DO I :10.14071/j .1008 -81052002.01.002 电子科技大学学报社科版 　　2002 年(第 Ⅳ卷)　第 1 期 Journal of UESTC (social sciences edition)Mar.2002 , vol.4 , No.1 5　　　　 信息科学 网络安全与防火墙技术 ◆郝玉洁 　[ 电子科技大学　成都 　610054] ◆常 　征 　[ 成都信息工程学院　成都 　610041] [ 摘　要] 　防火墙是网络安全的关键技术, 其核心 思想是在不 安全的网 络环境 中构造一 个相 对安全的子网环境。 本文讨论了实 现防火 墙的主 要技术 手段, 重 点阐述 了现 行防火 墙的 功能、类 型、安全措施以及防火墙技术的发展。 [ 关键词] 　防火墙;　包过滤;　代理服务器 [ 中图分类号] TN 711　　[ 文献标识码] A 　　[ 文章编号] 1008-8105(2002)01 -0005 -(03) 　　随 着 I nternet 的 迅速发 展, 人们 可以通 过互 联网进 行购 物、银行转账等许多商业活动, 全球电子交易一体化 将成为可 能。 但是, 开放的系统必然存在众多潜在的 安全隐患, 网络犯 罪的递增、大量黑客网站的诞生, 促使人们思考网络 的安全性 问题。 黑客与反黑 客、破坏 与反破 坏的 斗争仍 将继 续。 安全 技术作为一个独特的领域越来越受到人们的关 注。 各种网络 安全工具也跟着在市场上 被炒得 火热, 最受 人注 目的 当属网 络安全工具中最早成熟, 最早产品化的网络防 火墙产品了。 一 、防火墙及安全功能 当一个 网络接 上 I nternet 之 后, 系 统的 安全 除 了考 虑计 算机病毒、系统的健壮性之外, 更主要的是防止非法 用户的入 侵, 保护一个网络不受来自另一 个网络的 攻击。通常, 被保护 的网络属于我们自己, 或者是我们负责管理 的, 而所 要防备的 网络则是一个外部的网络, 该网络是不可信 赖的, 因 为可能有 人会从该网络上对我们的网络发起攻击, 破坏 网络安全。 防火墙 是位于两个信任 程度不 同的 网络之 间(如 企业内 部网络和 Internet 之间)的软件或 硬件设 备的组 合, 对 网络之 间的通信进行控制, 通过强制实施统一的安 全策略, 防止对重 要信息资源进行非法存取和访问, 达到保护 系统安全的 目的。 防火墙(firewall)处于企业或网 络群体 计算机 与外界通 道(In- ternet)之间, 限制 外界用 户对 内部网 络进 行访 问并 具备 管理 内部用户访 问外界网络 的权限。 能 有效 地监控 内部 网和 In- ternet 之间的活动, 保证 内部网络 的安 全, 使 企业 的网 络规划 清晰明了, 识别并屏蔽非法请求, 有效防止跨越权限 的数据访 问。 它既可以是非常简单的 过滤 器, 也可能 是精 心配 置的网 关, 监测并过滤所有 内部网 和外 部网 之间的 信息 交换。 防 火 墙保护着内部网络的敏 感数据 不被窃 取和 破坏, 并记 录内 外 通信的有关状态信息日 志, 如 通信 发生的 时间 和进行 的操 作 等等。 新一代的防火墙甚至可以阻止内部人员 将敏感数据 向 外传输。 目前, 全 球连入 Internet 的计算机中约有 1/ 3 是处于 防火墙保护之下。 一般来说, 防 火墙具有以下几种功能: 第一, 强化安全策略, 过滤掉不安 全服务 和非法 用户, 即 过滤进、出网络的 数据;管 理进、出网 络 的访 问行 为;拒绝 发 往或者来自所选网点的请求通过防火墙。 第二, 监视网 络的安全性, 并报警。 第三, 利用网络地址 转换(N AT)技术, 将有 限的 IP 地 址 动态或静态地与内部的 I P 地址对应起来, 用来 缓解地址空 间 短缺的问题。 第四, 防火墙是进出信 息都必须通过的关口, 适合收集 关 于系统和网络使用和误 用的 信息。 利 用此 关口, 防火 墙能 在 网络之间进行记录。 是审计 和记录 Internet 使用费 用的一 个 最佳地点。 网络管理员可以 在此提 供 I nternet 连接 的费用 情 况, 查出潜在的带宽瓶颈位 置, 并能够依据本机 构的核算模 式 提供部门级的计费。 第五, 可以连接到一个 单独的网络上, 在物 理上与内部 网 络隔开, 并部署 WWW 服务 器和 F T P 服务 器, 作为向 外部 发 布内部信息的地点。 二 、防火墙的结构 目前防火墙主要采用 的是 包过滤 防火 墙、应用级 网关 和 [ 收稿日期] 　2001-04-11　 [ 作者简介] 　郝玉洁(1961—)女 , 北京市人 , 电子科技大学计算机学院教师 , 副教授;常征(1962—)男 , 成都信息工程学院副研究员 . 

