防火墙技术在网络安全应用中的现状与发展趋势

王非

【摘 要】随着计算机技术和通讯技术的迅速发展，特别是Internet的出现，使网络的重要性和社会的影响越来越大，网络安全问题也变得越来越重要。 防火墙在网络信息安全中的重要作用不容忽视。

【关键词】防火墙；网络安全

1.防火墙技术的概述

防火墙是防范网络攻击最常用的方法，从技术理论上看，如今的防火墙经过了多年的不断改进，已经成为一种先进和复杂的基于应用层的网关，不仅能完成传统防火墙的过滤任务，同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问，它把网络分为两个部分：外部网络和受保护网络（内部网络）。相比企业而言，外部网络一般指的是Internet，而受保护网络一般指企业自己建立的Internet 防火墙，放在受保护网络和外部网络之间， 防火墙（阻塞类防火墙）可以确保除非通过检查点的审查，否则你从网中将不能直接到达因特网。

2.防火墙的应用现状

2.1 包过滤防火墙和代理

防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。

此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其他技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。

2.2 状态检测技术

下面，重点描述一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的，也就是要监视每个连接发起到结束的全过程。对于部分协议，如FTP、H.323 等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。例如FTP，除了开始要建立命令通道外，还要动态协商数据通道。以PORT方式为例，PORT模式下的工作过程如下：

（1） 客户端向服务器21端口发起连接，建立控制命令通道；

（2） 客户端向服务器发出命令，要求建立数据连接；

（3） 客户端打开一个端口；

（4） 客户端通过PORT命令，从控制通道把端口号发给服务器；

（5） 服务器向客户端该端口发送一个主动连接。

从上述过程可以看出，客户端打开的端口号是未知的，所以防火墙必须对FTP控制通道的命令进行解码，从而知道协商后的端口号。然后，防火墙临时打开一个通道，允许服务器连接客户端的这个端口。对于状态防火墙，只需要通过ACL设置，开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙，如果想支持PORT模式，还得对外开放所有的端口，这显然是不安全的。

2.3 高保障防火墙

防火墙因为软件复杂，实现的功能较多，必须有操作系统支持，操作系统的安全是防火墙安全的基石。1998年，在中国一家机构和美国计算机学会ACM共同举办的国际会议上，我国首次提出了高保障防火墙的概念，其核心是防火墙与安全操作系统无缝集成，在防火墙上实现类似B级操作系统的机制，如标记、MAC、强实体认证等。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标，又实现了传统防火墙的全部功能。

3.新型防火墙技术与优点

新型防火墙更应该加强放行数据的安全性，因为网络安全的真实需求是既要保证安全，也必须保证应用的正常进行。新型防火墙技术主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；TCP/IP协议和代理的直接相互配合，使系统的防欺骗能力和运行的健壮性都大大提高；并且能够实现TCP/IP协议的微内核，从而在TCP/IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持；内部信息完全隐藏等。新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性能有很大提高。

3.1 分布式防火墙技术

在新的安全体系结构下，分布式防火墙代表新型防火墙技术的发展潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次，多协议，内外皆防的全方位安全体系，它的主要功能如下：

（1）Internet访问控制依据工作站名称、设备指纹等属陛，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器，某个用户可否基于某工作站访问www服务器，同时当某个工作站/用户达到规定流量后确定是否断网。

（2）应用访问控制通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网/Internet的应用服务请求，如SQL数据库访问、IPX协议访问等。

（3）网络状态监控实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。

（4）黑客攻击的防御抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。

（5）日志管理对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。

（6）系统工具包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。

分布式防火墙克服了传统防火墙的缺陷，它的优势在于：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用；与拓扑无关，支持移动计算。

3.2 嵌入式防火墙技术

嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样，所以不是所

有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙

常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。

3.3 智能防火墙技术

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

4.总结

从目前防火墙产品及其功能上，可以看到防火墙的扩展功能将进一步完善，而且随着算法的优化，使对网络流量的影响减低到最少IP。的加密需求越来越强，安全协议的开发是一大势点。对网络攻击的检测和告警将成为防火墙的重要功能，将逐步建立和完善入侵检测数据库。