方自远 王栋

摘要：网络安全问题已经成为超越并涵盖国防安全、经济安全和社会安全的第一安全问题。防火墙技术是互联网上使用最为广泛的安全防范措施。该文从现有的网络安全问题出发，对防火墙技术的基本原理、主流技术、现有防火墙产品的体系架构进行了全面介绍，并对防火墙的未来发展趋势做了展望。

关键词：防火墙；网络；安全技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）32-0030-03

随着互联网产业和技术的高速发展，全球已经进入一个“全球互联”的互联网信息时代，网络信息化系统以及相关系统间的通信网络已经成为一种提供公共服务的基础设施。互联网以及所带来的应用已经深入社会的各个层面，网络安全已经成为与国家、社会和每个个体都紧密相关的问题。对一个国家来说，网络安全已经成为国防安全、经济安全之上的第一安全。对于整个社会而言，网络安全是社会正常运行的重要保障。对于个人来说，网络安全是个人隐私和尊严、个人财产和人身安全的安全保护伞。近两年来，随着移动互联网的飞速发展，网络安全形势日趋严峻。

互联网系统存在安全问题的主要原因有：（1）系统本身存在缺陷和漏洞；（2）互联网的开放性；（3）网络上大量的黑客攻击行为。目前，针对网络安全的防控技术主要有：（1）病毒防护技术，（2）入侵检测技术，（3）VPN技术，（4）PKI（公钥）技术，（5）防火墙技术。本文主要对防火墙技术进行介绍。

1 防火墙技术概述

（1）防火墙的概念

实际上来讲，防火墙是一种设置于不同网络安全边际上的高级访问控制设备。网络安全人员通过在该设备上设置安全控制策略对网络行为进行安全管控。防火墙的核心设计理念是在不安全的互联网网络环境中隔离出一个相对比较安全的网络子网，其方法则是在被保护的内部网络与外部网络之间建设一个唯一安全通道，通过控制通过安全通道内的信息流达到保证内部网络安全的目的。

（2）防火墙的分类

从使用范围和构成来分，防火墙可以分成个人防火墙、软件防火墙和硬件防火墙三个类型。

个人防火墙——安装在个人电脑或个人移动终端上的软件系统，为个人电脑或移动终端提供简单的防火墙功能。常用的个人防火墙有360安全卫士、腾讯安全卫士、百度安全卫士等。

个人防火墙除了提供基本的防火墙功能之外，还提供基础杀毒功能和系统优化功能等。

软件防火墙——是与硬件系统无关的，通过软件来实现阻止非法访问的软件系统。该软件系统可以运行在多种操作系统之上，功能比较强大。本质上来讲，个人防火墙是软件防火墙的一种简化版本。

硬件防火墙——此类防火墙采用专门的CPU芯片（非X86芯片）來处理防火墙的安全控制策略的防火墙。此类防火墙的所有控制逻辑均在硬件芯片内来实现，因此也叫芯片级防火墙。芯片级防火墙的优点在于：性能比较高，具有非常高的并发处理能力和吞吐量。

2 防火墙的技术原理

防火墙本质上是一种通过隔离并设置“安全检查站”的方式来防护的技术。通过设置安全检查策略，允许符合安全策略的访问者和数据流通过进出内部网络，对于那些不符合安全策略的数据流和访问请求拒绝通过“安全检查站”。这样，既可以防止外部网络的非法访问，也可以阻止内部敏感数据被窃取，达到阻止黑客访问网络，并更改、删除和复制网络中重要信息的目的。

防火墙所采用的技术主要有：包过滤技术、应用及代理服务器技术、状态检测技术和完全内容检测技术。

（1）包过滤技术

包过滤（IP Filtering or packet filtering）工作在网络层，其主要原理是通过检测数据包中的IP、端口和协议等信息，来决定是否允许数据包通过。

当设置的包过滤规则比较合理的情况下，网络的安全可以得到充分的保障。包过滤检测主要是对IP数据包的包头信息进行检测，检测内容包括：TCP/UDP的源端口号或这目的端口号，协议类型：TCP、UDP、ICMP等，源或目的IP地址，数据包的源地址和目的地址。

所检测的信息如果能够与检测规则中的某一条匹配成功并且该规则为允许通过规则，则该数据包被转发；如果所检测信息与某一条检测规则匹配并且该规则为拒绝通过规则，则该数据包则会被丢弃；如果所检测信息没有与任何一条检测规则匹配成功，则根据缺省规则的约定对数据包进行转发或是丢弃处理。

如图1所示，如果需要允许IP地址为192.168.0.1的电脑浏览网页（建立HTTP连接），允许IP地址为192.168.0.2的电脑与Internet建立FTP连接，不允许其他电脑与Internet通信，则可以设置如下过滤规则：a）允许源IP地址为192.168.0.1，目的端口号为80的数据包通过（HTTP协议的端口号为80）；b）允许源IP地址为192.168.0.1，目的端口号为53的数据包通过（DNS的端口号为53，在浏览网页时通常需要进行域名解析）；c）允许源IP地址为192.168.0.2 ，目的端口号为21的数据包通过（FTP的端口号为21）d）缺省禁止所有的其他连接。

