1 防火墻概念

    作為現(xiàn)代技術(shù)層面上非常好的一個(gè)網(wǎng)絡(luò)安全屏障，防火墻是由硬件和軟件設(shè)備組合而成的，人們往往將其設(shè)置在受保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)。在設(shè)計(jì)防火墻系統(tǒng)的過(guò)程中，阻塞點(diǎn)、最小特權(quán)、故障安全狀態(tài)、縱深防御、最薄弱的環(huán)節(jié)簡(jiǎn)化等原則是我們一定要遵循的。

2 防火墻的分類及其優(yōu)缺點(diǎn)

    2.1包過(guò)濾防火墻

    包過(guò)濾防火墻可以對(duì)經(jīng)過(guò)網(wǎng)絡(luò)的包的包頭進(jìn)行查詢，從而決定包的未來(lái)定向。通過(guò)包過(guò)濾防火墻，有些包被丟棄，有些包經(jīng)過(guò)，有些包被用來(lái)進(jìn)行其它的處理。

    包過(guò)濾防火墻具有以下優(yōu)點(diǎn):所有經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包都會(huì)由其實(shí)現(xiàn)低層次的控制;每個(gè)IP數(shù)據(jù)包都進(jìn)行領(lǐng)域檢查;如果經(jīng)過(guò)網(wǎng)絡(luò)的包帶有欺騙性源IP地址的，那么它就會(huì)被防火墻識(shí)別并丟棄;為了實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間進(jìn)行訪問(wèn)，我們必須經(jīng)由包過(guò)濾防火墻;路由器數(shù)據(jù)包中通常包含包過(guò)濾，所以不需要另外添加系統(tǒng)進(jìn)行處理。

    包過(guò)濾防火墻有以下缺點(diǎn):很難進(jìn)行配置，因?yàn)榘�過(guò)濾防火墻具有復(fù)雜性的特性，可能導(dǎo)致一些必要規(guī)則的建立被人忘記，也可能導(dǎo)致不能正確的進(jìn)行配置;人們可能會(huì)使用其他的一些方法使得防火墻不能察覺。

    2.2狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻通過(guò)試圖跟蹤通過(guò)防火墻的網(wǎng)絡(luò)連接和數(shù)據(jù)包，從而使防火墻使用一個(gè)額外的準(zhǔn)則，以確定是否允許和拒絕通信。

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻有以下優(yōu)點(diǎn):它基于遵守包中信息過(guò)濾規(guī)則，并檢測(cè)IP數(shù)據(jù)包的所有字段;確定源IP地址偽造數(shù)據(jù)包的能力:根據(jù)應(yīng)用程序信息并推斷出該包所處的狀態(tài)信息;記錄所有通過(guò)網(wǎng)絡(luò)的包的信息。

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻有以下缺點(diǎn):記錄的所有的信息，測(cè)試和分析可能導(dǎo)致的網(wǎng)絡(luò)延時(shí)，在同一時(shí)間，如果有很多連接在被使用，或網(wǎng)絡(luò)中正在運(yùn)行大流量的軟件的時(shí)候會(huì)顯得更加明易。

    2.3應(yīng)用程序代理防火墻

    應(yīng)用代理防火墻可以接受來(lái)自內(nèi)部網(wǎng)絡(luò)特定的用戶應(yīng)用程序的通信，然后創(chuàng)建一個(gè)單獨(dú)的Web服務(wù)器的公共訪問(wèn)。由于內(nèi)網(wǎng)用戶不能實(shí)現(xiàn)與外部服務(wù)器的直接通信，使得所有的內(nèi)部網(wǎng)絡(luò)均拒絕服務(wù)器的訪問(wèn)。

    應(yīng)用程序代理防火墻有以下優(yōu)點(diǎn):指定連接控制;通過(guò)對(duì)某些協(xié)議請(qǐng)求的蔓延，減少不必要的網(wǎng)絡(luò)服務(wù);代理防火墻的大部分記錄，包括地址和時(shí)間的連接。

    應(yīng)用代理防火墻有以下缺點(diǎn):用戶的系統(tǒng)的設(shè)定有特定的范圍，這根據(jù)應(yīng)用程序的不同而有所不同;在網(wǎng)絡(luò)中某些部位根本不支持代理連接的使用。

    2.4 NAT

    NAT是經(jīng)常用于居民區(qū)、小型會(huì)議室的協(xié)議，通過(guò)NAT協(xié)議內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址可以被轉(zhuǎn)換到一個(gè)大家都知道的地址并轉(zhuǎn)發(fā)到Internet上。

