龙源期刊网 http://www.qikan.com.cn
防火墙的研究
作者:张烨
来源:《科技视界》2012年第16期
【摘 要】随着计算机网络技术突飞猛进地发展,网络安全的问题已经日益突出地摆在各个用户的面前。目前,在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视。所以,为了保证网络的安全畅通,目前比较有效的方法还是在高校以及企业当中安设防火墙。 【关键词】防火墙;网络安全;Internet;网络;入侵;协议 1 防火墙的概述
计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的[1]。
1.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称[2]。 1.2 防火墙的目的和原理
网络的发展,网络规模的扩大,以及网络开放性的增强,网络中的节点逐渐的增加,要实现检测每一个节点是不可能的,因为其规模是很大的,所以,必须从源头上防止黑客的攻击,这就需要到了防火墙。防火墙可以从源头上将进入到内部网络的信息源进行筛选,对其访问进行控制,将内部网络的服务进行关闭,从而杜绝了黑客的攻击和骚扰[3]。
防火墙的目的就是不让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,而仍能允许本地网络上的以及其他特许用户访问因特网服务。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏。 1.3 防火墙的功能
龙源期刊网 http://www.qikan.com.cn
防火墙一方面对流经它的网络通信进行扫描筛选,过滤掉一些可能攻击内部网络的数据。另一方面防火墙还可以关闭一些不使用的端口,能禁止特定端口的通信。另外,它还可以禁止来自特殊站点的访问,从而防止外来入侵。一般的防火墙产品都具有以下功能: a.防火墙是进出信息流的安全检查站[4]。 b.防火墙是网络安全的屏障。
c.防火墙能有效防止内部网络之间的相互影响。 d.对网络进出和访问进行监控并记录。 2 防火墙的原理
如今市场上的防火墙林林总总,形式多样。有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器[4]。
2.1 包过滤防火墙(IPFiltingFirewall)
包过滤防火墙(IPFiltingFirewall):包过滤(PacketFilter)是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过它可以阻止外部对私有网络的访问,却不能记录内部的访问[5]。 2.2 代理服务器(ProxyServer)
代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络,对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务,即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。 2.3 状态监视器(StatefulInspection)
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考[8]。 3 防火墙的分类
龙源期刊网 http://www.qikan.com.cn
如果从防火墙的软、硬件形式来分的话,防火墙又可以分为软件防火墙和硬件防火墙以及芯片级防火墙[4]。 3.1 软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。 3.2 硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。 3.3 芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。 4 防火墙的发展趋势
防火墙可以说是信息安全领域最成熟最安全的产品之一,但是成熟,并不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面,我们就防火墙一些基本层面的问题来谈谈防火墙产品的发展趋势。 4.1 模式的转变
传统的防火墙都通常设置在网络的边界位置,无论是内网与外网的边界,还是内网中的不同子网的边界,以数据流分割,形成安全管理区域,但这种设计的最大问题是恶意攻击的发起不仅仅来自于外网,内网环境同样存在着很多安全隐患,而对于这种问题,边界防火墙处理起来就比较困难,所以越来越多的防火墙产品也开始体现出一种分布式结构,一分布式结构问体系惊醒设计的防火墙产品一网络节点为保护对象,可以最大限度地覆盖需要保护的对象,极大地提升安全防护强度,这不仅仅是单纯的产品形式的变化,而是象征着防火墙产品防疫理念的升华[5]。
4.2 功能扩展
现在的防火墙产品已经呈现一种集成多种功能的趋势,包括CPN,AAA,PKI,IPSec的附加功能,甚至防病毒、入侵检测这样的主流功能都被集成到防火墙中了,在很多时候,我们无法分辨这样的产品到底是以防火墙功能位置,还是以某一个功能为主,因为防火墙已经逐渐被大家普遍认为IPS(入侵防御系统)的产品转化了。 4.3 性能提高
防火墙的研究
