基于计算机网络的防火墙技术及实现

玄文启 云南财经大学信息学院 650221

基于计算机网络的防火墙技术及实现

玄文启 云南财经大学信息学院 650221

随着计算机网络的广泛应用，特别是随着Internet技术的飞速发展，基于计算机网络的安全问题已成了人们日趋关注的焦点。如何能更好地建立安全防线，确保信息传输安全，防火墙已成为人们在计算机网络应用技术中所研究的重要问题之一。

1 、前言

随着计算机网络技术的不断发展和完善，人们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，可以说，计算机网络已经渗透到人们日常生活的各个方面，并对社会各个领域产生了重要影响。

然而，由于网络自身的开放特性越来越突出，这使互联网上的信息共享与信息安全之间的矛盾也显得越来越尖锐。在复杂的计算机环境中存在大量的各种威胁，如何能更好地建立安全防线，确保信息传输安全，防火墙已成为人们在计算机网络应用技术中所研究的重要问题之一。

2 、防火墙的基本原理

防火墙（如图1）是设置在不同网络或者不同网络安全域之间的一系列控制装置（包括软件和硬件）的组合。它是控制不同网络或网络安全域之间信息和数据的唯一出入口，它能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流，从而对所受保护的网络提供信息安全服务。它还能有效地监控了所要保护的内部网和外部公共网络之间的任何活动，对网络之间传输的数据包依照一定的安全策略进行检查，用于确定网络哪些内部服务允许外部访问，以及内部网络主机访问哪些外部服务等，从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。

3 、常见的防火墙技术及实现

防火墙从原理上主要有三种技术：包过滤(PacketFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。

（1）、包过滤(PacketFiltering)技术：在基于TCP/IP 协议的计算机网络上，所有网络上的计算机都是用IP 地址来唯一地标识其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的，数据包中包含了标识发送者位置的 IP 地址、端口号和接受者位置的 IP 地址、端口号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的 IP地址，并根据这一 IP 地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。

所以，在计算机网络的安全控制中，包过滤防火墙首先会检查所有通过它的数据流中每个数据包的 IP 包头信息，然后按照网络管理员所设定的过滤规则进行过滤。如果对防火墙设定某一IP 地址的站点为不适宜的话，那么所有从这个地址传输过来的数据包都会被过滤掉。

（2）、代理服务(ProxyService)技术：代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求,拒绝外部网络其他接点的直接请求。

代理的工作原理比较简单。首先是用户与代理服务器建立连接，然后将目的站点告知代理，对于合法的请求，代理以自己的身份(应用层网关)与目的站点建立连接，然后代理在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能,能隐藏内部IP地址，能够实现比包过滤路由器更严格的安全策略。它针对每一个特定应用都有一个代理模块，管理员可以根据自己的需要安装相应的代理。一般加一条新规则，而不需要在代理技术中那样还要编写应用转换程序，因而具有很好的可伸缩性和扩展性。应用范围广：状态检测不仅支持TCP应用，而且支持其它基于无连接协议的应用，如RPC基于UDP应用 (如NS、WAIS、ARCHIE)等。

（3）状态检测(State Inspection)技术：状态检测又称动态包过滤，它采用了一个在网关上执行网络安全策略的软件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，可以很容易地实现应用和服务的扩充。但其配置非常复杂，而且会降低网络的速度。

4 、防火墙技术的实现过程

从防火墙的防护实现中，主要应用以下技术：

（1）、网络地址转换技术(NAT)：NAT现在已成为防火墙的主要技术之一。通过此项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作用。NAT又分“SNAT(Source NAT)”和“DNAT(Des-tinationNAT)”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非法用户对内部主机的攻击更加困难。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通讯连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信，这样就有效地保护了内部主机的信息安全。

（2）、加密技术：加密技术分为两类:即对称加密和非对称加密。在对称加密技术中，对信息的加密和解密都使用相同的钥匙，这种加密方法可简化加密处理过程。在非对称加密体系中，密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密。现在许多种类的防火墙产品都采用了加密技术来保证信息的安全。

（3）、多级的过滤技术：防火墙采用分组、应用网关和电路网关的三级过滤措施来实现其功能。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级，能利用SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的执行严格控制。

5 、未来防火墙技术发展趋势

计算机网络的安全是一个动态管理的过程，而对于入侵行为的预见和智能切断，作为网络边界安全设备的防火墙来说，也是未来发展的一大技术课题，从技术实现而言，随着网络处理器和ASIC芯片技术的不断革新，如何能实现高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度，并对入侵行为智能切断以及增强抗攻击能力的防火墙，将是未来防火墙技术发展的重要趋势。

[1]安葳鹏等.网络信息安全.清华大学出版社.2010.6.

[2]熊平.信息安全原理及应用.清华大学出版社.2010.8.

[3]曾庆凯.信息安全体系结构.电子工业出版社.2010.8.

玄文启，男，1971年4月生，云南嵩明人，云南财经大学副教授，硕士，主要从事计算机应用技术研究。

10.3969/j.issn.1001-8972.2010.20.046

计算机网络；防火墙技术