防火墻是安裝在內部網和外部網之間的一種訪問控制設備。從圖1可以看出，它是不同網絡安全域信息的唯一出入口，能根據個人及企業的不同安全需求來控制出入網絡的信息流。從物理上講，各站點防火墻的物理實現方式有所不同，通常來說它是一組硬件設備包括：路由器、主機或是路由器、計算機和配有適當軟件的網絡的多種組合。從邏輯上講防火墻是限制器、分離器、分析器。
 

　　1、防火墻的現狀

　　1.1 防火墻現階段主要作用

　　(1)增強網絡安全性

　　允許網絡管理員定義一個中心來防止非法訪問，通過對服務進行安全監測，將安全性弱的服務過濾掉，從而抗擊來自各種路線的攻擊。因此，防火墻可以極大地提高網絡安全性，降低對內網的安全風險。

　　(2)統計內部存取、監控和訪問信息

　　防火墻記錄有關外網的訪問請求并統計相關數據。如果防火墻發出警報，則還提供防火墻和網絡是否受到試探和攻擊的細節。對網絡數據的統計也可作為相關風險分析。

　　(3)安全性集中

　　通過配置防火墻安全方案，將一個子網內的所有安全軟件集中存放在該系統中，與將分散的網絡安全方案相比，防火墻集中式管理更經濟、便于維護升級。

　　(4)增強個人隱私保護

　　因為防火墻可以封裝域名服務系統，從而使Internet外部主機無法獲取站點和Ip地址，進而使相關網站站點可防止DNS域名服務和finger獲取合法用戶有用信息。

　　1.2防火墻的設計原理

　　(1)數據包過濾，包過濾是在網絡層根據訪問控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的動作、NAT地址轉換、deny拒絕等等)進行包選擇的，它可以用路由器完成。它是根據包的源端口、目的端口、源IP地址、目的IP地址、封裝協議類型(TCP、UDP、ICMP等)、ICMP報文類型等報頭信息(如圖2、圖3)來判斷是否允許包通過和過濾用戶定義的內容，如IP地址。

　　如果數據包滿足該過濾規則，則允許通過，否則將此數據包所要到達的網絡物理上被斷開，起到了保護內部網絡的作用。防火墻系統在網絡層檢查數據包，與應用層無關，包過濾器的應用非常廣泛，因為CPU用來處理包過濾的時間可以忽略不計。數據包過濾防火墻優點：邏輯簡單，網絡性能好便于路由器安裝；處理包速度比代理服務器快；實現包過濾比較經濟，因為這些特點都包含在標準的路由器軟件上；透明性好，不必對用戶進行特殊的培訓和安裝特定的軟件。缺點：數據包的源地址、目的地址以及IP端口號都在報頭容易被假冒和竊聽；因為定義數據包過濾器比較復雜，因而維護比較困難；隨著過濾器數目的增加，路由器的吞吐量會下降。
 

　　(2)應用層代理，應用層代理防火墻(如圖4)不允許網絡直連，通常分為透明代理(Transparent Proxy)、傳統代理(Traditional Proxy)。它是接收來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器的單獨連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。因此無論內網主機還是外網主機都意識不到它們其實是在和防火墻通信。透明代理與傳統代理工作原理相似，不同的是傳統代理需要在客戶端設置代理服務器。一般常見的應用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。應用層代理的優點：有強大的日志記錄功能，能審查完整的網絡數據；應用防火墻可以直接驗證用戶身份控制遠程登錄命令。缺點：每個協議都需要單獨的代理程序，因此它對新的網絡程序或網絡協議的支持很有局限性；在對包解析會耗費大量CPU資源，因此會形成網絡性能障礙。
 

