防火牆技術簡介

隨著網絡技術的飛速發展，互聯網已經走進了千家萬戶，因此網絡安全也成為了人們最為關注的問題。目前，保護內部網絡免遭外部入侵的比較有效的方法是防火牆技術。防火牆的定義及功能防火牆是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出口，能夠根據企業的安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。
防火牆提供信息安全服務，是實現網絡和信息安全的基礎設施。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網絡和互聯網之間的任何活動，保證了內部網絡的安全。而能夠保護內部網絡安全的防火牆應該具備以下幾個功能：
日志審計、實警：黑客的技術在不斷的發展，這就使得互聯網的安全、操作系統、網絡協議及防火牆的技術也隨之發展，完善的日志功能，能夠及時發現系統的漏洞、可能的攻擊和錯誤。為系統日志設置門限值，當日志的統計參數達到這個范圍時，防火牆發出警信息，提醒治理員日志有異常，需要治理維護和檢查。
支持網絡地址轉換：內部網絡一般使用專為內部網保留的IP地址，這部分IP地址是無法直接訪問Internet的，這時就可以通過網絡地址轉換得到完美解決。NAT是基於網絡層的安全應用，它通過把內部網絡的信息包內的源地址修改為防火牆的外部端口地址傳向外部網絡，不僅隱藏了內部的IP地址，也緩解了IP地址資源緊張的問題。 .
帶寬控制和流量優先權控制：治理員可以方便地設定用戶或IP的最大帶寬、保證帶寬等參數。對超帶寬的用戶或IP做出一定的限制;並提供優先權，保證在信道擁擠時，優先級高的用戶或IP用戶首先得到服務。防火牆技術的原理及特點國際計算機安全委員會將防火牆分成三大類：包過濾防火牆，應用級代理服務器以及狀態包檢測防火牆。
1.包過濾防火牆
顧名思義，包過濾防火牆就是把接收到的每個數據包同預先設定的包過濾規則相比較，從而決定是否阻塞或讓包通過。過濾規則是基於網絡層IP包包頭信息的比較。包過濾防火牆工作在網絡層，IP包的包頭中包含源、目的IP地址，封裝協議類型，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。假如接收的數據包與答應轉發的規則相匹配，則數據包按正常情況處理;假如與拒絕轉發的規則相匹配，則防火牆丟棄數據包;假如沒有匹配規則，則按默認情況處理。
包過濾防火牆是速度最快的防火牆，這是因為它處於網絡層，並且只是粗略地檢查連接的正確性，所以在一般的傳統路由器上就可以實現，對用戶來說都是透明的。但是它的安全程度較低，很輕易暴露內部網絡，使之遭受攻擊。例如，HTTP通常是使用80端口。假如公司的安全策略答應內部員工訪問網站，包過濾防火牆可能設置答應所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防火牆的維護比較困難，定義過濾規則也比較復雜，因為任何一條過濾規則的不完善都會給網絡黑客造成可乘之機。同時，包過濾防火牆一般無法提供完善的日志。 .
2.應用級代理防火牆
應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現安全策略。代理技術與包過濾技術完全不同，包過濾技術在網絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現防火牆功能。它的代理功能，就是在防火牆處終止客戶連接並初始化一個新的連接到受保護的內部網絡。這一內建代理機制提供額外的安全，這是因為它將內部和外部網絡隔離開來，使網絡外部的黑客在防火牆內部網絡上進行探測變得困難，更重要的是能夠讓網絡治理員對網絡服務進行全面的控制。但是，這將花費更多的處理時間，並且由於代理防火牆支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。比如訪問Web站點的HTTP，用於文件傳輸的FTP，用於E-mail的SMTP/POP3等等。假如某種應用沒有安裝代理程序，那麼該項服務就不被支持並且不能通過防火牆進行轉發;同時升級一種應用時，相應的代理程序也必須同時升級。
3.狀態包檢測防火牆
為了克服包過濾防火牆帶來的安全問題，產生了狀態包檢測防火牆。狀態包檢測防火牆檢查所有的OSI層，通過檢查IP包的所有部分來判定答應還是拒絕連接請求，因此它提供的安全程度遠高於包過濾防火牆。狀態包檢測防火牆在網絡層攔截IP包，直到有足夠的企圖連接的“狀態”信息來做出決策。例如，它截獲來自一個接口的數據包TCP順序號，從而確定連接的狀態。假如截獲的數據包匹配定義的規則，防火牆就將該數據包轉發到目標端口。狀態檢測防火牆跟蹤所有來自內部網絡的請求信息，並自動構建動態狀態表，然後檢測所有來自於外部網絡的數據包;假如該數據包是響應內部網絡的請求，就答應通過;假如不是，就拒絕。狀態檢測技術的大部分檢測發生在系統內核，因此它比包過濾防火牆更安全，比代理防火牆更快，性能更高，並且輕易配置和維護。未來發展趨勢眾所周知，計算機網絡安全實際上是通過技術與治理相結合來實現的，良好的網絡治理加上優秀的防火牆技術是提高網絡安全性能的最好選擇。為適應Internet的發展勢頭，其技術正向著高速度、分布式、多功能方向發展。 .
首先要解決的就是防火牆速度不夠。ASIC、FPGA和網絡處理器是實現高速防火牆的主要方法，其中以采用網絡處理器最優，因為網絡處理器采用微碼編程，可以根據需要隨時升級，甚至可以支持IPv6。其次，算法也是一個關鍵，因為網絡處理器中集成了很多硬件協議處理單元，比較輕易實現高速。
在網絡中，惡意攻擊的發起不僅僅來自於外部網絡，內部網絡同樣存在著很多、甚至說是更多的安全隱患，而對於這種問題，防火牆處理起來是比較困難的，所以現在越來越多的防火牆產品也開始體現出一種分布式結構。以分布式體系進行設計的防火牆產品是以網絡節點為保護對象，最大限度的覆蓋需要保護的對象，從而大大提升安全防護強度，軟件防火牆比較輕易實現這種分布式概念，硬件防火牆可以通過在台式機、服務器、路由器等節點設備上插接專用的接口卡來完成。
隨著安全治理要求的全面提高，對防火牆日志能力的要求也越來越高。目前，防火牆應用較多的是采用文本方式的SYSLOG日志，每一個字符都需要一個字節，對防火牆的資源也是一個很大的消耗。假如使用二進制日志可以大大減小數據傳送量，也方便數據庫的存儲、加密和事後分析。所以，支持二進制格式和日志數據庫，也是對未來防火牆日志和日志服務器軟件的一個基本要求。 .
鑒於目前防火牆價格比較昂貴，用戶總是希望防火牆可以支持更多的功能，來滿足組網和節省投資的需要，比如說支持VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火牆產品中，這就對防火牆產品的性能和自身安全問題有了更高的要求。總結總之，不論從功能還是從性能來講，防火牆技術的演進並不會放慢速度，反而產品的豐富程度和推出速度會不斷的加快，這也反映了安全需求不斷上升的一種趨勢，但是，更值得我們關注的還是防火牆體系結構的發展以及安全產品標准的發布，這些變化不僅僅關系到某個環境的某個產品的應用情況，更關系到信息安全領域的未來。
.