    NAT有如下優(yōu)點(diǎn):外界沒(méi)有任何途徑可以獲得任何內(nèi)部人的IP地址;當(dāng)公共IP地址資源不足時(shí)，通過(guò)NAT的使用，只需要一個(gè)單獨(dú)的IP地址即可實(shí)現(xiàn)所有的訪問(wèn);如果所有傳入的數(shù)據(jù)包沒(méi)有特定的NAT的話，就會(huì)將其丟棄，在這種情況下，它可以實(shí)現(xiàn)對(duì)基本的包過(guò)濾防火墻安全機(jī)制的啟用。

    NAT有如下缺點(diǎn):雖然它在一定程度上起到保護(hù)內(nèi)部網(wǎng)絡(luò)的安全的目的，但它也有很多局限，如果內(nèi)部網(wǎng)絡(luò)的木馬使用一些外部連接做NAT，那么它就會(huì)非常容易的實(shí)現(xiàn)對(duì)防火墻的穿越。

    2.5個(gè)人防火墻

    個(gè)人防火墻可以運(yùn)行在用戶的計(jì)算機(jī)上，用于保護(hù)個(gè)人電腦系統(tǒng)的安全，它和狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻使用相似的方法來(lái)保護(hù)電腦免受攻擊。

    個(gè)人防火墻有如下優(yōu)點(diǎn):提高了保護(hù)水平，從而節(jié)約了設(shè)備;外部攻擊和內(nèi)部攻擊都很攻克個(gè)人防火墻;由于個(gè)人防火墻的使用，使得公共網(wǎng)絡(luò)系統(tǒng)中的單一系統(tǒng)得到了相應(yīng)的保護(hù)。個(gè)人防火墻有如下缺點(diǎn):個(gè)人防火墻的主要缺點(diǎn)是只有一個(gè)外網(wǎng)可以連接的接口，這使得個(gè)人防火墻本身可能是脆弱的。

3 防火墻技術(shù)

    3.1包過(guò)濾技術(shù)

    包過(guò)濾技術(shù)是網(wǎng)絡(luò)監(jiān)控和過(guò)濾的IP數(shù)據(jù)包流入和流出的原則，不執(zhí)行對(duì)可疑包的發(fā)送。根據(jù)不同協(xié)議的要求，路由器在端口對(duì)數(shù)據(jù)包進(jìn)行歸類和劃分的能力被稱為包過(guò)濾。由于因特網(wǎng)和內(nèi)聯(lián)網(wǎng)的大部分連接使用路由器作必要的內(nèi)部和外部的通訊端口，所以路由器生產(chǎn)廠商在路由器的基礎(chǔ)上額外使其增加了IP過(guò)濾功能，我們把這種路由器也稱為數(shù)據(jù)包過(guò)濾或篩選路由器。通常情況下，我們使用的防火墻就是這樣一種簡(jiǎn)單的可以過(guò)濾包的路由器，只要配置合理，還是相對(duì)比較安全的。

    3.2代理服務(wù)技術(shù)

    Proxy Server是實(shí)現(xiàn)安全的一種非常重要的功能，它主要工作在開放系統(tǒng)互聯(lián)模型的對(duì)話層，是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。它的工作模塊是基于軟件形式的，但是它和過(guò)濾數(shù)據(jù)包的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式還是有一些不同的地方，它大多被用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)之間的互連。

    通常，我們使用網(wǎng)絡(luò)瀏覽器直接去連接其他網(wǎng)絡(luò)站點(diǎn)來(lái)獲取網(wǎng)絡(luò)信息的時(shí)候，我們直接連接到想要達(dá)到的站點(diǎn)的服務(wù)器，然后通過(guò)該服務(wù)器把我們想要得到的信息傳送回來(lái)。代理服務(wù)器的功能介于客戶端和Web服務(wù)器之間，通過(guò)它的使用，使得瀏覽器可以直接向代理服務(wù)器發(fā)出請(qǐng)求，而不需要再到Web服務(wù)器中取回網(wǎng)頁(yè)。

    就像一個(gè)高速緩沖存儲(chǔ)器一樣，大部分代理服務(wù)器也具備緩存功能，并且具有足夠存儲(chǔ)空間，源源不斷將最新獲得的數(shù)據(jù)存儲(chǔ)到本機(jī)的存儲(chǔ)器上，如果瀏覽器所想要得到的數(shù)據(jù)已經(jīng)出現(xiàn)在本機(jī)的存儲(chǔ)器上并且被存儲(chǔ)器更新，那么它就停止從Web服務(wù)器上繼續(xù)獲得數(shù)據(jù)，而是將存儲(chǔ)器上的數(shù)據(jù)直接傳送給用戶的瀏覽器，從而使得瀏覽速度和效率都獲得顯著的提高。

    3.3應(yīng)用層網(wǎng)關(guān)(ALG)