　　1.3防火墻的局限性

　　防火墻不能解決來自內部網絡的安全問題，而且如果網絡管理員對防火墻的不當配置，也會使內部網面臨安全威脅。防火墻也不能防止受病毒感染的文件的傳輸因此需要制定一套嚴格的規章制度，降低安裝黑客程序的可能性，當然盡管有一些防火墻提供了病毒檢測功能，病毒還有可能傳入被保護網絡。同時它也不能防范不經過防火墻的攻擊，如果安全網絡可以正常撥號連接，那么黑客可以對準許的訪問端口對服務器進行漏洞攻擊或者進行騙取用戶信息的釣魚攻擊。作為網絡“屏障”，防火墻也要進行冗余配置避免系統或人為的損壞。

　　2、防火墻技術的展望

　　2.1 防火墻的發程目標

　　我認為現階段防火墻技術已經引起了個人和企業的廣泛關注，隨著網絡安全技術的不斷提高，防火墻技術會朝著廣度和深度雙向發展，如何使防御即主動又有深度，如何使其加大網絡邊界防御力度進行研發分布式和嵌入式防火墻，如何從性能上使防火墻處理速度更快，硬件化、小型化提防火墻“單兵作戰”能力，將成為日后網絡安全系統升級的重要議題。

　　2.2 未來防火墻的關鍵技術

　　(1)高速防火墻

　　通過采用具有微碼編程的網絡處理器技術，不但可以各取所需對系統進行及時升級，還能很好地兼容IPV6，而且它還集成了很多硬件協處理單元，使高速檢測別的更容易。目前，大多采用ACL算法的CPU防火墻，受到應用協議的不斷增加等技術限制，在對應用層進行高速檢測上還沒有更好的方法。

　　(2)單向防火墻

　　由于現在網絡需求的不斷增加，防火墻也有向專業化、硬件化發展的趨勢。單向防火墻是為了讓信息單向流動，只能從外網流入內網，而不能從內網流出到外網，從而達到一定的保密功能。當然如果將其固化到硬件中，不但會提高防火墻的執行速度，也會大大降低防火墻導致的網絡延時。

　　(3)防病毒、黑客攻擊

　　由于TCP/IP協議中的漏洞，岡此防火墻很難防御拒絕服務攻擊。如IP欺騙和序列號預測這樣的簡單攻擊，已經使得成為防火墻防御種類的一部分。而且如果防火墻嵌入智能芯片則會更有效的識別惡意數據流量和阻斷惡意數據攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設計訪問控制機制的話，則可以更好的支持MAC過濾，從而將其訪問控制發展到數據鏈路層，這樣便可防止MAC欺騙。

　　(4)區域聯防技術

　　隨著非法手段的提升，防火墻主機面臨越來越大的安全威脅。因此升級防火墻的系統結構刻不容緩。新型的防火墻一定要是分布式的它需要結合主機型防火墻和個人計算機型防火墻及傳統防火墻功能，取長補短，全方位的優化防火墻的防衛結構。其目的是利用各區域的加強防衛動作來化解對手的攻擊行為。各終端設置相應的防護功能，彼此之問相互防護，從而保護個人和企業的業務安全。

　　(5)深度檢測

　　因為隨著專門針對應用層的WEB攻擊現象的增多，使得狀態檢測防火墻有效性越來越低。深度檢測防火墻，將狀態檢測和應用防火墻技術結合處理應用程序的流量，使其能夠對數據流量迅速完成網絡層級別的分析，對允許的數據流，根據應用層級別的信息，對負載做進一步決策。深度檢測特征有正常化；協議一致性；雙向負載檢測；應用層加密/解密。

　　3、總結

　　目前，防火墻技術已經引起了人們的普遍關注，隨著因特網基礎技術的發展，也要求防火墻技術不斷更新。只有對過去和現在防火墻系統面臨的問題作充分的了解和總結，才能更高的把握住網絡安全的趨勢，從而全面、深度的提高防火墻技術，在攻防對弈的局面上占據主動地位，更好的維護個人及企業信息的安全，為人類造福。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：防火墻技術現狀與展望

本文網址：http://m.vmgcyvh.cn/html/support/11121511779.html