浅析防火墙技术

　　防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

　　一、防火墙的概念

　　防火墙是网络安全工具中最早成熟、最早产品化的。网络防火墙一般定义为两个网络间执行访问控制策略的一个或一组系统。防火墙现在已成为许多组织将其内部网介入外部网所必需的安全措施了。特别意义上说，防火墙是部件和系统的汇集器，它置于两个网络之间，并具有如下特性：所有从内部通向外部的通信业务都必须经过它；只有被预定本地安全策略授权的信息流才被允许通过；该系统自身具有很高的抗攻击能力。简言之，防火墙是由于保护可信网络免受非可信网络的威胁，同时仍允许双方通信。

　　二、防火墙的功能

　　本质上来讲，防火墙认为是两个网络间的隔断，只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力：防火墙自身应当不易被攻入，因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求看，理想的防火墙应具备以下功能：能够分析进出网络的数据；能够通过识别、认证和授权对进出网络的行为进行访问控制；能够封堵安全策略禁止的业务；能够审计跟踪通过的信息内容和活动；能够对网络入侵行为进行检测和报警。

　　三、防火墙的类型

　　1．应用网关（也称为基于代理的）防火墙

　　它通常被配置为“双宿主网关”，具有两个网络接口卡，同时介入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就成为“代理”，通常是为其所提供的服务定制的。代理服务不允许字节连接，而是与代理服务器通信。各个应用代理在用户和服务之间处理所有的通信，能够对通过它的数据进行详细的审计追踪。代理级防火墙具有以下主要优点：代理服务可以识别并实施高层协议，如http和ftp等；代理服务包含通过防火墙服务器的通信信息；通过提供透明服务，可以让使用代理的用户感觉在直接与外部通信。

　　2．基于状态检查的动态包过滤防火墙

　　目前，最新的防火墙技术是基于状态检查的，提供“动态包过滤”的功能。基于状态检查的动态包过滤是一种新型的防火墙技术，就象代理防火墙和包过滤路由器的交叉产物。对终端用户来讲，它看起来只工作在网络层，但事实上该防火墙同代理防火墙一样可在应用层检查流经的通信。它能够监视活动连接的状态并根据这些信息决定哪些包允许通过防火墙，对通过安全边界的数据使用虚连接。如果一个相应包产生并返回给原请求者，则虚连接建立并允许该包通过防火墙，该连接终止即断开此虚连接，相当于动态地更改安全规则库。

　　四、防火墙的体系结构

　　1．屏蔽路由器(ScreeningRouter)

　　屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现，而且不能识别不同的用户。

　　2．双穴主机网关(DualHomedGateway)

　　双穴主机网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。

　　3．被屏蔽主机网关(ScreenedGatewy)

　　屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器，网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

　　4．被屏蔽子网(ScreenedSubnet)

　　被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。