防火牆技術的研究以及發展

　　今天小編要跟大家介紹下，下面就是小編為大家整理到的資料，請大家認真看看!

　　防火牆技術的研究

　　一、防火牆簡介

　　1.防火牆的概念

　　防火牆的本義是指古代人們房屋之間修建的那道牆，這道牆可以防止火災發生的時候蔓延到別的房屋。防火牆技術是指隔離在本地網路與外界網路之間的一道防禦系統的總稱。

　　2.防火牆的發展

　　***1***第一代防火牆

　　第一代防火牆技術幾乎與路由器同時出現，採用了包過濾***Packet filter***技術。

　　***2***第二、三代防火牆

　　***，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆，即電路層防火牆，同時提出了第三代防火牆——應用層防火牆***代理防火牆***的初步結構。

　　***3***第四代防火牆

　　1992年，USC資訊科學院的BobBraden開發出了基於動態包過濾***Dynamic packet filter***技術的第四代防火牆，後來演變為目前所說的狀態監視***Stateful inspection***技術。

　　***4***第五代防火牆

　　1998年，NAI公司推出了一種自適應代理***Adaptive proxy***技術，並在其產品Gauntlet Firewall for NT中得以實現，給代理型別的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

　　二、防火牆的型別

　　從技術上看，防火牆有三種基本型別：包過濾型、代理伺服器型和複合型。

　　包過濾型防火牆***Packet Filter Firewall***通常建立在路由器上，在伺服器或計算機上也可以安裝包過濾防火牆軟體。包過濾型防火牆工作在網路層，基於單個IP包實施網路控制。它對所收到的IP資料包的源地址、目的地址、TCP資料分組或UDP報文的源埠號及目的埠號、包出入介面、協議型別和資料包中的各種標誌位等引數，與網路管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略並決定資料包的放行或丟棄。

　　代理伺服器型防火牆***Proxy Service Firewall***通過在計算機或伺服器上執行代理的服務程式，直接對特定的應用層進行服務，因此也稱為應用層閘道器級防火牆。代理伺服器型防火牆的核心，是運行於防火牆主機上的代理伺服器程序，實質上是為特定網路應用連線企業內部網與Internet的閘道器。

　　複合型防火牆***Hybrid Firewall***把包過濾、代理服務和許多其他的網路安全防護功能結合起來，形成新的網路安全平臺，以提高防火牆的靈活性和安全性。

　　三、防火牆技術原理

　　防火牆從原理上主要有三種技術：包過濾***PackeFiltering***技術、代理服務***ProxyService***技術和狀態檢測***StateInspection***技術。

　　1.包過濾***PacketFiltering***技術

　　在基於TCP/IP協議的計算機網路上，所有網路上的計算機都是利用IP地址的唯一標誌來確定其在網路中的位置的，而所有來往於計算機之間的資訊都是以一定格式的資料包的形式來傳輸的，資料包中包含了標誌傳送者位置的IP地址、埠號和接受者位置的IP地址、埠號等地址資訊。當這些資料包被送上計算機網路時，路由器會讀取資料包中接受者的IP地址，並根據這一IP地址選擇一條合適的物理線路把資料包傳送出去，當所有的資料包都到達目的主機之後再被重新組裝還原。包過濾性防火牆就是根據資料在網路上的這一傳輸原理來設計的，它可以實現網路中資料包的訪問控制。首先包過濾防火牆會檢查所有通過它的資料流中每個資料包的IP包頭資訊，然後按照網路管理員所設定的過濾規則進行過濾。

　　2.代理服務***ProxyService***技術

　　代理實際是設定在Internet防火牆閘道器上有特殊功能的應用層程式碼，是在網管員允許下或拒絕特定的應用程式或者特定服務，還可應用於實施資料流監控、過濾、記錄和報告等功能。在應用層，提供應用層服務的控制，起到內部網路向外部網路申請服務時中間轉接作用，內部網路只接受代理提出的服務請求，拒絕外部網路其他接點的直接請求。代理的工作原理比較簡單。使用者與代理伺服器建立連線，將目的站點告知代理，對於合法的請求，代理以自己的身份***應用層閘道器***與目的站點建立連線，然後代理在這兩個連線中轉發資料。其主要特點是有狀態性，能完全提供與應用相關的狀態和部分傳輸方面的資訊，能提供全部的審計和日誌功能，能隱藏內部IP地址，能實現比包過濾路由器更嚴格的安全策略。

　　3.狀態檢測***StateInspection***技術

　　狀態檢測又稱動態包過濾，是在傳統包過濾上的功能擴充套件，最早由Checkpoint提出。狀態檢測作為防火牆技術其安全特性最佳，它採用了一個在閘道器上執行網路安全策略的軟體引擎，稱為檢測模組。檢測模組在不影響網路正常工作的前提下，採用抽取相關資料***狀態資訊***的方法對網路通訊的各層實施監測，並動態地儲存狀態資訊作為以後制定安全決策的參考。