（2）应用及代理服务器技术

包过滤技术不能够完全保障网络的安全，某些特殊的报文攻击，比如：SYN攻击、ICMP洪水，可以避开包过滤防护。代理服务器实际上是作为一个数据转发服务器而存在。这种通道是为了实现用户保密或突破访问限制而设置的。“应用代理”防火墙实际上是带有数据检测过滤功能的透明代理服务器（Transparent Proxy）。但是它采用一种被称为“应用协议分析”（Application Protocol Analysis）的新技术，并不是单纯地在代理服务器中嵌入包过滤技术。

该技术的基本原理是：为了防止互联网上的用户直接获得内部网的信息，在内部网的边缘设置代理服务器，将互联网和内部网的连接通路分成两段，一段是互联网到代理服务器，另一段是代理服务器到内部网中的某个主服务器。当有互联网上用户请求访问内部网的某个服务器时，该业务请求总被送到代理服务器，由代理服务器作为代理去访问内部网的某个服务器。这样，所有来自互联网的访问请求均要通过代理服务器的安全管控，从而使得外部访问者无法了解内部网的结构和运行状态。

该技术的主要优点：屏蔽了被保护的内部网；实现对数据流的监测和控制。主要缺点：系统实现相对复杂；需要设置额外的硬件设备；服务请求延迟比较大。

（3）状态检测技术

状态检测技术是一种基于链接的状态检测机制。该技术将属于同一链接的所有数据分组当作一个整体数据流，从而构成链接的状态表。规则表和状态表共同作用对表中的各个连接状态信息进行识别。

状态检测技术所检测的状态信息有：①通信信息，②通信状态，③应用状态，④操作信息。

通信信息——操作系统的内核中嵌入检测模块。通信信息则是包括了OSI模型的所有对应层的通信信息。检测模块在进行检测时，先从底部协议层的数据包开始进行检测，如果数据包符合所设置的安全策略，则再进行更高层级的安全检测。

通信状态——状态表存储于状态检测防火墙中。受保护的网络中发出的数据包的状态信息被存储到状态表中。然后，状态检测防火墙读取状态表中的记录，并与那些请求进入受保护网络的数据进行分析比对，最终只允许那些响应内部网服务请求的数据包通过检测，进入内部网络。

应用状态——状态检测模块被加入了自学习功能，因此可以学习最新的协议和应用。由此，状态检测模块能够支持各种最新的应用程序。应用程序中状态信息也被收集起来并存入状态表，用以支撑检测策略。

操作信息——此类信息包括数据包中的用于执行逻辑或数学运算的部分。由于状态检测技术采用的是面向对象技术，因此可以收集通信信息、通信状态和应用状态等多种信息并结合安全策略、状态关联信息和通信数据，构成出功能强大、机制灵活并满足用户特殊安全需求的安全策略规则。

（4）完全内容检测技术

内容检测防火墙将多种防火墙技术结合在一起，是一种新型的防火墙。完全内容防火墙的实现是基于特定的硬件系统，并依托包过滤技术，设计了用于内容检测的特定功能模块和软件系统。

完全内容检测防火墙可以说是包过滤防火墙的加强型。这种防火墙技术并非一种标准化技术，而是可以根据客户的特定需求，可以根据网络协议的不同对特定数据包进行内容检测，比如：需要检测某些网络浏览内容，则直接对HTTP协议数据包进行检测；如果需要对往来的电子邮件内容进行检测，则直接拦截基于POP3和SMTP协议的数据包进行检测即可。

内容检测防火墙的主要优点：对网络层保护强，检测网络层内容；对应用层保护能力强大，实现对应用层协议的检测；在会话层设计了相关检测模块，会话保护很强；检测中具有上下文相关性；检测中的前后报文有联系。

3 防火墙的体系架构

防火墙的功能、性能和适用范围是由防火墙系统所采用实现技术和体系架构所决定的。常见的防火墙体系架构有：

（1）包过滤型防火墙架构

分组过滤路由器是包过滤型防火墙的主要实现部件。作为Internet和内部网之间的唯一通道，分组过滤器对所有进出内部网络的数据包/分组报文进行检查，并根据检测规则决定是否允许通过。

由于包过滤型防火墙一般设置在网络层，其主要任务是对IP报文进行检测，所以也被叫作IP过滤器或网络层防火墙。

该种防火墙的主要优点：处理速度快；不需要增加额外硬件；处理过程对于用户来讲是透明的。其缺点：维护困难；仅能防止IP欺骗类攻击；没有日志记录功能。

其应用范围：安全性要求不高的小型网络中。

（2）双宿/多宿主机防火墙架构

具有双网卡的堡垒主机是双宿/多宿主机防火墙的主要构成部件。堡垒主机位于内部网和Internet之间，用于隔离Internet和内部网之间的网络层通信。两者之间的通信只能有堡垒主机作为中转站进行转接。

