Internet防火墻技術綜述

Internet防火墻技術綜述

摘要：隨著Internet的迅猛發展，安全性已經成為網絡互聯技術中最關鍵的問題。本文全面介紹了Internet防火墻技術與產品的發展歷程；詳細剖析了第四代防火墻的功能特色、關鍵技術、實現方法及抗攻擊能力；同時簡要描述了Internet防火墻技術的發展趨勢。

關鍵詞：Internet 網路安全 防火墻 過濾 地址轉換

1． 引言

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互連環境之中，尤以Internet網絡為最甚。Internet的迅猛發展，使得防火墻產品在短短的幾年內異軍突起，很快形成了一個產業：1995年，剛剛面市的防火墻技術產品市場量還不到1萬套；到1996年底，就猛增到10萬套；據國際權威商業調查機構的預測，防火墻市場將以173%的復合增長率增長，今年底將達到150萬套，市場營業額將從1995年的?1.6?億美元上升到今年的9.8億美元。?

為了更加全面地了解Internet防火墻及其發展過程，特別是第四代防火墻的技術特色，我們非常有必要從產品和技術角度對防火墻技術的發展演變做一個詳細的考察。?

2. Internet防火墻技術簡介?

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講，Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上，防火墻并不像現實生活中的防火墻，它有點像古代守護城池用的護城河，服務于以下多個目的：?

1)限定人們從一個特定的控制點進入；?

2)限定人們從一個特定的點離開；?

3)防止侵入者接近你的其他防御設施；?

4)有效地阻止破壞者對你的計算機系統進行破壞。?

在現實生活中，Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet，如圖1所示。

圖1 防火墻在Internet中的位置

　

從上圖不難看出，所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣，防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那么，防火墻究竟是什么呢?實際上，防火墻是加強Internet(內部網)之間安全防御的一個或一組系統，它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3. 防火墻技術與產品發展的回顧?

防火墻是網絡安全策略的有機組成部分，它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看，防火墻應該具有以下五大基本功能：?

●過濾進、出網絡的數據；?

●管理進、出網絡的訪問行為；?

●封堵某些禁止行為；?

●記錄通過防火墻的信息內容和活動；?

●對網絡攻擊進行檢測和告警。?

為實現以上功能，在防火墻產品的開發中，人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段�？v觀防火墻近年來的發展，可以將其劃分為如下四個階段(即四代)。?

3.1 基于路由器的防火墻?

由于多數路由器本身就包含有分組過濾功能，故網絡訪問控制可能通過路控制來實現，從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是：?

1)利用路由器本身對分組的解析，以訪問控制表(Access List)方式實現對分組的過濾；?

2)過濾判斷的依據可以是：地址、端口號、IP旗標及其他網絡特征；?

3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網絡可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。?

第一代防火墻產品的不足之處十分明顯，具體表現為：?

●路由協議十分靈活，本身具有安全漏洞，外部網絡要探尋內部網絡十分容易。例如，在使用FTP協議時，外部服務器容易從20號端口上與內部網相連，即使在路由器上設置了過濾規則，內部網絡的20號端口仍可以由外部探尋。?

●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性，一般的網絡系統管理員難于勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。?

●路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的，黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。?

●路由器防火墻的本質缺陷是：由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由，而防火墻則要對訪問行為實施靜態的、固定的控制，這是一對難以調和的矛盾，防火墻的規則設置會大大降低路由器的性能。?

【Internet防火墻技術綜述】相關文章：

談分布式防火墻技術及其應用03-18

基于高效環保的治蟲技術綜述03-18

MCU應用系統與Internet連接的一種新技術03-18

Internet 與網絡審計03-23

單相電機變頻調速技術綜述03-21

無線傳感器網絡協作技術綜述03-04

客戶關系管理與數據挖掘技術綜述03-21

電子商務中技術安全運用綜述11-30

大體積混凝土結構施工技術綜述03-13

風電設備安裝技術管理綜述03-28