防火墙技术的研究

防火墙技术的研究
濮阳县教师进修学校 石慧慧

摘要
本文主要讲了防火墙的概况，以及其主要技术：包过滤，代理服务器，状态检测技术，
其应用层次及技术复杂程度各有不同，单一包过滤技术最为普及，还谈到了防火墙体系结构
的一些优缺点，以及自己的一些建设性的意见。
关键词： 防火墙 体系结构
一．防火墙简介
1.防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候
蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。
2.防火墙的发展
第一代防火墙
第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表
示了防火墙技术的简单发展历史。
第二、三代防火墙
1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路
层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。
第四代防火墙
1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）
技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。
第五代防火墙
1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet
Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防
火墙。
二．防火墙的类型
从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。
包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可
以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。
它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的
端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的
访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。
代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程
序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。代理服务器型防火墙
的核心，是运行于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部
网与Internet的网关。它代理用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、
Telnet、WWW等各种不同的应用各提供一个相应的代理。这种技术使得外部网络与内部网
络之间需要建立的连接必须通过代理服务器的中间转换，实现了安全的网络访问，并可以实
现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的
控制，具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能，对用户不透
明，且对每一种TCP／IP服务都要设计一个代理模块，建立对应的网关，实现起来比较复
杂。
复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结
合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。
三．防火墙技术原理
防火墙从原理上主要有三种技术：包过滤(PackeFiltering)技术、代理服务(ProxyService)
技术和状态检测(StateInspection)技术。
1. 包过滤(PacketFiltering)技术
在基于TCP/IP 协议的计算机网络上，所有网络上的计算机都是用IP地址来唯一地
标识其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式
传输的，数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口
号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的IP地
址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到
达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理
来设计的，它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数
据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。如果
对防火墙设定某一IP地址的站点为不适宜访问的话，那么所有从这个地址传输过来的数据
包都会被过滤掉。
2.代理服务(ProxyService)技术
代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下
或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等
功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作
用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。代理的工作
原理比较简单。用户与代理服务器建立连接，将目的站点告知代理，对于合法的请求，代理
以自己的身份(应用层网关)与目的站点建立连接，然后代理在这两个连接中转发数据。其主
要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审
计和日志功能，能隐藏内部IP地址，能够实现比包过滤路由器更严格的安全策略。它针对
每一个特定应用都有一个代理模块，管理员可以根据自己的需要安装相应的代理。一般情况
下每个代理相互无关，即使某个代理工作发生问题，只需将它简单地卸出，不会影响其它的
代理模块，也保证了防火墙的失效安全。
3.状态检测(StateInspection)技术
状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由Checkpoint提出。状
态检测作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引
擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据(状态信
息)的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参
考。检测模块支持多种协议和应用程序，可以很容易地实现应用和服务的扩充。但其配置非
常复杂，而且会降低网络的速度。
四．各种防火墙体系结构优缺点
1.双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，它围绕
双重宿主主计算机构筑。该计算机至少有2个网络接口，位于因特网与内部网之间，并被连
接到因特网和内部网。2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的
IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服
务。它能提供级别非常高的控制，并保证内部网上没有外部的IP包。但这种体系结构中用
户访问因特网的速度会较慢，也会因为双重宿主主机的被侵袭而失效。
2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服
务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全
的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭
损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的
主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中，数
据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上
的主机连接(允许那些经由数据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些
主机经由堡垒主机使用代理服务)。 这种体系结构通过数据包过滤来提供安全，而保卫
路由器比保卫主机较易实现，因为它提供了非常有限的服务组，因此这种体系结构提供了比
双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则
在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点
失效，若被损害，则整个网络对侵袭者开放。
3.被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特
网上用户访问)，我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的
安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供
了安全的附加层，称之为周边网。这种体系结构有2个屏蔽路由器，每1个都连接到周边网。
1个位于周边网与内部网之间，称为内部路由器，另1个位于周边网与外部网之间，称之为
外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过2个路由器，即
使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭
点。
五．对防火墙技术的防火墙难于管理和配置，造成安全漏洞这一点进行改进
缺点：防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网
络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管
理。一般来说，有多个系统组成的防火墙，管理上有所疏忽是在所难免的。
对此可作如下改进: 管理上的安全问题，关键在于提高管理员的素质，积极学习安全管
理以及网络安全知识，熟练掌握防火墙的系统配置关系，多多实践，积累足够的经验，多个
系统防火墙的管理一定要有高度认真，负责得到精神。总而言之，归根到底还是一个管理者
素质的问题。
参考文献
1． 林晓东、杨一先.网络防火墙技术
2.梅杰、许榕生.Internet防火墙技术最新发展