防火墻是安裝在內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制設(shè)備。從圖1可以看出，它是不同網(wǎng)絡(luò)安全域信息的唯一出入口，能根據(jù)個人及企業(yè)的不同安全需求來控制出入網(wǎng)絡(luò)的信息流。從物理上講，各站點(diǎn)防火墻的物理實(shí)現(xiàn)方式有所不同，通常來說它是一組硬件設(shè)備包括：路由器、主機(jī)或是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。從邏輯上講防火墻是限制器、分離器、分析器。
 

　　1、防火墻的現(xiàn)狀

　　1.1 防火墻現(xiàn)階段主要作用

　　(1)增強(qiáng)網(wǎng)絡(luò)安全性

　　允許網(wǎng)絡(luò)管理員定義一個中心來防止非法訪問，通過對服務(wù)進(jìn)行安全監(jiān)測，將安全性弱的服務(wù)過濾掉，從而抗擊來自各種路線的攻擊。因此，防火墻可以極大地提高網(wǎng)絡(luò)安全性，降低對內(nèi)網(wǎng)的安全風(fēng)險。

　　(2)統(tǒng)計(jì)內(nèi)部存取、監(jiān)控和訪問信息

　　防火墻記錄有關(guān)外網(wǎng)的訪問請求并統(tǒng)計(jì)相關(guān)數(shù)據(jù)。如果防火墻發(fā)出警報，則還提供防火墻和網(wǎng)絡(luò)是否受到試探和攻擊的細(xì)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)計(jì)也可作為相關(guān)風(fēng)險分析。

　　(3)安全性集中

　　通過配置防火墻安全方案，將一個子網(wǎng)內(nèi)的所有安全軟件集中存放在該系統(tǒng)中，與將分散的網(wǎng)絡(luò)安全方案相比，防火墻集中式管理更經(jīng)濟(jì)、便于維護(hù)升級。

　　(4)增強(qiáng)個人隱私保護(hù)

　　因?yàn)榉阑饓�可以封裝域名服務(wù)系統(tǒng)，從而使Internet外部主機(jī)無法獲取站點(diǎn)和Ip地址，進(jìn)而使相關(guān)網(wǎng)站站點(diǎn)可防止DNS域名服務(wù)和finger獲取合法用戶有用信息。

　　1.2防火墻的設(shè)計(jì)原理

　　(1)數(shù)據(jù)包過濾，包過濾是在網(wǎng)絡(luò)層根據(jù)訪問控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的動作、NAT地址轉(zhuǎn)換、deny拒絕等等)進(jìn)行包選擇的，它可以用路由器完成。它是根據(jù)包的源端口、目的端口、源IP地址、目的IP地址、封裝協(xié)議類型(TCP、UDP、ICMP等)、ICMP報文類型等報頭信息(如圖2、圖3)來判斷是否允許包通過和過濾用戶定義的內(nèi)容，如IP地址。

　　如果數(shù)據(jù)包滿足該過濾規(guī)則，則允許通過，否則將此數(shù)據(jù)包所要到達(dá)的網(wǎng)絡(luò)物理上被斷開，起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。防火墻系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)，包過濾器的應(yīng)用非常廣泛，因?yàn)镃PU用來處理包過濾的時間可以忽略不計(jì)。數(shù)據(jù)包過濾防火墻優(yōu)點(diǎn)：邏輯簡單，網(wǎng)絡(luò)性能好便于路由器安裝；處理包速度比代理服務(wù)器快；實(shí)現(xiàn)包過濾比較經(jīng)濟(jì)，因?yàn)檫@些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件上；透明性好，不必對用戶進(jìn)行特殊的培訓(xùn)和安裝特定的軟件。缺點(diǎn)：數(shù)據(jù)包的源地址、目的地址以及IP端口號都在報頭容易被假冒和竊聽；因?yàn)槎�義數(shù)據(jù)包過濾器比較復(fù)雜，因而維護(hù)比較困難；隨著過濾器數(shù)目的增加，路由器的吞吐量會下降。
 

　　(2)應(yīng)用層代理，應(yīng)用層代理防火墻(如圖4)不允許網(wǎng)絡(luò)直連，通常分為透明代理(Transparent Proxy)、傳統(tǒng)代理(Traditional Proxy)。它是接收來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器的單獨(dú)連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。因此無論內(nèi)網(wǎng)主機(jī)還是外網(wǎng)主機(jī)都意識不到它們其實(shí)是在和防火墻通信。透明代理與傳統(tǒng)代理工作原理相似，不同的是傳統(tǒng)代理需要在客戶端設(shè)置代理服務(wù)器。一般常見的應(yīng)用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。應(yīng)用層代理的優(yōu)點(diǎn)：有強(qiáng)大的日志記錄功能，能審查完整的網(wǎng)絡(luò)數(shù)據(jù)；應(yīng)用防火墻可以直接驗(yàn)證用戶身份控制遠(yuǎn)程登錄命令。缺點(diǎn)：每個協(xié)議都需要單獨(dú)的代理程序，因此它對新的網(wǎng)絡(luò)程序或網(wǎng)絡(luò)協(xié)議的支持很有局限性；在對包解析會耗費(fèi)大量CPU資源，因此會形成網(wǎng)絡(luò)性能障礙。
 

