Internet防火墻技術(shù)綜述

摘要：隨著Internet的迅猛發(fā)展，安全性已經(jīng)成為網(wǎng)絡(luò)互聯(lián)技術(shù)中最關(guān)鍵的問(wèn)題。本文全面介紹了Internet防火墻技術(shù)與產(chǎn)品的發(fā)展歷程；詳細(xì)剖析了第四代防火墻的功能特色、關(guān)鍵技術(shù)、實(shí)現(xiàn)方法及抗攻擊能力；同時(shí)簡(jiǎn)要描述了Internet防火墻技術(shù)的發(fā)展趨勢(shì)。

關(guān)鍵詞：Internet 網(wǎng)路安全 防火墻 過(guò)濾 地址轉(zhuǎn)換

1． 引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場(chǎng)量還不到1萬(wàn)套；到1996年底，就猛增到10萬(wàn)套；據(jù)國(guó)際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測(cè)，防火墻市場(chǎng)將以173%的復(fù)合增長(zhǎng)率增長(zhǎng)，今年底將達(dá)到150萬(wàn)套，市場(chǎng)營(yíng)業(yè)額將從1995年的?1.6?億美元上升到今年的9.8億美元。?

為了更加全面地了解Internet防火墻及其發(fā)展過(guò)程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對(duì)防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。?

2. Internet防火墻技術(shù)簡(jiǎn)介?

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類(lèi)似的用來(lái)防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上，防火墻并不像現(xiàn)實(shí)生活中的防火墻，它有點(diǎn)像古代守護(hù)城池用的護(hù)城河，服務(wù)于以下多個(gè)目的：?

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入；?

2)限定人們從一個(gè)特定的點(diǎn)離開(kāi)；?

3)防止侵入者接近你的其他防御設(shè)施；?

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。?

在現(xiàn)實(shí)生活中，Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet，如圖1所示。

圖1 防火墻在Internet中的位置

　

從上圖不難看出，所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么，防火墻究竟是什么呢?實(shí)際上，防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3. 防火墻技術(shù)與產(chǎn)品發(fā)展的回顧?

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：?

●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；?

●管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；?

●封堵某些禁止行為；?

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；?

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。?

為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開(kāi)發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)�、�?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段�？v觀防火墻近年來(lái)的發(fā)展，可以將其劃分為如下四個(gè)階段(即四代)。?

3.1 基于路由器的防火墻?

由于多數(shù)路由器本身就包含有分組過(guò)濾功能，故網(wǎng)絡(luò)訪問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：?

1)利用路由器本身對(duì)分組的解析，以訪問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾；?

2)過(guò)濾判斷的依據(jù)可以是：地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；?

3)只有分組過(guò)濾的功能，且防火墻與路由器是一體的。這樣，對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。?

第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：?

●路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過(guò)濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。?

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來(lái)很多錯(cuò)誤。?

●路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。?

●路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。?

【Internet防火墻技術(shù)綜述】相關(guān)文章：

談分布式防火墻技術(shù)及其應(yīng)用03-18

基于高效環(huán)保的治蟲(chóng)技術(shù)綜述03-18

MCU應(yīng)用系統(tǒng)與Internet連接的一種新技術(shù)03-18

Internet 與網(wǎng)絡(luò)審計(jì)03-23

單相電機(jī)變頻調(diào)速技術(shù)綜述03-21

無(wú)線傳感器網(wǎng)絡(luò)協(xié)作技術(shù)綜述03-04

客戶(hù)關(guān)系管理與數(shù)據(jù)挖掘技術(shù)綜述03-21

電子商務(wù)中技術(shù)安全運(yùn)用綜述11-30

大體積混凝土結(jié)構(gòu)施工技術(shù)綜述03-13

風(fēng)電設(shè)備安裝技術(shù)管理綜述03-28