防火墙技术综述

　　摘要：本文从目前国内外存在的网络安全问题出发。详细介绍了信息安全技术中大家熟悉的防火墙技术，比较分析了各类防火墙技术的特点以及体系结构。并且对防火墙技术作出展望。

　　关键词：网络安全；防火墙；技术

　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2011)05-0000-01

　　一、前言

　　Internet的流行，与WEB技术的发展是密不可分的。标准的WEB服务通过客户端的WEB浏览器向WEB服务器发出请求，以进行文件读取，数据提交或信息检索等操作。因此黑客攻击猖獗。随着人们对WEB依赖性的增强，针对WEB的攻击也越来越多。那些越是流行的服务器、越是流行的应用软件，越发成为被攻击的对象。美国>杂志进行一年一度的信息安全行业调查表明，与2000年相比，2001年美国WEB服务器受攻击的次数翻了一翻。近50%的受调查企业收到外界对他们的WEB服务器的攻击，高于2000年的24%，而通过WEB对个人主机发起的攻击更是举不胜举。我们可以看出网络的不安全原因是：自身缺陷+开放性+黑客攻击。与网络安全相关的技术有：（1）防火墙技术；（2）PKI技术；（3）VPN技术；（4）入侵检测技术；（5）病毒防护技术。

　　针对出现的各种网络安全防护技术，本文将对防火墙技术做详细介绍。

　　二、防火墙技术

　　（一）防火墙的概念。防火墙是一种用来加强网络之间访问控制的特殊网络互连设备。是一种非常有效的网络安全模型。它的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。目的是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道。以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。

　　（二）防火墙的分类

　　1.个人防火墙。是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能。常用的个人防火墙有：Norton、天网个人防火墙、瑞星防火墙等。

　　2.软件防火墙。个人防火墙也是一种纯软件的防火墙，但其应用范围较小，且只支持windows系统。功能相对来说要弱很多。并且安全性和并发连接处理能力较差。作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。

　　3.纯硬件防火墙。采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）；纯硬件防火墙最大的亮点：高性能，非常高的并发连接数和吞吐量；采用ASIC芯片的方法在国外比较流行，技术也比较成熟。

　　三、防火墙的体系结构

　　防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能，性能及使用范围。常见的防火墙的体系结构有：

　　（一）分组过滤路由器。作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。

　　（二）双宿主机。双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务的方法.堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等。

　　（三）屏蔽主机。一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。

　　（四）屏蔽子网。屏蔽子网是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（DemilitarizedZone）），如图4所示。在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中。

　　四、防火墙技术展望

　　随着技术的发展，防火墙技术也得到了长足的发展。在今后将会有智能防火墙，分布式防火墙，网络产品的系统化的应用。

　　（一）智能防火墙。智能防火墙是采用人工智能识别技术（统计，记忆，概率和决策等）。因此智能防火墙具有安全，高效的特点。在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。

　　（二）分布式防火墙。分布式防火墙是一种新的防火墙体系结构，包含网络防火墙，主机防火墙和管理中心。由于传统防火墙属于边界防火墙。缺陷是：结构性限制；内部威胁；效率和故障。但是分布式防火墙是一种新的防火墙体系结构，在网络内部增加了另一层安全，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算的特点。

　　（三）网络产品的系统化。以防火墙为核心的网络安全体系的解决方法。（1）直接把相关安全产品“做”到防火墙中。（2）各个产品相互分离，但是通过某种通信方式形成一个整体。

　　五、总结

　　随着Internet技术的发展，网络安全将会面临更加严峻的挑战。本文从网络安全角度出发，对防火墙技术进行了详细的介绍，希望能对不同的用户提供参考。