防火墙技术的研究以及发展

　　今天学习啦小编要跟大家介绍下防火墙技术的研究以及发展，下面就是学习啦小编为大家整理到的资料，请大家认真看看!

　　防火墙技术的研究

　　一、防火墙简介

　　1.防火墙的概念

　　防火墙的本义是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。

　　2.防火墙的发展

　　(1)第一代防火墙

　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter)技术。

　　(2)第二、三代防火墙

　　1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。

　　(3)第四代防火墙

　　1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。

　　(4)第五代防火墙

　　1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

　　二、防火墙的类型

　　从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。

　　包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

　　代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。

　　复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。

　　三、防火墙技术原理

　　防火墙从原理上主要有三种技术：包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。

　　1.包过滤(PacketFiltering)技术

　　在基于TCP/IP协议的计算机网络上，所有网络上的计算机都是利用IP地址的唯一标志来确定其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式来传输的，数据包中包含了标志发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时，路由器会读取数据包中接受者的IP地址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的，它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。

　　2.代理服务(ProxyService)技术

　　代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层，提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用，内部网络只接受代理提出的服务请求，拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接，将目的站点告知代理，对于合法的请求，代理以自己的身份(应用层网关)与目的站点建立连接，然后代理在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，能提供全部的审计和日志功能，能隐藏内部IP地址，能实现比包过滤路由器更严格的安全策略。

　　3.状态检测(StateInspection)技术

　　状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测，并动态地保存状态信息作为以后制定安全决策的参考。

　　四、各防火墙体系结构的优缺点

　　1.双重宿主主机体系结构提供来自于多个网络相连的主机的服务(但是路由关闭)，它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。

　　2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接(允许那些经由数据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用代理服务)。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在;路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。

　　3.被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问)，我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有两个屏蔽路由器，每一个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另一个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过两个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。

　　五、对防火墙技术造成的安全漏洞的建议

　　防火墙的管理及配置相当复杂，要想成功地维护防火墙，防火墙管理员必须对网络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统组成的防火墙，管理上有所疏忽也是在所难免的。

　　对此可作如下改进：管理上的安全问题，关键在于提高管理员的素质，积极学习安全管理及网络安全知识，熟练掌握防火墙的系统配置关系，多多实践，积累足够的经验，多个系统防火墙的管理一定要有高度认真、负责到底的精神。总而言之，提高管理者的素质至关重要。

　　防火墙技术的发展

　　一、防火墙的概念和原理

　　防火墙原来就是在保护房屋安全的一到屏障，在当今网络社会，防火墙就是各个计算机与互联网连接方面通过一系列的软硬件设备组成的访问控制技术，用于防止外面的互联网对局域网的威胁与入侵，位计算机正常运行提供安全保障。防火墙的主要目的就是为保护网络安全而把内网和外网分隔开的。

　　二、防火墙的分类

　　防火墙技术可以分为好多类，但是根据防火墙对数据的处理，我们可以把防火墙大致分为包过滤防火强和代理型防火墙两大体系。

　　(一)包过滤防火墙：数据包过滤技术是防火墙位系统提供安全保障的主要技术，主要是通过对进出网络的数据包进行检查过滤控制，从而对数据进行选择。包过滤型防火墙是作用于网络层与传输层之间通过路由来检测数据包的技术。因为每个数据包都包含有特定信息，而路由器就只是对数据包包头的信息进行检测，具有较高性价比。包过滤防火墙又分为静态包过滤、动态包过滤技术和状态监测防火墙。

　　1.静态包过滤：最传统的包过滤防火墙就是静态包过滤防火墙，静态包过滤规则是在启动配置好的，只有系统管理员才可以修改的一种过滤规则。这种防火墙就好似根据原来定义好的过滤规则来审查每一个数据包，把每个数据包与规则表中的信息进行匹配来审核，以便确定其中是否与某一条包过滤规则匹配。

　　2.动态包过滤：这种防火墙相比较静态包过滤防火墙来说最大的有点就是他可以动态的监测用户可以使用的服务范围，比较灵活，而且只有符合条件的网络服务才被防火墙打开端口允许访问，在结束后再关闭端口。这种技术的包过滤防火墙是对通过的每一条连接进行跟踪监测，然后再根据需要在过滤规则中可以动态的增加或者更新规则条目。这就是采用了基于连接状态的监测和动态设置包过滤规则的方法。