该架构的优点：被保护网络完全被屏蔽，网络安全性高；实现了数据流监控、过滤、记录和报告功能，且功能比较强大。缺点：访问速度变慢；提供服务相对滞后；特定的服务无法提供。

（3）被屏蔽主机防火墙架构

该种架构中额外设置一个过滤路由器。该路由器主要用于将Internet上所有对内部网的访问路由到堡垒主机上，迫使所有的外部访问仅能与堡垒主机相连接，而不是直接访问业务主机。该架构本质上双宿/多宿主机防火墙是一样的，但是其增加了边缘网络，将堡垒主机置于边缘网络，提升了安全性。

（4）被屏蔽子网（Screened Subnet）防火墙架构

该防火墙架构的核心思想是：在Internet和内部网之间设置一个被隔离的子网，或称为非军事区（DMZ， Demilitarized Zone）。如图5所示，在实际实现的时候，被屏蔽子网的兩端被设置两个分组过滤路由器，子网内构成一个DNS。Internet和内部网均可以通过各自端的路由器访问被屏蔽子网，但是却无法穿越被屏蔽子网。

4 防火墙的未来发展趋势

随着网络技术的不断发展，防火墙相关产品和技术也在不断进步。

（1）防火墙的产品发展趋势

目前，就防火墙产品而言，新的产品有：智能防火墙、分布式防火墙和网络产品的系统化应用等。

智能防火墙——在防火墙产品中加入人工智能识别技术，不但提高防火墙的安全防范能力，而且由于防火墙具有自学习功能，可以防范来自网络的最新型攻击。

分布式防火墙——一种全新的防火墙体系结构。网络防火墙、主机防火墙和管理中心是分布式防火墙的构成组件。传统防火墙实际上是在网络边缘上实现防护的防火墙，而分布式防火墙则在网络内部增加了另外一层安全防护。分布式防火墙的优点有：支持移动计算；支持加密和认证功能，与网络拓扑无关等。

网络产品的系统化应用——主要是指某些厂商的安全产品直接与防火墙进行融合，打包销售。另外，有些厂商的产品之间虽然各自独立，当各个产品之间可以进行通信。

（2）防火墙的技术发展趋势

包过滤技术——作为防火墙技术中最核心的技术之一—自身具有比较明显的缺点：不具备身份验证机制和用户角色配置功能。因此，一些产品开发商就将AAA认证系统集成到防火墙中，确保防火墙具备支持基于用户角色的安全策略功能。

多级过滤技术就是在防火墙中设置多层过滤规则。在网络层，利用分组过滤技术拦截所有假冒的IP源地址和源路由分组；根据过滤规则，传输层拦截所有禁止出/入的协议和数据包；在应用层，利用FTP、SMTP等网关对各种Internet的服务进行监测和控制。

综合来讲，上述技术都是对已有防火墙技术的有效补充，是提升已有防火墙技术的弥补措施。

（3）防火墙的体系结构发展趋势

随着软硬件处理能力、网络带宽的不断提升，防火墙的数据处理能力也在得到提升。尤其近几年多媒体流技术（在线视频）的发展，要求防火墙的处理时延必须越来越小。

基于以上业务需求，防火墙制造商开发了基于网络处理器和基于ASIC （Application Specific Integrated Circuits，专用集成电路）的防火墙产品。基于网络处理器的防火墙本质上还是依赖于软件系统的解决方案，因此软件性能的好坏直接影响防火墙的性能。而基于ASIC的防火墙产品具有定制化、可编程的硬件芯片以及与之相匹配的软件系统，因此性能的优越性不言而喻，可以很好地满足客户对系统灵活性和高性能的要求。

5 结束语

随着互联网技术的飞速发展，接入互联网的设备无论从种类还是数量都是越来越多，在互联网上进行的社会活动也越来越多，包括商业、社交等诸多方面，因此，互联网安全问题已经成为涵盖经济安全、社會安全、国防安全等诸多方面对的综合性安全问题。

本文从网络安全的角度出发，对网络防火墙的主流技术、产品体系架构和未来的技术演进方向做了一个比较全面的介绍。

参考文献：

[1] 黄志军，赵皑，徐红贤.网络安全与防火墙技术[J].海军工程大学学报，2002（14）.

[2] 李慧敏.防火墙技术综述[J].计算机光盘软件与应用，2011（5）.

[3] 陈栋.防火墙技术分析[J].新乡学院学报（自然科学版），2012（29）.

[4] 赵鹏.浅析防火墙技术[J].计算机光盘软件与应用，2011（9）.

[5] 于婷婷.浅谈Internet防火墙技术[J].计算机光盘软件与应用，2012（4）.

[6] 王中，郭兰申，王永滨，杨威.Linux防火墙分析[J].河北工业大学学报，2001（4）.

【通联编辑：代影】