功能，在主機上采取相應阻止措施。IPIP 地址黑客利用一個類似于內部網絡的 IPIP 地址，以“逃過”服務器檢測， 從而進入內部網絡達到攻擊的目的。策略：通過打開內核功能， 丟棄所有來自網絡外部卻有內部地址的 數據包；同時將特定 IPIP 地址與 MAMA（綁定，只有擁有相應 MAMA 地址的用戶 才能使用被綁定的 IPIP 地址進行網絡訪問。（2 2）應對策略方案選擇市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。 軟件防火 墻需運行在一臺標準的主機設備上，依托網絡在操作系統上實現防火 墻的各種功能，因此也稱“

11、個人”防火墻，其功能有限，基本上能滿 足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設計，并集成在 一起，運行于自己專用的系統平臺。由于硬件防火墻集合了軟件方面， 從功能上更為強大，目前已普遍使用。結構透明防火墻的透明性是指防火墻對于用戶是透明的。以網橋的方式將防火墻接入網絡，網絡和用戶無需做任何設置和改動，也根本意識不到 防火墻的存在。然后根據自己企業的網絡規模，以及安全策略來選擇 合適的防火墻的構造結構（可參照本文第 3 3 點分析），如果經濟實力雄 厚的可采用屏蔽子網的拓撲結構。實施措施好的防火墻產品應向使用者提供完整的安全檢查功能，應有完善及時的售后服務。但一個安全的網絡仍必須靠使用者

12、的觀察與改進，企 業要達到真正的安全仍需內部的網絡管理者不斷記錄、追蹤、改進， 定期對防火墻和相應操作系統用補丁程序進行升級。七、防火墻的發展歷程（1 1）基于路由器的防火墻由于多數路由器本身就包含有分組過濾功能，網絡訪問控制可能通 過路由器控制來實現，從而使具有分組過濾功能的路由器成為第一代 防火墻產品。第一代防火墻產品的特點：1 1）利用路由器本身對分組的解析， 以訪問控制表（AccessAccess ListList） 方 式實現對分組的過濾；2 2） 過濾判斷的依據可以是：地址、端口號及其他網絡特征；3 3）只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安 全要求低的網絡可以采

13、用路由器附帶防火墻功能的方法，而對安全性 要求高的網絡則需要單獨利用一臺路由器作為防火墻。I I（2 2）第一代防火墻產品的不足之處具體表現為：1 1）路由協議十分靈活，本身具有安全漏洞，外部網絡要探尋內部 網絡十分容易。2 2）路由器上分組過濾規則的設置和配置存在安全隱患。 對路由器 中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性。作 用端口的有效性和規則的正確性，一般的網絡系統管理員難于勝任， 加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往 會帶來很多錯誤。二3 3）路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于 信息在網絡上是以明文方式傳送的，黑客（Hac

14、kerHacker）可以在網絡上偽造 假的路由信息欺騙防火墻。路由器防火墻的本質缺陷是：由于路由器的主要功能是為網絡訪問提 供動態的、靈活的路由，而防火墻則要對訪問行為實施靜態的、固定 的控制，這是一對難以調和的矛盾，防火墻的規則設置會大大降低路 由器的性能。可以說基于路由器的防火墻技術只是網絡安全的一種應急措施，用這 種權宜之計去對付黑客的攻擊是十分危險的。（4 4）用戶化的防火墻工具套為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發 的防火墻系統來保護自己的網絡，從而推動了用戶防火墻工具套的出 現。作為第二代防火墻產品，用戶化的防火墻工具具有以下特征：1 1） 將過濾功能從路由器

15、中獨立出來，并加上審計和告警功能；2 2） 針對用戶需求，提供模塊化的軟件包；3 3） 軟件可以通過網絡發送，用戶可以自己動手構造防火墻；4 4） 與第一代防火墻相比，安全性提高了，價格也降低了。第二代防火墻產品的缺點1 1）無論在實現上還是在維護上都對系統管理員提出了相當復雜的 要求，2 2）配置和維護過程復雜、費時；3 3）對用戶的技術要求高；4 4）全軟件實現，使用中出現差錯的情況很多。（5 5）建立在通用操作系統上的防火墻 基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很 快推出了建立在通用操作系統上的商用防火墻產品。系統上的防火墻的特點：1 1） 是批量上市的專用防火墻產

16、品；2 2） 包括分組過濾或者借用路由器的分組過濾功能；3 3） 裝有專用的代理系統，監控所有協議的數據和指令；4 4） 保護用戶編程空間和用戶可配置內核參數的設置；二5 5） 安全性和速度大大提高。第三代防火墻有以純軟件實現的，也有以硬件方式實現的，它們已 經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延， 仍表現出不少問題。（6 6）操作系統上的防火墻的缺點1 1）作為基礎的操作系統及其內核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；2 2） 由于大多數防火墻廠商并非通用操作系統的廠商， 通用操作系統 廠商不會對操作系統的安全性負責；3 3）從本質上看，第三代防火墻既要防止來自外部網絡的攻擊，還要防止來自操作系統廠商的攻擊；4 4）透明性好，易于使用。隨著 InIn ternet/lternet/l ntranetntranet 技術的飛速發展，網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措