浅析网络安全与防火墙技术

(新乡医学院 图书馆，河南 新乡 453003)
摘 要：文章指出了计算机网络面临的安全问题，详细阐 述了防火墙技术的基本类型,提出了利用防火墙技术解决这些安全问题的方案。
关键词：网络安全；防火墙；技术特征；趋势展望
中图分类号：TP393.08  文献标识码：A  文章编号： 1007—6921(2009)06—0082—03

随着Internet的迅速发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网 用户带来了安全问题。网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键 问题，尽管近年来各种网络安全技术在不断涌现，但到目前为止防火墙仍是网络系统安全保 护中最常用的技术。防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从 被保护网络向外传送有价值的信息。
1 网络安全的概念

国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和 管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄 露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常 运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的 是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
2 网络安全面临的威胁 

影响计算机网络安全的因素很多，大体可分为两种：①对网络中设备的威胁；②对网络 中信息的威胁。其产生的原因主要有：
2.1 人为失误

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自 己的账号随意转借给他人等,都会给网络安全带来威胁。
2.2 恶意攻击

这是计算机网络所面临的最大威胁，黑客攻击和计算机犯罪就属于这一类。 此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性 和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破 译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的 泄漏。
2.3 计算机病毒

计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破 坏作用的程序。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性， 又有传染性和潜伏性。轻则影响系统性能，使机器不能正常运行；重则导致数据丢失，系统 崩溃，会给用户带来不可估量的损失。
2.4 “漏洞”和“后门”

关于漏洞和“后门”的定义，很多书上定义的 都不同，专业上 讲“漏洞”是在硬件、软件、协议的具体实现或系统安全策略上(主要是人为)存在的缺陷， 从而可以使攻击者能够在未授权的情况下访问或破坏系统。“后门”是指计算机系统中可以 被知情者用非常方式进入的入口。这些“漏洞”和“后门”恰恰是黑客进行攻击的首选目标 ，往往会招致黑客攻入内网。另外，软件的“后门”都是软件公司的设计编程人员为了自便 而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。
3 防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部 网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对 两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络 之间的通信是否被允许，并监视网络运行状态。

如果网络在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所 有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同 的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发 生。 防火墙有助于提高主系统总体安全性。防火墙的基本思想——不是对每台主机系统进 行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保 护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它 可以实施比较广泛的安全政策来控制信息流，防止不可预料的潜在的入侵破坏。防火墙系统 可以是路由器，也可以是个人机、主系统或者是一批主系统，专门用于把网点或子网同那些 可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应 用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。根据防火墙所采用 的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监 测型。
3.1 包过滤型

包过滤技术的依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的 ,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地 址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断 这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些 数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
3.2 网络地址转换—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有 私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取
得注册的IP地址。NAT的工作过程如图1所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源 端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连 接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时， 它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防 火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问 是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。否则，防火 墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设 置，用户只要进行常规操作即可。
3.3 代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品,并已经开始向应 用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。当客户机 需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向 服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之 间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描，对付基于应用层的侵 入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对 客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
3.4 监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙 能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙 能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测 器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的 攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的 攻击中,有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定 义，而且在安全性上也超越了前两代产品。
4 防火墙发展的新技术趋势
4.1 模式转变

传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同 子网的边界，以数据流进行分隔，形成安全管理区域。但这种设计的最大问题是，恶意攻击 的发起不仅仅来自于外网，内网环境同样存在着很多安全隐患，而对于这种问题，边界式防 火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布式结构 ，即分布式防火墙，它以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大 提升安全防护强度。

防火墙的几种基本类型可以说各有优点，所以很多厂商将这些方式结合起来，以弥补单纯一 种方式带来的漏洞和不足，例如，多级过滤技术。所谓多级过滤技术，是指防火墙采用多级 过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的 IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包 如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和 监测Internet提供的所有通用服务。这是针对各种防火墙技术的不足而产生的一种综合型过 滤技术。可以预见，未来的防火墙检测模式将继续整合进更多的范畴，而这些范畴的配合也 同时获得大幅的提高。
4.2 功能扩展

现在的防火墙产品已经呈现出一种集成多种功能的设计趋势，包括VPN、AAA、PKI 、IPSec 等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，即其已 经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功 能，这样的设计会对管理性能带来不少提升，但同时也对防火墙的性能和自身的安全问题产 生了影响，所以应该根据具体的情况来做综合的权衡。
4.3 性能提高

未来的防火墙产品由于在功能上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性 能要求，诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用 在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层 涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至 少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升 ，这对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一 ，例如利用集成专有算法的协处理器来专门处理规则判断，在防火墙的某方面性能出现较大 瓶颈时，我们可以单纯地升级某个部分的硬件来解决。另外，除了硬件因素之外，规则处理 的方式及算法也会对防火墙性能造成很明显的影响，所以在防火墙的软件部分也将会融入更 多先进的设计技术，并衍生出更多的专用平台技术，以期缓解防火墙的性能要求。
5 结语

随着Internet在我国的迅猛发展和我国社会信息化进程的不断加快，网络安全问题就越发显 得重要，构建安全的网络环境不仅要依靠技术手段，还应包括管理手段，只有从多方面入手 ，才能最大程度保障网络安全。
［参考文献］
［1］ Andrew S.Tanenbaum. 计算机网络［M］.北京：清华大学出版社，1998.[ZK) ]
［2］ 王睿，林海波. 网络安全与防火墙技术［M］.北京：清华大学出版社,2000.[Z K)]
［3］ Preetham,冉晓F. Internet安全与防火墙［M］.清华大学出版社,2004. 
［4］ 徐超汉,柯宗贵.计算机网络安全实用技术.电子工业出版社,2005.
［5］ 王华.防火墙发展趋势研究［J］.软件导刊,2008,7(1):132～133.
［6］ http://eduvnet.yesky.com/security/447/7568947.shtml