淺談Internet防火墻技術(shù)

 21世紀(jì)全世界的計(jì)算機(jī)不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專(zhuān)門(mén)的領(lǐng)域變成了無(wú)處不在。網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。
一、防火墻的分類(lèi)
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。
（一）包過(guò)濾型
包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。
（二）網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。
（三）代理型
代理型防火墻也可以被稱(chēng)為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶(hù)機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。當(dāng)客戶(hù)機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶(hù)機(jī)。
（四）監(jiān)測(cè)型
監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。
二、現(xiàn)代企業(yè)面臨的安全風(fēng)險(xiǎn)
現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴(lài)主要來(lái)自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營(yíng)區(qū)域。
（一）網(wǎng)絡(luò)內(nèi)部
網(wǎng)絡(luò)內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站，我們不能保證用戶(hù)每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計(jì)算機(jī)來(lái)完成屬于自己的本職工作。
（二）混合性威脅
用多種方法和技術(shù)來(lái)傳播和實(shí)施的攻擊或威脅，因而必須有多種方法來(lái)保護(hù)和壓制這種攻擊或威脅。如: CodeRed. CodeRed II. CodeBlue. Nimda.
三、利用防火墻解決企業(yè)中存在的安全風(fēng)險(xiǎn)
通過(guò)在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒，防火墻，入侵檢測(cè)，補(bǔ)丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅，分析面對(duì)的風(fēng)險(xiǎn)，靈活適當(dāng)?shù)恼{(diào)整安全管理策略。更重要的就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層，匯聚層和核心交換層設(shè)備上做好訪問(wèn)控制與流量管理。
如果部署安全策略，在提高安全性的同時(shí)，勢(shì)必會(huì)影響其可用性。這個(gè)矛盾是不可調(diào)和的。關(guān)鍵區(qū)域的防火墻主要是面對(duì)內(nèi)部用戶(hù)，保護(hù)重要服務(wù)和資源的訪問(wèn)控制與完善安全日志的收集。邊界防火墻不僅僅要防御來(lái)自外部的各種威脅，也要提供諸如NAT服務(wù)，出站控制，遠(yuǎn)程VPN用戶(hù)和移動(dòng)用戶(hù)訪問(wèn)的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來(lái)分派到兩類(lèi)防火墻上來(lái)。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域，提供深層次的檢測(cè)與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測(cè)，將會(huì)大大影響設(shè)備的性能。
如今的防火墻的功能越來(lái)越強(qiáng)大，這里我們選擇業(yè)界一流的防火墻CheckPoint的Stateful Inspection(狀態(tài)檢測(cè)技術(shù)) 和Web Intelligence (Web智能技術(shù))來(lái)簡(jiǎn)單介紹下對(duì)于防火墻的智能防御與Web安全保護(hù)。 簡(jiǎn)單來(lái)說(shuō)，狀態(tài)檢測(cè)技術(shù)工作在OSI參考模型的Data Link與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查。防火墻會(huì)生成一個(gè)會(huì)話(huà)的狀態(tài)表，Inspect Engine檢測(cè)引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專(zhuān)利技術(shù)。狀態(tài)檢測(cè)對(duì)流量的控制效率是很高的，同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小。可以保證整個(gè)防火墻快速，有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。
CheckPoint的Web Intelligence，有一種名為Malicious Code Protector（可疑代碼防護(hù)器）來(lái)提供對(duì)應(yīng)用層的保護(hù)。如何去判斷上述的一些威脅呢？MCP使用了通過(guò)分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來(lái)判斷攻擊，將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行，檢測(cè)是否對(duì)虛擬系統(tǒng)造成威脅，最終來(lái)決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢(shì)是可以非常精確的阻止已知和未知攻擊，并且誤報(bào)率相當(dāng)?shù)汀?br />四、結(jié) 論
一個(gè)好的防火墻應(yīng)該具有高度安全性、高透明性和高網(wǎng)絡(luò)性能。 此外，人們也在開(kāi)展其他計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究，隨著Internet在我國(guó)的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。 一方面在對(duì)國(guó) 外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤，另一方面也已經(jīng)自行開(kāi)展了一些研究工作。目前使用較多的，是在路由器上采用分組過(guò)濾技術(shù)提供安全保證，對(duì)其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個(gè)發(fā)展階段，仍有許多問(wèn)題有待解決。 因此，密切關(guān)注防火墻的最新發(fā)展，對(duì)推動(dòng)Internet在我國(guó)的健康發(fā)展有著重要的意義。
【參考文獻(xiàn)】
[1]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2001
[2]段鋼.加密與解密（第二版）[M].北京:電子工業(yè)出版社,2003 
                  【作者單位：鄭州經(jīng)貿(mào)職業(yè)學(xué)院計(jì)算機(jī)系】