2004年4月 武警工程学院学报 Apr 2004
第20卷第2期 JOURNAL OF ENGGCOLLEGEOF ARMED POLICEFORCE Vol 21 No 2
【网络自动化与安全研究】
防火墙的主要技术及发展①
何 胜 春
(武警北京指挥学院计算机教研室,北京100012)
【摘要】 防火墙是目前实现网络安全最有效 系统或路由器转发包之前拦截所有的数据包。当我的手段。防火墙通过强制实施统一的安全策略,防 们把包过滤防火墙安装在网关上之后,包过滤检查止对重要信息资源的非法存取和访问,以达到保护 模块深入到系统的网络层和数据链路层之间,即系统安全的目的。本文重点介绍了防火墙的主要技 TCP层和IP层之间,抢在操作系统或路由器的术特点及发展趋势。 T C P层对I P包的所有处理以前,对IP包进行处
1 防火墙的主要技术 数据。防火墙检查模块首先验证这个包是否符合过
1986年美国Digital公司在Internet网上安装 滤规则,不管是否符合过滤规则,防火墙一般要记录全球第一个商用防火墙系统、提出了防火墙概念后, 数据包情况,不符合规则的包要进行报警或通知管防火墙技术得到飞速发展,被广泛用于因特网建设 理员。对丢弃的数据包,防火墙可以给发方一个消上。 息,也可以不发。这要取决于包过滤策略,如果都返
防火墙的主要功能是控制内部网络和外部网络 回一个消息,攻击者可能会根据拒绝包的类型猜测的连接。利用它既可以阻止非法的连接、通讯,也可 包过滤规则的大致情况。所以对是否发一个返回消以阻止外部的攻击。防火墙是位于两个信任程度不 息给发送者要慎重。
同的网络之间的软件或硬件设备组合,它对两个网 在理论上,包过滤器可以被配置为根据协议报络之间的通信进行控制,通过强制实施统一的安全 头的任何部分进行判断,但是大多数的过滤器被配策略,防止对重要信息资源的非法存取和访问,以达 置为只过滤最有用的数据域:
到保护系统安全的目的。 ·协议类型
常见的防火墙主要有三种:包过滤、代理服务器 · IP地址
和全状态检测。 ·TCP/UDP端口
1. 1 包过滤技术 ·源路由信息包过滤器能够在一定程度上保护
包过滤器是最原始的防火墙。包过滤防火墙一 网络安全并且
般有一个包检查模块。包过滤可以安装在一个双宿 对用户完全透明,不需要在客户端作任何改动,也不网关上来实现,当然也可以安装在一台服务器上。 需要对用户作任何培训,但是包过滤的缺点主要表数据包过滤可以根据数据包头中的各项信息来控制 现在:包过滤规则难以配置,包过滤仅可访问包头信站点与站点、站点与网络、网络与网络之间的相互访 息,并且对信息处理能力非常有限。这些问题使包问,但不能控制传输数据的内容,因为内容是应用层 过滤器不能独自完成保护网络完全的任务,现在它数据,不是包过滤系统所能辨认的,数据包过滤允许 们一般和代理服务器与网络地址翻译一起解决网络在单个地方为整个网络提供特别的保护。 安全问题。
包检查块应该深入到操作系统的核心,在操作 包过滤防火墙在实现模式上有三种:
①收稿日期:2003—09—04
作者简介:何胜春(1966—) ,女,武警北京指挥学院计算机教研室副主任,副教授。
31
武警工程学院学报 2004年第2期
NAT模式:NAT模式是将内部网的IP翻译成 转发给真正的某个内部网络的主机。而在整个服务外部的一个或多个合法地址,然后访问因特网。 过程中,应用代理一直监控着用户的操作,一旦用户NAT模式根据方向又可以分为正向地址翻译和反 进行非法操作,就可以进行干涉,并对每一个操作进向地址翻译。按照是否一一对应,又可以分为一对 行记录。若为不合法用语,则拒绝访问。
一地址映射模式(MAP IP)和一对多虚拟IP模式 代理使得网络管理员能够实现比包过滤路由器(Virtual IP) 。 更严格的安作策略。应用层网关为每种所需服务在