　　1.3防火墻的局限性

　　防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的安全問題，而且如果網(wǎng)絡(luò)管理員對防火墻的不當(dāng)配置，也會使內(nèi)部網(wǎng)面臨安全威脅。防火墻也不能防止受病毒感染的文件的傳輸因此需要制定一套嚴(yán)格的規(guī)章制度，降低安裝黑客程序的可能性，當(dāng)然盡管有一些防火墻提供了病毒檢測功能，病毒還有可能傳入被保護(hù)網(wǎng)絡(luò)。同時它也不能防范不經(jīng)過防火墻的攻擊，如果安全網(wǎng)絡(luò)可以正常撥號連接，那么黑客可以對準(zhǔn)許的訪問端口對服務(wù)器進(jìn)行漏洞攻擊或者進(jìn)行騙取用戶信息的釣魚攻擊。作為網(wǎng)絡(luò)“屏障”，防火墻也要進(jìn)行冗余配置避免系統(tǒng)或人為的損壞。

　　2、防火墻技術(shù)的展望

　　2.1 防火墻的發(fā)程目標(biāo)

　　我認(rèn)為現(xiàn)階段防火墻技術(shù)已經(jīng)引起了個人和企業(yè)的廣泛關(guān)注，隨著網(wǎng)絡(luò)安全技術(shù)的不斷提高，防火墻技術(shù)會朝著廣度和深度雙向發(fā)展，如何使防御即主動又有深度，如何使其加大網(wǎng)絡(luò)邊界防御力度進(jìn)行研發(fā)分布式和嵌入式防火墻，如何從性能上使防火墻處理速度更快，硬件化、小型化提防火墻“單兵作戰(zhàn)”能力，將成為日后網(wǎng)絡(luò)安全系統(tǒng)升級的重要議題。

　　2.2 未來防火墻的關(guān)鍵技術(shù)

　　(1)高速防火墻

　　通過采用具有微碼編程的網(wǎng)絡(luò)處理器技術(shù)，不但可以各取所需對系統(tǒng)進(jìn)行及時升級，還能很好地兼容IPV6，而且它還集成了很多硬件協(xié)處理單元，使高速檢測別的更容易。目前，大多采用ACL算法的CPU防火墻，受到應(yīng)用協(xié)議的不斷增加等技術(shù)限制，在對應(yīng)用層進(jìn)行高速檢測上還沒有更好的方法。

　　(2)單向防火墻

　　由于現(xiàn)在網(wǎng)絡(luò)需求的不斷增加，防火墻也有向?qū)�業(yè)化、硬件化發(fā)展的趨勢。單向防火墻是為了讓信息單向流動，只能從外網(wǎng)流入內(nèi)網(wǎng)，而不能從內(nèi)網(wǎng)流出到外網(wǎng)，從而達(dá)到一定的保密功能。當(dāng)然如果將其固化到硬件中，不但會提高防火墻的執(zhí)行速度，也會大大降低防火墻導(dǎo)致的網(wǎng)絡(luò)延時。

　　(3)防病毒、黑客攻擊

　　由于TCP/IP協(xié)議中的漏洞，岡此防火墻很難防御拒絕服務(wù)攻擊。如IP欺騙和序列號預(yù)測這樣的簡單攻擊，已經(jīng)使得成為防火墻防御種類的一部分。而且如果防火墻嵌入智能芯片則會更有效的識別惡意數(shù)據(jù)流量和阻斷惡意數(shù)據(jù)攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設(shè)計(jì)訪問控制機(jī)制的話，則可以更好的支持MAC過濾，從而將其訪問控制發(fā)展到數(shù)據(jù)鏈路層，這樣便可防止MAC欺騙。

　　(4)區(qū)域聯(lián)防技術(shù)

　　隨著非法手段的提升，防火墻主機(jī)面臨越來越大的安全威脅。因此升級防火墻的系統(tǒng)結(jié)構(gòu)刻不容緩。新型的防火墻一定要是分布式的它需要結(jié)合主機(jī)型防火墻和個人計(jì)算機(jī)型防火墻及傳統(tǒng)防火墻功能，取長補(bǔ)短，全方位的優(yōu)化防火墻的防衛(wèi)結(jié)構(gòu)。其目的是利用各區(qū)域的加強(qiáng)防衛(wèi)動作來化解對手的攻擊行為。各終端設(shè)置相應(yīng)的防護(hù)功能，彼此之問相互防護(hù)，從而保護(hù)個人和企業(yè)的業(yè)務(wù)安全。

　　(5)深度檢測

　　因?yàn)殡S著專門針對應(yīng)用層的WEB攻擊現(xiàn)象的增多，使得狀態(tài)檢測防火墻有效性越來越低。深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合處理應(yīng)用程序的流量，使其能夠?qū)��?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級別的分析，對允許的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負(fù)載做進(jìn)一步?jīng)Q策。深度檢測特征有正常化；協(xié)議一致性；雙向負(fù)載檢測；應(yīng)用層加密/解密。

　　3、總結(jié)

　　目前，防火墻技術(shù)已經(jīng)引起了人們的普遍關(guān)注，隨著因特網(wǎng)基礎(chǔ)技術(shù)的發(fā)展，也要求防火墻技術(shù)不斷更新。只有對過去和現(xiàn)在防火墻系統(tǒng)面臨的問題作充分的了解和總結(jié)，才能更高的把握住網(wǎng)絡(luò)安全的趨勢，從而全面、深度的提高防火墻技術(shù)，在攻防對弈的局面上占據(jù)主動地位，更好的維護(hù)個人及企業(yè)信息的安全，為人類造福。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：防火墻技術(shù)現(xiàn)狀與展望

本文網(wǎng)址：http://www.oesoe.com/html/support/11121511779.html