防火墙产品与技术研究.PDFVIP

防火墙产品与技术研究 江苏省电子信息产品质量监督检验研究院 张腾标 摘要： 随着 Internet 的迅速发展，安全性已成为网络互联技术中最关键的问 题。本文主要从Internet防火墙技术与产品的发展历程对防火墙进行介绍，并 详细剖析了新型防火墙的功能特点、关键技术、实现方法以及抗攻击能力。 关键词：Internet 网络安全 防火墙 过滤 地址转换 1. Internet 防火墙技术简介　 防火墙是用来防止外界侵入的，它可以防止Internet上的各种危险传播到 本地专用网络。但是它并不像现实生活中的防火隔离设备，而是有点类似于古代 用来守护城池的护城河，起到以下作用：　 1)限定信息从一个特定的控制点进入或离开；　　 2)防止侵入者接近你的其他防御设施；　 3)有效阻止侵入者对你的计算机系统进行破坏。　 通常情况下，Internet防火墙多安装在受保护的内部网络与Internet的分 界处，使所有来自Internet的传输信息或由内部网发出的信息都必须经过防火 墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的 系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析 的作用，它是加强Internet与内部网之间安全防御的一组系统，由一组硬件设 备(包括路由器、服务器)和相应的软件组成。 2. 防火墙技术与产品发展历程 防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全 的有效管理。总体上看，防火墙具有以下五个基本功能：　 1）过滤进、出网络的数据；　 2）管理进、出网络的访问行为；　 3）封堵某些禁止行为；　 4）记录通过防火墙的信息内容和活动；　 共 7 页 第 1 页 5）对网络攻击进行检测和告警。　 为实现上述功能，在防火墙产品的开发中，人们广泛应用了网络拓扑、计算 机操作系统、路由、加密、访问控制、安全审计等技术手段。 其发展过程大致可分为如下三个阶段： 2.1 基于路由器的防火墙　 由于路由器本身就包含分组过滤功能，所以网络访问控制可以通过路由器来 实现。基于路由器的防火墙产品的特点是：　 1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组 的过滤；　 2)过滤判断的依据是：地址、端口号、IP及其他网络特征；　 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网 络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独 利用一台路由器作为防火墙。　 该类型防火墙产品有很多不足之处，具体表现为：　 ●路由协议灵活，本身具有安全漏洞，外部网络要嗅探内部网络十分容易。 ●路由器上分组过滤规则的配置存在安全隐患。对路由器中过滤规则的配置十分 复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般 的网络系统管理员难于胜任，一旦出现新的协议，管理员就得加上更多的规则去 限制，这往往会带来很多错误。　 ●路由器防火墙最大的隐患是：由于信息在网络上是以明文方式传送，攻击者可 以伪造假的路由信息欺骗防火墙。　 ●路由器防火墙本质的缺陷是：由于路由器的主要功能是为网络访问提供动态 的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这样就会 导致防火墙的规则设置使路由器的性能大大降低。　 可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种方式 去对付黑客的攻击是十分危险的。　 2.2 用户化的防火墙工具套　 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙 系统来保护自己的网络，从而推动了用户防火墙工具套的出现。　 共 7 页 第 2 页 用户化的防火墙工具套具有以下特征：　 1)将过滤功能从路由器中独立出来，并加上审计和告警功能；　 2)针对用户需求，提供模块化的软件包；　 3)软件可以通过网络下载，用户可以自己动手构造防火墙；　 4)与路由器防火墙相比，安全性提高了，价格也降低了。　 由于是纯软件产品，用户化的防火墙产品无论在实现上还是在维护上都对系 统管