　 6　　　　 电子科技大学学报社科版 　　2002 年(第 Ⅳ卷)　第 1 期 Journal of UESTC (social sciences edition)Mar.2002 , vol.4 , No.1 状态监视器: 信息科学 (一)包过滤防火墙 内部网络 过滤器(Filter) 路 由器(Router) Internet 又叫网络级防火墙, 因为它是工作在网络 层。 所有往 来的信 息在 Internet 网络 上, 被 分割 成 许多 定长 的信息包, 包含发送者和接收者的 IP 地址信息。 路 由器读取 信息包接收者的 IP 并选择一条合适的物理 线路发送出 去, 经 由不同的路 线抵达目的 地, 并重新 组装 还原。 包 过滤 式防火 墙可以提供内部信息以说明通过的连接状态和一些 数据流的 内容, 把判断的信息同规则表进行比较, 是否同意或 拒绝包的 通过。 具体的说, 包过滤 式的防 火墙 会检查 所有 通过 的信息 包中 IP 地址, 并 按 照系 统管 理 员所 给 定的 过滤 规 则进 行过 滤。 如果防火墙设定某一 IP 地址为不适宜 访问的话, 从这个 地址来的所有信息都会被防火墙屏蔽掉。 这种结构由路由器和 Filter 共同完成, 实现对外界计算机 访问内部网络在 IP 地址或者域名上的限制, 以及内 部网络访 问 Internet 。 路由器仅对筛 选主机 的特 定的 POR T 上 数据通 讯加以路由, 而 Filter 主机则执行筛 选、过滤、验证及其安全监 控, 很大程度隔断内外网络间的不正常的访问 登陆。 包过滤 防火墙对用户来 说是 透明 的, 处 理速 度快 且易于 维护。 但包过滤路由器通常 没有 用户 的使用 记录, 不 能得到 入侵者的攻击记录。“ IP 地 址欺骗” 和“ 同步风暴”便 是黑客用 于攻击包过 滤防火墙比 较常用 的手 段。 同时, 包 过滤 防火墙 相对而言配 置比较繁琐。 它 阻挡 非法 用户进 入内 部网络, 但 无法告诉何人进入你的系 统;它可以 阻止外 部对 内部 网络的 访问, 对内部之间的访 问却 不做任 何限 制。 包过 滤另 一个关 键的弱点就是不能在用户 级别上 进行 过滤, 即不 能鉴 别不同 的用户和防止 IP 地址盗用。 (二)应用级网关 内部网络 代理网关(P roxy G atew ay) I nterne t 应用级 网关 主 要工 作在 应用 层, 又称 为应 用级 防火 墙。 就是通常我们 提到 的代 理服 务 器。 这 种方 式是 内 部网 络与 Internet 不 直 接 通 讯。 它 适 用 于 特 定 的 Internet 服 务, 如 HT TP 、 F TP 等等。 代理服务器通常运行在两个网络之 间, 具 有双重身份。 对客户来说像 是一 台真 的服务 器, 对于 外界的 服务器来说, 又是一台 客户 机。 用户 对某站 点的 访问 请求可 以通过代理 服务器进行。 如 果用 户访 问该站 点得 到许可, 代 理程序使用 代理 地址(因而 隐藏 了内 部的 网络 地 址)发 送请 求, 当从 I nterne t 服务器上收到响 应时, 代理服 务器会 检查信 息包的数据部分确信这个内容是所期望的回应。 若 有命令或 数据可疑, 代理服务器会放弃这个信息包。 否则, 就 会用它自 己的地址作为源地址来创 建一个 新的 信息包, 把 结果 送回到 内部客户端。 这里, 代理应用程序不但检查 信息包头信 息, 同 时检查了 IP 信 息包的 数据 部分。 代 理服务 器通 常都 拥有一 个高速缓存, 存储用户经常访问的站点内容, 当有用 户要访问 相同站点时, 服务器将缓 存内 容发 出, 无须到 访问 的站点, 节 省了时间和网络资源, 使之成 为内部 网络与 外部 网络 之间的 防火墙, 挡在内部用 户和外 界之 间。 从外 部只 能看到 代理 服 务器而无法获知任何的内部资源, 诸如用户 的 IP 地址等 。 代 理服务器担当了局域网与 Internet 之 间的中 间人详 细地记 录 所有的访问状 态信 息。 