【正文】 防火墻一、防火墻原理　　　作為近年來新興的保護計算機網(wǎng)絡安全技術性措施，防火墻（FireWall）是一種隔離控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡上被非法輸出。防火墻是一種被動防衛(wèi)技術，由于它假設了網(wǎng)絡的邊界和服務，因此對內部的非法訪問難以有效地控制，因此，防火墻最適合于相對獨立的與外部網(wǎng)絡互連途徑有限、網(wǎng)絡服務種類相對集中的單一網(wǎng)絡?！　　∽鳛镮nternet網(wǎng)的安全性保護軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應用。通常企業(yè)為了維護內部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯?！　　《?、防火墻的種類　　　真正意義下的防火墻有兩類：一類被稱為標準防火墻；一類叫雙家網(wǎng)關。標準防火墻系統(tǒng)包括一個Unix工作站，該工作站的兩端各按一個路由器進行緩沖。其中一個路由器的接口是外部世界，即公用網(wǎng)；而另一個則聯(lián)接內部網(wǎng)。標準防火墻使用專門的軟件，并要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網(wǎng)關則是對標準防火墻的擴充，雙家網(wǎng)關又稱堡壘主機或應用層網(wǎng)關，它是一個單個的系統(tǒng)，但卻能同時完成標準防火墻的所有功能。其優(yōu)點是能運行更復雜的應用，同時防止在互聯(lián)網(wǎng)和內部系統(tǒng)之間建立的任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡到達內部網(wǎng)絡，反之亦然?！　　　‰S著防火墻技術的進步，在雙家網(wǎng)關的基礎上又演化出兩種防火墻配置：一種是隱蔽主機網(wǎng)關；另一種是隱蔽智能網(wǎng)關（隱蔽子網(wǎng)）。隱蔽主機網(wǎng)關當前也許是一種常見的防火墻配置。顧名思義，這種配置一方面將路由器進行隱蔽，另一方面在互聯(lián)網(wǎng)和內部網(wǎng)之間安裝堡壘主機。堡壘主機裝在內部網(wǎng)上，通過路由器的配置，使該堡壘主機成為內部網(wǎng)與互聯(lián)網(wǎng)進行通信的唯一系統(tǒng)。目前技術最為復雜而且安全級別最高的防火墻當屬隱蔽智能網(wǎng)關。所謂隱蔽智能網(wǎng)是將網(wǎng)關隱藏在公共系統(tǒng)之后，它是互聯(lián)網(wǎng)用戶唯一能見到的系統(tǒng)。所有互聯(lián)網(wǎng)功能則是經(jīng)過這個隱藏在公共系統(tǒng)之上的保護軟件來進行的。一般來說，這種防火墻是最不容易被破壞的?！　　膶崿F(xiàn)原理上分，防火墻的技術包括四大類：網(wǎng)絡級防火墻（也叫包過濾型防火墻）、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要?！　　　　　∫话闶腔谠吹刂泛湍康牡刂贰没騾f(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉發(fā)，但它不能判斷出一個IP包來自何方，去向何處?！　　》阑饓z查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。2．應用級網(wǎng)關　　　應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠對數(shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中，應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網(wǎng)絡級防火墻?！　　眉壘W(wǎng)關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級網(wǎng)關缺乏“透明度”。在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄（Login）才能訪問Internet或Intranet?！　　?．電路級網(wǎng)關　　電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層?！　　‰娐芳壘W(wǎng)關還提供一個重要的安全功能：代理服務器（Proxy Server）。代理服務器是設置在Internet防火墻網(wǎng)關的專用應用級代碼。這種代理服務準許網(wǎng)管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網(wǎng)關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內部網(wǎng)絡的結構和運行狀態(tài)便“暴露”在外來用戶面前，這就引入了代理服務的概念，即防火墻內外計算機系統(tǒng)應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內外計算機系統(tǒng)的隔離。同時，代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件（如工作站）來承擔?！　　　?．規(guī)則檢查防火墻　　　　該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網(wǎng)關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則?！　　∫?guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網(wǎng)關的是，它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連