　　四、各防火牆體系結構的優缺點

　　1.雙重宿主主機體系結構提供來自於多個網路相連的主機的服務***但是路由關閉***，它圍繞雙重宿主主計算機構築。該計算機至少有兩個網路介面，位於因特網與內部網之間，並被連線到因特網和內部網。兩個網路都可以與雙重宿主主機通訊，但相互之間不行，它們之間的IP通訊被完全禁止。雙重宿主主機僅能通過代理或使用者直接登入到雙重宿主主機來提供服務。

　　2.被遮蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網路相連的主機的服務。遮蔽路由器位於因特網與內部網之間，提供資料包過濾功能。堡壘主機是1個高度安全的計算機系統，通常因為它暴露於因特網之下，作為聯結內部網路使用者的橋樑，易受到侵襲損害。這裡它位於內部網上，資料包過濾規則設定它為因特網上唯一能連線到內部網路上的主機系統。它也可以開放一些連線***由站點安全策略決定***到外部世界。在遮蔽路由器中，資料包過濾配置可以按下列之一執行：①允許其他內部主機，為了某些服務而開放到因特網上的主機連線***允許那些經由資料包過濾的服務***。②不允許來自內部主機的所有連線***強迫這些主機經由堡壘主機使用代理服務***。這種體系結構通過資料包過濾來提供安全，而保衛路由器比保衛主機較易實現，因為它提供了非常有限的服務組，所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他內部主機之間無任何保護網路安全的東西存在;路由器同樣可能出現單點失效，若被損害，則整個網路對侵襲者開放。

　　3.被遮蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器***因為它可被因特網上使用者訪問***，我們新增額外的安全層到被遮蔽主機體系結構中，將堡壘主機放在額外的安全層，構成了這種體系結構。這種在被保護的網路和外部網之間增加的網路，為系統提供了安全的附加層，稱之為周邊網。這種體系結構有兩個遮蔽路由器，每一個都連線到周邊網。1個位於周邊網與內部網之間，稱為內部路由器，另一個位於周邊網與外部網之間，稱之為外部路由器。堡壘主機位於周邊網上。侵襲者若想侵襲內部網路，必須通過兩個路由器，即使他侵入了堡壘主機，仍無法進入內部網。因此這種結構沒有損害內部網路的單一易受侵襲點。

　　五、對防火牆技術造成的安全漏洞的建議

　　防火牆的管理及配置相當複雜，要想成功地維護防火牆，防火牆管理員必須對網路安全的手段及其與系統配置的關係有相當深刻的瞭解。防火牆的安全策略無法進行集中管理。一般來說，由多個系統組成的防火牆，管理上有所疏忽也是在所難免的。

　　對此可作如下改進：管理上的安全問題，關鍵在於提高管理員的素質，積極學習安全管理及網路安全知識，熟練掌握防火牆的系統配置關係，多多實踐，積累足夠的經驗，多個系統防火牆的管理一定要有高度認真、負責到底的精神。總而言之，提高管理者的素質至關重要。

　　防火牆技術的發展

　　一、防火牆的概念和原理

　　防火牆原來就是在保護房屋安全的一到屏障，在當今網路社會，防火牆就是各個計算機與網際網路連線方面通過一系列的軟硬體裝置組成的訪問控制技術，用於防止外面的網際網路對區域網的威脅與入侵，位計算機正常執行提供安全保障。防火牆的主要目的就是為保護網路安全而把內網和外網分隔開的。

　　二、防火牆的分類

　　防火牆技術可以分為好多類，但是根據防火牆對資料的處理，我們可以把防火牆大致分為包過濾防火強和代理型防火牆兩大體系。

　　***一***包過濾防火牆：資料包過濾技術是防火牆位系統提供安全保障的主要技術，主要是通過對進出網路的資料包進行檢查過濾控制，從而對資料進行選擇。包過濾型防火牆是作用於網路層與傳輸層之間通過路由來檢測資料包的技術。因為每個資料包都包含有特定資訊，而路由器就只是對資料包包頭的資訊進行檢測，具有較高性價比。包過濾防火牆又分為靜態包過濾、動態包過濾技術和狀態監測防火牆。

　　1.靜態包過濾：最傳統的包過濾防火牆就是靜態包過濾防火牆，靜態包過濾規則是在啟動配置好的，只有系統管理員才可以修改的一種過濾規則。這種防火牆就好似根據原來定義好的過濾規則來審查每一個數據包，把每個資料包與規則表中的資訊進行匹配來稽核，以便確定其中是否與某一條包過濾規則匹配。

