李 研

（黑龙江省林业设计研究院，哈尔滨市 150080）

1 概述

进入21世纪，计算机网络技术飞速发展，当我们在享受网络带来的便捷的同时网络信息安全逐渐成为了一个重要问题。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术。我们究竟应该在哪些地方部署防火墙呢？首先，应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵。其次，如果公司内部网络规模较大，并且设置有虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网（VPN）。

2 防火墙的分类

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但它无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

根据防火墙所采用的技术不同，我们可以将它分为以下四种基本类型：

2.1 包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入。

2.2 网络地址转化——NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

2.2.1 PC终端机

对于终端机来说，我们应该把一切的系统漏洞全部打上补丁。像360安全卫士（http://www.360safe.com/）是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项，我们只要点击扫描，把扫描到的系统漏洞，点击下载安装，并且都是自动安装，安装完就可以了。

2.2.2 安装杀毒软件

比如说中国著名的瑞星2008杀毒软件，从瑞星官方网站（http://www.rising.com.cn/）下载，下载完，安装简体版就可以了。安装完之后，就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令，检查系统的文件有没有签名，没有签名的文件就有可能是被病毒感染了。可以上网查询之后，进行删除。

2.3 解决方案

2.3.1 防火墙技术

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备——路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：

1）屏蔽路由器：又称包过滤防火墙。

2）双穴主机：双穴主机是包过滤网关的一种替代。3）主机过滤结构：这种结构实际上是包过滤和代理的结合。4）屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。

2.3.2 VPN技术

VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现，可以保证企业员工安全地访问公司网络。

2.4 代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，系统管理较复杂。

2.5 监测型

监测型防火墙是新一代的产品，能够对各层的数据进行主动的、实时的监测。在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

虽然监测型防火墙在安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主。

实际上，作为当前防火墙产品的主流趋势，大多数代理服务器也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用层的，应用网关能提供对协议的过滤。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

3 防火墙的选择

构建不同的网络，选择防火墙的标准也有很多，但最重要的是以下几条：

3.1 总拥有成本

防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。

3.2 防火墙本身的安全性

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理。对用户来说，保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。

3.3 可扩充性

在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大了产品覆盖面。

3.4 防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

综上所述，防火墙在网络安全中的重要性是不言而喻的，选择合适的防火墙是我们在组建网络时应首先考虑的问题。总之，只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

［1］［美］WES NOONAN.防火墙基础.人民邮电出版社，2007.6.

［2］［美］MARK LUCAS.防火墙策略与VPN配置.中国水利水电出版社，2008.1.

［3］阎慧.防火墙原理与技术.机械工业出版社，2004.5.