应该指出,NAT仅在传输层上实现。这就意味 网关上安装特殊代码(代理服务) ,能够让网络管理着隐藏在TCP/ IP通信中数据有效部分中的信息可 员对服务进行全面控制。如果没有为某种应用安装码,那么该项服务就不能通过防火墙系统来
路由模式:防火墙相当于路由器,可以让处于不 理服务器为它们在专用网络中的客户重新产生一个同网段的计算机通过路由转发的方式相互通信,但 在上部网络上的高级服务请求,有效隐藏了内部网防火墙按照过滤规则执行包转发策略。路由模式下 络上的客户身份和数量。代理服务器的缺点表现
透明模式防火墙:工作在透明模式的防火墙,可 执行安全策略的参考。当用户访问请求到达网关是
32
何胜春:防火墙的主要技术及发展
病毒、加密、入侵检测等功能集于一身。因此,提供 侵检测芯片、密码芯片,可以使防火墙的包过滤能功能模块化的防火墙将是一种趋势。 力、 IDS处理能力、VPN处理能力得到很大提高。
2.2 硬件化 2. 3 智能化
在防火墙发展的初期,防火墙多以软件形式存 防火墙将从目前的静态防御策略向具备人工智在。但是传统的软件防火墙厂商也在和硬件厂商合 能化方向发展。未来智能化的防火墙,应能抵抗多作,推出专用的硬件防火墙。 种攻击方式,如抗IP地址欺骗,抗特洛伊木马攻击,
防火墙硬件化主要是在IP层面,这就好像路由 抗口令字探寻攻击,抗网络安全性分析,抗邮件诈骗器的发展。 目前,市场上绝大多数软件防火墙的吞 攻击等。
吐量在100Mpb s以下,而硬件防火墙可以使吞吐量 防火墙能自动识别并防御各种黑客攻击手法及提高到每秒Gbits量级,相当于路由器。防火墙的 其相应变种攻击手法;能在网络出口发生异常时自过滤规则更复杂,尤其是动态过滤的规则,所以防火 动调整于外网的连接端口;根据信息流量自动分配,墙的硬件化相对于路由器也就更复杂。 调整网络信息流量及协同多台物理设备工作;能自
防火墙硬件化的一个重要原因在于:硬件防火 动检测防火墙本身的故障并能自动修复;智能化的墙的OS是专用的,一般非常小。并且经过了许多 防火墙还应具备自主学习并制定识别与防御方法的严格的测试,漏洞较少,性能也较高。安装在通用操 特点。
作系统上的软件防火墙首先操作系统本身过于庞 必须指出,防火墙技术能够在很大程度上提高大,难免存在一些安全漏洞,并且不管是什么操作系 网络安全性能,但它并不能保证网络的绝对安全。统,其新的安全漏洞在不断发现,因此需要不断给操 另外,防火墙只能抵御外部网络攻击,但对来自网络作系统升级补丁程序。通过操作系统存在的安全隐 内部的攻击无能为力。除了使用防火墙技术外,企业患是显而易见的。 内部要加强管理,制定法规,提高网络管理人员的安
防火墙硬件化的另一个重要原因在于性能。新 全意识。
型硬件防火墙采用了专用包处理芯片,硬件化的入 (责任编辑:雷智勇)
英语教育全民化质疑
英语教育是否应该全民化?全国政协委员谢克 另外,很多在职人员放弃了专业进修和业务钻昌说,英语教育是我国学历教育体系中教育对象范 研,去苦读一个不知何时才能用到的英语,原因就在围最广,教育持续时间最长的部分。从小学、中学一 于职务职称晋升的需要,英语水平高低成为人才选直到大学,几乎形成了一个庞大的全民英语教育系 拔的一个重要门槛 谢克昌对这些现象提出质统。在当今世界,英语的重要性毋庸置疑。但问题 疑 英语的这种地位是否正常?”
不是要不要学,而是如何学,学多少,多少人应该学。 谢克昌说:“我们应该明确,英语教育仅仅是整就我国现状来看,需要在9年义务教育完成后,甚至 体国民教育中的一个部分,英语是一种语言工具,是高等教育完成后实际使用英语的人究竟有多少?这 全面素质教育中的一部分,不应当普遍性地成为继一数字可能不易统计,但肯定有不少宝贵的人力、智 续接受教育和人才使用的必要条件。 ”
力和财力被浪费掉了。 《(新华每日电讯》 2004.3. 7张景勇 李柯勇文)
33