受 保护 网 内部 用户 想 对外 部网 访 问 时, 也需先登录到防火 墙上, 再 向外提 出请 求, 这样从 外部 网 向内就只能看到防火墙, 由于 外部 系统与 内部 服务器 之间 没 有直接的数据通道, 外部的恶 意侵 害也就 很难 伤害到 内部 网 络。 应用级网关的不足之处:因为不允许用户直接 访问网络, 导致访问速度 变慢。 而且 应用 级 网关 需要 对 每一 个特 定 的 Internet 服务安装相应的代理服务软件, 用户不 能使用未被 服 务器支持的服务, 对每一类 服务要使用特殊的客户 端软件, 每 一种协议都需要相应的代理软件, 使用时工作量大, 效率明 显 不如网 络级 防火墙, 尤 其是 并非所 有的 Internet 应用 都可 以 使用代理服务器。 (三)状态监测防火墙 这种防火墙具有非常 好的 安全特 性, 它使 用了一 个在 网 关上执行网络安全策略 的软 件模 块, 称之为 监测 引擎。 动 态 设置包过滤规则, 避 免了静 态包 过滤 所具有 的问 题。 监测 引 擎在不影响网络正常运 行的前 提下, 采用 抽取 有关数 据的 方 法对网络通信的各层实施监测, 抽取状态信息, 并保存起来 作 为以后执行安全策略的参考。 采用这种技术的 防火墙对通 过 其建立的每一个连接都 可以进 行跟踪, 并 且根 据需要 可动 态 地在过滤规则中增加或更新条目。 监测引擎支 持多种协议 和 应用程序, 可以很容 易地实 现应 用和 服务的 扩充。 与 前两 种 防火墙不同, 当用户访问请 求到达网关的操作系统 前, 状态 监 视器要抽取有关数据进 行分析, 结 合网络 配置 和安全 规定 做 出接纳、拒绝、身份认证、报 警或给该通信加密等处理动作。 状态监测防火墙对违反访问安全规定的, 禁止 通行, 做 好 相关状态的日志记录, 并将 对网络的恶意入侵记录 在案, 同 时 会监 测 无 连 接 状 态 的 远 程 过 程 调 用(RPC)和 用 户 数 据 报 (UDP)之类的端口信息。 这种防火墙无疑是相 对可靠和比 较 安全的, 但也会降 低网络的速度。 配置相对复杂。 三 、防火墙的安全措施 作为一种安全防护设 备, 防火 墙在网 络中 自然是 众多 攻 击者的目标, 各种 安全措施是防火墙的必 备功能。 在 Internet 环境中针对防火墙的攻 击方法 很多, 下面 介绍 几种常 用安 全 措施。 (一)防电子欺骗 IP 假冒是指一个非法的主 机假冒 内部的 主机地址, 骗 取 服务器的“ 信任” , 从而达到 对网 络的 攻击目 的。 防电 子欺 骗 功能是保证数据包的 I P 地址与网关接口 相符, 防止通过修 改 IP 地址的方法进行 非授 权访 问, 对可 疑 信息 进行 鉴别, 并 向 网络管理员报警。 (二)抗特洛伊木马攻击 

电子科技大学学报社科版 　　2002 年(第 Ⅳ卷)　第 1 期 Journal of UESTC (social sciences edition)Mar.2002 , vol.4 , No.1 7　　　　 信息科学 安全防 火墙是建立在可 靠的 操作 系统之 上的, 其 安全内 核中不能执行下载的程序, 可防止特洛伊 木马的发 生。 但是, 由于内部用户可通过防火 墙下载 程序, 并可 以执 行下 载的程 序, 所以就防火墙而言, 自身 能抗 特洛 伊木马 的攻 击, 但无法 使其保护的某个主机也能防止特洛伊木马或类似的攻击。 (三)网络地址转移 目前, 市场上流行许多网络安全性分析 工具, 它 们通常供 管理人员用 于分析网络 安全。 使 用这 些工具, 管 理人 员能较 方便地探测 到内部网络 的安全 缺陷 和弱点 所在。 然而, 这些 工具也成为了 恶意 入侵 者窥 视 网络 或从 事 破坏 的首 选。 例 如:许多网站免费 赠送 SA TA N 软件 , I nternet Scanner 可从市 面上购买, 这些分析工 具给 网络安 全构 成了直 接威 胁。 地址 转移是对 Inter net 隐藏内部地 址, 防止内 部地址 公开, 使网络 安全分析工具无法从外部对内部网进行分析。 这一 功能可以 克服 IP 寻址方式的诸多限制, 完善内 部寻址模 式。 把未注册 IP 地址 映射成合法地址, 就可以对 Internet 进行访问。 (四)开放式结构设计 开放式结构设计使得防火墙与相关应用程序和 外部用户 数据库的连接相当容易, 典型的应用程序连 接如财务软 件包、 病毒扫描、登录分析等。 (五)邮件技术 外部网 络向防火墙保护 的内 部网 络发送 邮件, 由 于只知 道防火墙的 IP 地址和域名, 就只能送 到防火墙 上。 这时防火 墙对邮件进行检查, 只 有当发 送邮件 的源主 机是 被允 许通过 的, 防火墙才对邮件的目的地址进行转换, 送到内部 的邮件服 务器, 由其进行转发。 (六)内部防火墙 传统的 防火墙设置在内 外网 络边 界, 然 而日 益发 展的电 子商务要求商务伙伴之间在一定权限下可以进入到 彼此的内 部网络, 这样一来, 企业网的 边界 日趋 模糊, 来自 于内 外部的 各种安全隐患对防火墙提出了更高的要求。 在实际环境中, 80%的攻击和越权访问 来自于内部, 也就 是说, 边界防火 墙在 对付 网 络安 全的 主 要威 胁时 束 手无 策。 由于检查机制集中在网络边界, 造成了网络 访问的瓶颈 问题, 影响了网络的工作效率, 同时 防火墙 本身的 安全 机制 对整个 系统影响至关重要, 一旦出现问题或被攻克, 整个内 部网络将 会完全暴露在 外部 攻击 者 面前。 针对 传统 边 界防 火墙 的 弱 点,“ 分布式防火墙”可能是 解决问题的首选了。 在“分布式防火墙” 系 统中, 处 于内外 部网 之间的 防火 墙 仍然监控和保护 内部网 络;主机 防火墙 对于 网络中(内部 和 外部网络)的服务 器和桌面机进行防护;中心 管理是“ 分布 式 防火墙”的核心, 统一策划和管理作为安全监测 机制的每个 防 火墙, 它们根据安 全性的不同 要求 布置在 网络 中任何 需要 的 位置上, 同时, 安全策略的分发及日志的汇总都 是中心管理 应 具备的功能。 建造“分布式 防火墙” 加强 了对来 自内 部攻击 的防 范;提 供了多层次立体的防范体系, 实施全方位的安全策 略;消除 了 结构性瓶颈问题, 提高了系统性能。 四 、防火墙发展展望 今后, 防火墙技术的发 展要求防火墙采用多级 过滤措施, 并辅以鉴别手段, 使过 滤深 度不断 加强, 从 目前的 地址、服 务 过滤, 发 展到 U RL(页面)过滤、关键字过 滤和对 Active X、Java 等的过滤, 并逐渐有病 毒清 除功能, 安 全管 理工具、可 疑活 动 的日志分析工具不断完 善, 对 网络 攻击的 检测 和告警 将更 加 及时和准确。 现行操作系统自身往 往存 在许多 安全 漏洞, 而运 行在 操 作系统之上的应用软件 和防火 墙也不 例外, 一 定会受 到这 些 安全漏洞的影响和威胁。 因此, 其 运行机 制是 防火墙 的关 键 技术之一。 为保证防火墙自身的安全和彻底堵 住因操作系 统 的漏洞而带来的各种安 全隐患, 防 火墙的 安全 监测核 心引 擎 可以采用嵌入操作系统内核的形态运行, 直接接管 网卡, 将 所 有数据包进行检查后再提交操作系统。 建立“以防火墙为 核心的 网络 安全体 系” , 将防火 墙与 网 络入侵监测系统 I DS 、病毒检测等相关 安全系 统联合 起来, 充 分发挥各自的长处, 协同配 合, 就能共同建立一 个有效的安 全 防范体系。 这就是说, 相关专 业检 测系统 专职 于某一 类安 全 事件的检测, 一旦 发现安 全事 件, 立即通 知防 火墙。 因 此, 充 分发挥各专业厂商的技术优势, 形成有机的整体安 全系统, 这 样的安全系统不但有效, 而且具有一定的智能。 Network Security And Firewall Technology Hao Yujie (U ES TC 　Chengdu　610054) Abstract　T he firewall is the linchpin upon w hich network security depends.T his ar ticle mainly deals w ith the functions、 types and safeguards of the present firewall and its development as well. Key Words　Firewall ;　Package filter;　Proxy