　　3.状态监测防火墙：状态监测防火墙把网络中的不同链接阶段表现为状态，状态的改变表现为连接数据包不同标志位参数的不同。状态监测防火墙在根据规则表检查完数据包后，再根据状态的变化检查各个数据包之间的关联性。防火墙的内部放置了分布探测器，这些探测器安置在各种应用服务器和其他网络节点上，不仅能防范外网的入侵也能制止内患，具有双重防范作用。

　　(二)代理型防火墙：代理防火墙是为对每一个用户的请求进行处理，是用一个比较安全的代理应用程序来处理，然后再传递到真实的服务器上，就是通过代理先处理安全后再转发。真实的服务器应答后再将答复发给最终用户。代理型防火墙工作在应用层上，这样就使内网外网间阻断，任何想进入内网的数据流都必须经过代理审核，使得系统更安全不易遭受攻击。应用网关防火墙起到了一个特殊的作用，它首先对用户发来的服务请求进行解析，当服务通过审核后防火墙就再把数据封装成数据包，让防火墙代替用户把服务进行转发。电路级网关防火墙是工作在传输层上的，在传输层上对通信端点之间转换数据包。自适应代理服务器和动态包过滤组成自适应代理型防火墙。

　　三、几种防火墙的技术比较

　　(一)包过滤防火墙是对数据包本身进行过滤的而不是针对具体的网络服务，所以包过滤防火墙能适应于所有的网络。而且包过滤防火墙主要是通过路由器进行数据包检测的，大多数路由器都集成了数据包检测的功能，所以包过滤型防火墙的价格比较低，性价比很高，处理速度也比较快。但是，这种防火墙安全性并不是很高，难以对用户的身份进行辨别等缺点。

　　(二)代理型防火墙是工作在应用层上的，对网络连接中的内容可以进行监控，他在一定程度上断开了内外网络的连接，使得网络活动更安全，但是它在对网络中更深的内容进行检测的时候也使得它的速度减慢，当数据的吞吐量比较大事容易出现问题，所以不适用于高速网。

　　四、防火墙的局限性

　　防火墙对我们信息的正确性与安全性有着重要的作用，防火墙是网络安全不可或缺的一部分，那么防火墙的局限性在哪呢?1.防火墙是防外不防内——防火墙可以阻止外部网上的不安全用户对内网的攻击和危险入侵，也可以对内屏蔽内网上连接外网的重要站点和端口。但是却很难解决内部网的管理人员的安全问题，便是防外不防内。而有些统计表明，网络上的安全问题绝大一部分就是来自于内部网络管理人员。2.防火墙管理和配置有难度——相信第一次配置防火墙的人员都有这样经验，它的配置和管理相当复杂，有一系列的问题。因此对于管理人员来说它的维护就更要求要熟悉防火墙的系统配置，对它要有深刻了解才能更好的对它进行安全的管理。它的安全策略无法集中地管理。3.防火墙的访问控制不够彻底——防火墙不能对网络连接中的所有数据包进行拆分检查只能实现粗粒度的访问控制，并且不能与网络内部的其他安全措施进行集中使用。

　　五、防火墙未来的展望

　　防火墙是整个网络安全系统中很重要的一部分。在现实生活中，要把防火墙与其他技术进行配合使用才能更好地保证网络安全，当今社会，最重要最有价值的就是数据，要保证它的安全与正确，要更加注重防火墙的发展，才更能保证在信息安全系统中的堡垒作用。各种防火墙技术各有各的优缺点，防火墙技术的发展可以从这几个方面着手：1.改进防火墙的体系结构，防火墙是防外不防内的，在防止外部危险网络入侵的同时也要加强对内网的管理和控制，可以对防火墙进行分布式的管理。内部网中对防火墙造成的安全隐患更大些，因此要即时改进更新防火墙的体系结构来保障局域网的安全。2.深度过滤与检测速度的提高。深度过滤技术是对数据进行更深层次的检测，要是进行深度过滤就是要以付出检测速度为代价，要实现两者的结合就是最好。