【文章內(nèi)容簡介】 ...7（一）高速.........................................................................................................................7（二）多功能化.................................................................................................................8（三）安全.........................................................................................................................8七、防火墻的發(fā)展特點.............................................................................................................9 參考文獻...................................................................................................................................10防火墻技術(shù)研究報告一、概述隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，全球信息化已成為人類發(fā)展的大趨勢?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大方便的同時，由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。二、防火墻的基本概念防火墻是一個系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實際上是一種隔離技術(shù)。一個有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一個關(guān)鍵點以防止外來入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當(dāng)一個內(nèi)部網(wǎng)更換ISP時需重新編號的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。三、防火墻的技術(shù)分類現(xiàn)有的防火墻主要有：包過濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP源地址、目標(biāo)地址、協(xié)議類型、端口號等進行篩選。包過濾在網(wǎng)絡(luò)層進行。代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點連接，中間節(jié)點再與提供服務(wù)的服務(wù)器實際連接。復(fù)合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新 的防火墻，由堡壘主機提供代理服務(wù)。各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機防火墻，它是由堡壘主機充當(dāng)網(wǎng)關(guān)，并在其上運行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機；主機過濾防火墻是指一個包過濾路由器與外部網(wǎng)相連，同時，一個堡壘主機安裝在內(nèi)部網(wǎng)上，使堡壘主機成為外部網(wǎng)所能到達的惟一節(jié)點，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M行解壓縮和解密。四、防火墻的基本功能典型的防火墻應(yīng)包含如下模塊中的一個或多個：包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。（一）包過濾路由器包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數(shù)據(jù)報的包頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。與服務(wù)相關(guān)的過濾，是指基于特定的服務(wù)進行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP／UDP端口，因此，阻塞所有進入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標(biāo)端口的包丟棄即可。獨立于服務(wù)的過濾，有些類型的攻擊是與服務(wù)無關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見此類網(wǎng)上攻擊僅僅借助包頭信息是難以識別的，此時，需要路由器在原過濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。（二）應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾路由器更為嚴(yán)格的安全策略，為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時，代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買相關(guān)硬件平臺的費用為代價，網(wǎng)關(guān)的配置將降低對用戶的服務(wù)水平，但增加了安全配置上的靈活性。（三）鏈路層網(wǎng)關(guān)鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實現(xiàn)的特殊功能。它僅僅替代TCP連接而無需執(zhí)行任何附加的包處理和過濾。五、防火墻的安全構(gòu)建在進行防火墻設(shè)計構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則；整個企業(yè)網(wǎng)的安全策略；以及防火墻的財務(wù)費用預(yù)算等。（一）基本準(zhǔn)則可以采取如下兩種理念中的一種來定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個服務(wù)請求或應(yīng)用的實現(xiàn)都基于逐項審查的基礎(chǔ)上。這是一個值得推薦的方法，它將創(chuàng)建一個非常安全的環(huán)境。當(dāng)然，該理念的不足在于過于強調(diào)安全而減弱了可用性，限制了用戶可以申請的服務(wù)的數(shù)量。第二，未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個潛在的危害總是可以基于逐項審查而被杜絕。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。（二）安全策略在一個企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時首先要考慮其保護的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險假設(shè)以及商務(wù)需求分析基礎(chǔ)上來制定。（三）構(gòu)建費用簡單的包過濾防火墻所需費用最少，實際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個路由器，而包過濾是標(biāo)準(zhǔn)路由器的一個基本特性。對于一臺商用防火墻隨著其復(fù)雜性和被保護系統(tǒng)數(shù)目的增加，其費用也隨之增加。至于采用自行構(gòu)造防火墻方式，雖然費用低一些，但仍需要時間和經(jīng)費開發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護、軟件更新、安全修補以及一些附帶的操作提供支持。六、防火墻的發(fā)展特點（一）高速從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無法應(yīng)用。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因為網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。上面提到，為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因為受現(xiàn)有技術(shù)的限制。目前，還沒有有效的對應(yīng)用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實的。這里還要提到日志問題，根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來越大，如此龐大的日志對日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個字符都需要一個字節(jié)，存儲量很大，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析?？梢哉f，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個基本要求。（二）多功能化多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防