防火牆技術

  一、防火牆原理 　 　　

    防火牆（FireWall）成為近年來新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火牆阻止重要信息從企業的網絡上被非法輸出。　 　　

    作為Internet網的安全性保護軟件，FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立FireWall軟件。企業信息系統對於來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一台IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息，那麼就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對於路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取捨。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一台主機上，保護這台主機不受侵犯。 　 　　

    二、防火牆的種類　 　　 　　

    從實現原理上分，防火牆的技術包括四大類：網絡級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。　

    1 網絡級防火牆：

    一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的端口號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

    2 應用級網關：

    應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。 在實際工作中，應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火牆。 應用級網關有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏“透明度”。在實際使用中，用戶在受信任的網絡上通過防火牆訪問Internet時，經常會發現存在延遲並且必須進行多次登錄（Login）才能訪問Internet或Intranet。

    3 電路級網關：

    電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。 　　

    電路級網關還提供一個重要的安全功能：代理服務器（Proxy Server）。代理服務器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，一旦判斷條件滿足，防火牆內部網絡的結構和運行狀態便“暴露”在外來用戶面前，這就引入了代理服務的概念，即防火牆內外計算機系統應用層的“鏈接”由兩個終止於代理服務的“鏈接”來實現，這就成功地實現了防火牆內外計算機系統的隔離。同時，代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件（如工作站）來承擔。

    4 規則檢查防火牆：

    該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣，規則檢查防火牆能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網絡的安全規則。　 　　

    規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

    三、使用防火牆 　　

    在具體應用防火牆技術時，還要考慮到兩個方面：

    1、防火牆是不能防病毒的，盡管有不少的防火牆產品聲稱其具有這個功能。

    2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。並且，防火牆采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。　 　　

    總之，防火牆是企業網安全問題的流行方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網絡安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。　

防火牆技術.