    應(yīng)用層網(wǎng)關(guān)也叫應(yīng)用層防火墻或應(yīng)用層代理防火墻，通常被描述為第三代防火墻。當(dāng)受信任網(wǎng)絡(luò)上的用戶打算連接到不受信任網(wǎng)絡(luò)上的服務(wù)時(shí)，該應(yīng)用被引導(dǎo)至防火墻中的代理服務(wù)器。由于在代理服務(wù)中，內(nèi)外各個(gè)站點(diǎn)之間的連接被切斷了，都必須經(jīng)過(guò)代理方才能相互連接，所以說(shuō)代理服務(wù)器可以偽裝成網(wǎng)絡(luò)上實(shí)際的服務(wù)器而不會(huì)被察覺。它可以對(duì)請(qǐng)求進(jìn)行評(píng)估，并根據(jù)一套單個(gè)網(wǎng)絡(luò)服務(wù)的規(guī)則決定允許或拒絕該請(qǐng)求。應(yīng)用層網(wǎng)關(guān)代理防火墻工作原理如圖1所示。

圖1 應(yīng)用層網(wǎng)關(guān)

    3.4網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)

    網(wǎng)絡(luò)地址轉(zhuǎn)換屬接入廣域網(wǎng)(WAN)技術(shù)，是一個(gè)Internet工程任務(wù)組標(biāo)準(zhǔn)，通過(guò)該技術(shù)的使用，我們可以將私有(保留)地址轉(zhuǎn)化為合法的IP地址。它在多種不同類型Internet接入方式和多種不同類型的網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，它可以使得具有特定功能的網(wǎng)絡(luò)上使用特定地址段的多臺(tái)PC可以實(shí)現(xiàn)對(duì)單個(gè)或全局路由的IPv4地址的共享，即它支持網(wǎng)絡(luò)上的一個(gè)單一的地址對(duì)一個(gè)單一機(jī)構(gòu)的代理。通過(guò)NAT的使用，不僅增加了IP地址使用的寬度，而且能夠?qū)��?nèi)、外網(wǎng)絡(luò)實(shí)現(xiàn)很好的隔離作用，從而使得網(wǎng)絡(luò)安全得到了保障。

    NAT設(shè)備具有如下的功能:它可以實(shí)現(xiàn)對(duì)一個(gè)狀態(tài)表的維護(hù)，該狀態(tài)表可以實(shí)現(xiàn)將內(nèi)部IP地址映射到合法IP地址上的功能。同時(shí)，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包經(jīng)過(guò)NAT設(shè)備以后將會(huì)被翻譯成正確的IP地址并被發(fā)往下一級(jí)。NAT設(shè)備會(huì)對(duì)經(jīng)過(guò)的數(shù)據(jù)包的包頭信息進(jìn)行相應(yīng)的修改，從而將原本用于網(wǎng)絡(luò)中的地址修改為專屬于NAT設(shè)備的網(wǎng)絡(luò)地址。

    3.5安全服務(wù)器網(wǎng)絡(luò)(SSN)

    為了能夠?qū)崿F(xiàn)逐年增加的用戶在使用網(wǎng)絡(luò)信息時(shí)對(duì)網(wǎng)絡(luò)安全進(jìn)行保護(hù)的要求，在設(shè)計(jì)出的最新防火墻技術(shù)中，我們將實(shí)現(xiàn)對(duì)用戶上網(wǎng)的分別保護(hù)，它功能的實(shí)現(xiàn)主要依賴于它利用一張網(wǎng)卡實(shí)現(xiàn)對(duì)外服務(wù)器功能的分割處理，使得對(duì)外服務(wù)器既處于內(nèi)部網(wǎng)絡(luò)中，又不與內(nèi)部網(wǎng)關(guān)有任何的接觸。這種技術(shù)被稱為安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)，通過(guò)該技術(shù)的使用，我們既可以分別處理服務(wù)器網(wǎng)絡(luò)上的主機(jī)，也可將其轉(zhuǎn)換成FTP，Telnet的形式并從內(nèi)部網(wǎng)上進(jìn)行處理。

4 結(jié)語(yǔ)

    防火墻技術(shù)是現(xiàn)今非常重要的一種網(wǎng)絡(luò)安全技術(shù)，它簡(jiǎn)單實(shí)用，透明度高，可被用于消除當(dāng)前網(wǎng)絡(luò)通信以及資源共享過(guò)程中遇到的種種安全威脅，對(duì)提高網(wǎng)絡(luò)通信的安全性以及保密性具有非常重要的作用。隨著計(jì)算機(jī)技術(shù)的發(fā)展，防火墻技術(shù)的研究將會(huì)變得越來(lái)越重要，也會(huì)越來(lái)越受到廣大網(wǎng)絡(luò)用戶的關(guān)注和青睞。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：防火墻技術(shù)淺析

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083969122.html