新一代防火墙技术探索（1）

qzu123456

0 引言

    随着计算机网络的广泛应用和网络间传输的信息量急剧增加，相当多的部门在得益于网络技术的方便快捷的同时，其网络数据也遭受到不同程度的破坏。导致重要信息泄密或重要数据丢失，网络病毒更是肆虐猖撅。防不胜防。数据及系统的安全性、保密性、完整性等受到严重的威胁。网络安全问题日益引起社会的重视和关注。据有关统计：全球平均每20秒钟就有一起黑客事件发生(美国金融时报)；我国对银行、证券系统的1564个营业部门23万台计算机检测中发现全部有安全漏洞t我国2001年已查获黑客案件教千起，电脑犯罪率以30％的速度增长；2003年的冲击波给我国造成的经济损失超过1亿元；再回顾近几年网络安全的有关统计：在2003年2月8日的http：／／www．ccn．org站点统计，如图1所示。




    图1 网络安全事件统计图

    传统的防火墙技术在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用技术。由于单一的防火墙技术并不能防范来自内部或智能化的入侵攻击，加之，网络攻击技术不断发展变化，并呈现出一些新的特点，而原有的安全部署不能迅速地适应这些新的特点，导致网络安全保障技术滞后于网络攻击技术和病毒开发技术，从而出现防不胜防的尴尬局面。所以，有必要引入新的技术和思想来解决这些问题，新一代高品质防火墙于是应运面生。

    1 防火墙的发展及工作原理

    防火墙是设置在可信任的企业内部网和不可信任的公网或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间的惟一出口，防火墙能根据企业的安全策略控制(允许、拒绝，监澜)出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础没施。

    在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

    防火墙技术的发展大致经历了如下几个阶段。

    1．1包过滤防火墙

    包过滤防火墙工作在网络层，其工作原理如图2所示。




    图2 包过滤防火墙工作原理图

    包过滤模块一般检查下面几项：

    (1)源、目的IP地址；

    (2)源、目的端口号；

    (3)协议类型；

    (4)TCP报头的标志位。

    通过检查模块，防火墙拦截和检查所有进站和出站的数据，首先验证这个包是否符合过滤规则，不管足否符合过滤规则，防火墙一定要记录数据包的情况，对不符合规则的数据包要进行报警或通知管理员。

    包过滤系统处于网络的IP层和TCP层，而不是应用层，所以，它无法在应用层对具体的操作进行过滤。以FIP为例，FTP应用中包含许多具体的操作，如读取操作、写入操作、朋除操作等。再者，包过滤系统不能识别数据包中的用户信息。

    1．2状态检测包过滤防火墙

    此类防火墙与前者有所不同，它对特定应用进行更细粒度检测，容易暴露底层OS，对更多应用进行粗粒度检测效率更高。其工作原理如图3所示。


    图3 状态检测包过滤防火墙工作原理图