　　2.動態包過濾：這種防火牆相比較靜態包過濾防火牆來說最大的有點就是他可以動態的監測使用者可以使用的服務範圍，比較靈活，而且只有符合條件的網路服務才被防火牆開啟埠允許訪問，在結束後再關閉埠。這種技術的包過濾防火牆是對通過的每一條連線進行跟蹤監測，然後再根據需要在過濾規則中可以動態的增加或者更新規則條目。這就是採用了基於連線狀態的監測和動態設定包過濾規則的方法。

　　3.狀態監測防火牆：狀態監測防火牆把網路中的不同連結階段表現為狀態，狀態的改變表現為連線資料包不同標誌位引數的不同。狀態監測防火牆在根據規則表檢查完資料包後，再根據狀態的變化檢查各個資料包之間的關聯性。防火牆的內部放置了分佈探測器，這些探測器安置在各種應用伺服器和其他網路節點上，不僅能防範外網的入侵也能制止內患，具有雙重防範作用。

　　***二***代理型防火牆：代理防火牆是為對每一個使用者的請求進行處理，是用一個比較安全的代理應用程式來處理，然後再傳遞到真實的伺服器上，就是通過代理先處理安全後再轉發。真實的伺服器應答後再將答覆發給終端使用者。代理型防火牆工作在應用層上，這樣就使內網外網間阻斷，任何想進入內網的資料流都必須經過代理稽核，使得系統更安全不易遭受攻擊。應用閘道器防火牆起到了一個特殊的作用，它首先對使用者發來的服務請求進行解析，當服務通過稽核後防火牆就再把資料封裝成資料包，讓防火牆代替使用者把服務進行轉發。電路級閘道器防火牆是工作在傳輸層上的，在傳輸層上對通訊端點之間轉換資料包。自適應代理伺服器和動態包過濾組成自適應代理型防火牆。

　　三、幾種防火牆的技術比較

　　***一***包過濾防火牆是對資料包本身進行過濾的而不是針對具體的網路服務，所以包過濾防火牆能適應於所有的網路。而且包過濾防火牆主要是通過路由器進行資料包檢測的，大多數路由器都集成了資料包檢測的功能，所以包過濾型防火牆的價格比較低，價效比很高，處理速度也比較快。但是，這種防火牆安全性並不是很高，難以對使用者的身份進行辨別等缺點。

　　***二***代理型防火牆是工作在應用層上的，對網路連線中的內容可以進行監控，他在一定程度上斷開了內外網路的連線，使得網路活動更安全，但是它在對網路中更深的內容進行檢測的時候也使得它的速度減慢，當資料的吞吐量比較大事容易出現問題，所以不適用於高速網。

　　四、防火牆的侷限性

　　防火牆對我們資訊的正確性與安全性有著重要的作用，防火牆是網路安全不可或缺的一部分，那麼防火牆的侷限性在哪呢?1.防火牆是防外不防內——防火牆可以阻止外部網上的不安全使用者對內網的攻擊和危險入侵，也可以對內遮蔽內網上連線外網的重要站點和埠。但是卻很難解決內部網的管理人員的安全問題，便是防外不防內。而有些統計表明，網路上的安全問題絕大一部分就是來自於內部網路管理人員。2.防火牆管理和配置有難度——相信第一次配置防火牆的人員都有這樣經驗，它的配置和管理相當複雜，有一系列的問題。因此對於管理人員來說它的維護就更要求要熟悉防火牆的系統配置，對它要有深刻了解才能更好的對它進行安全的管理。它的安全策略無法集中地管理。3.防火牆的訪問控制不夠徹底——防火牆不能對網路連線中的所有資料包進行拆分檢查只能實現粗粒度的訪問控制，並且不能與網路內部的其他安全措施進行集中使用。

　　五、防火牆未來的展望

　　防火牆是整個網路安全系統中很重要的一部分。在現實生活中，要把防火牆與其他技術進行配合使用才能更好地保證網路安全，當今社會，最重要最有價值的就是資料，要保證它的安全與正確，要更加註重防火牆的發展，才更能保證在資訊安全系統中的堡壘作用。各種防火牆技術各有各的優缺點，防火牆技術的發展可以從這幾個方面著手：1.改進防火牆的體系結構，防火牆是防外不防內的，在防止外部危險網路入侵的同時也要加強對內網的管理和控制，可以對防火牆進行分散式的管理。內部網中對防火牆造成的安全隱患更大些，因此要即時改進更新防火牆的體系結構來保障區域網的安全。2.深度過濾與檢測速度的提高。深度過濾技術是對資料進行更深層次的檢測，要是進行深度過濾就是要以付出檢測速度為代價，要實現兩者的結合就是最好。