林志浩

[摘要]在分析如今网络的形势基础上简要分析防火墙技术在网络安全上的应用，并重点介绍分析状态检测技术的利用。在最后给出网络安全的一个宏观把握方式以及发展趋势并给出综合性意见。

[关键词]网络安全 防火墙技术 状态检测技 计算机

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0220133－01

网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。因而，网络的安全将成为人们最为关注的问题。我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。

防火墙是一个系统或一组系统，它在企业内网与因特网间执行一定的安全策略。

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

如果没有防火墙，整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。

如今的防火墙的功能越来越强大，这里我们来简单介绍下对于防火墙的智能防御。基于状态检测技术的防火墙不仅仅对数据包进行检测，还对控制通信的基本因素状态信息（状态信息包括通信信息、通信状态、应用状态和信息操作性）进行检测。通过状态检测虚拟机维护一个动态的状态表，记录所有的连接通信信息、通信状态，以完成对数据包的检测和过滤。

智能过滤技术指的是一种动态的过滤技术，覆盖了网络的各个层次，它可以根据用户的特定的安全需求在指定的网络层次中进行过滤或实现动态过滤。例如：在网络层拦截数据包，如果是某些特定的网络应用，则交给特定的检测进程作进一步的检测。

简单的说，状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

通过多种技术的协同防护，可以保证在网络边界对访问进行控制，但是，随着VPN网络和远程移动办公用户的接入增多，网络边界的概念在如今已经非常模糊了。很明显的，网络的边界已经拓展到实际用户的桌面端。所以网络安全是需要综合的部署和完善的策略来做保证的。

参考文献：

[1]《信息安全原理与应用》，Charles P.Pfleeger Shari Lawrence Pfleeger，电子工业出版社.

[2]《网络协议与网络安全》，凌力，清华大学出版社，2007年11月第1版.