浅析防火墙体系结构和设计

摘要：网络安全已成为人日益关心的问题。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，其中要作用是在网络入口外检查网络通信，更具用户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通信，提供内部网络的安全。
　　关键词：内部网络；外部网络；安全
　　
　　一、防火墙功能概述
　　防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的internet之间，同时在多个组织结构的内部网和internet之间也会起到同样的保护作用。它主要的保护就是加强外部internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：根据应用程序访问规则可对应用程序连网动作进行过滤；对应用程序访问规则具有自学习功能；可实时监控，监视网络活动；具有日志，以记录网络访问动作的详细信息；被拦阻时能通过声音或闪烁图标给用户报警提示。
　　防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础，必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和internet之间的任何活动，保证了内部网络的安全（见图1）。WwW.lw881.com
　　二、防火墙主要技术特点
　　应用层采用winsock 2 spi进行网络数据控制、过滤；核心层采用ndis hook进行控制，尤其是在windows 2000 下，此技术属微软未公开技术。
　　此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用winsock 2 spi；二是核心层封包过滤，采用ndis_hook。winsock 2 spi 工作在api之下、driver之上，属于应用层的范畴。利用这项技术可以截获所有的基于socket的网络通信。采用winsock 2 spi的优点是非常明显的：其工作在应用层以dll的形式存在，编程、测试方便；跨windows平台，可以直接在windows98/me/nt/2000/xp 上通用，windows95只需安装上winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，cpu占用率低；封包还没有按照低层协议进行切片，所以比较完整。而防火墙正是在tcp/ip协议在windows的基础上才得以实现。在构筑防火墙保护网络之前，需要制定一套完整有效的安全策略，这种安全策略一般分为两层：网络服务访问策略和防火墙设计策略。
　　三、网络服务访问策略
　　网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及slip/ppp连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。
　　四、防火墙的设计策略
　　防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、tcp/ip自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种：除非明确不允许，否则允许某种服务；除非明确允许，否则将禁止某项服务。
　　执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上，和其他的系统隔离。

　　五、设计时需要考虑的问题
　　为了确定防火墙设计策略，进而构建实现策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下的问题：需要什么服务；在哪里使用这些服务；是否应当支持拨号入网和加密等服务；提供这些服务的风险是什么；若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大，是否值付出这种代价；和可用性相比，站点的安全性放在什么位置。
　　六、防火墙的不足
　　防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击——一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。
　　参考文献：
　　1、朱燕辉.windows防火墙与网络封包截获技术[m].电子工业出版社,2002.
　　2、常红等.网络完全技术与反黑客[m].冶金工业出版社,2001.
　　3、袁家政.计算机网络安全与应用技术[m].清华大学出版社,2002. 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/239550.html