防火牆

所謂“防火牆”是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，隔離技術。越來越多地應用於專用網絡與公用網絡的互聯環境之中，尤其以接入Internet網絡為最甚。 ^[2] 

防火牆主要是藉助硬件和軟件的作用於內部和外部網絡的環境間產生一種保護的屏障，從而實現對計算機不安全網絡因素的阻斷。只有在防火牆同意情況下，用户才能夠進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用户要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用户的行為，並進行自我的判斷來決定是否允許外部的用户進入到內部，只要是在網絡環境內的用户，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用户進行顯示，然後用户需要按照自身需要對防火牆實施相應設置，對不允許的用户行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用户對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啓動與關閉程序的功能，而計算機系統的內部中具有的日誌功能，其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。 ^[2] 

防火牆是在兩個網絡通訊時執行的一種訪問控制尺度，能最大限度阻止網絡中的黑客訪問你的網絡。是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。 ^[2] 

防火牆對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網絡環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火牆同時可以保護網絡免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

強化網絡安全策略

通過以防火牆為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火牆上。與將網絡安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄

通過利用防火牆對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用户的註冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用户正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網絡中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所瞭解。除了安全作用，防火牆還支持具有Internet服務性的企業內部網絡技術體系VPN（虛擬專用網）。

進出網絡的數據都必須經過防火牆，防火牆通過日誌對其進行記錄，能提供網絡使用的詳細統計信息。當發生可疑事件時，防火牆更能根據機制進行報警和通知，提供網絡是否受到威脅的信息。 ^[3] 

1、記錄計算機網絡之中的數據信息

數據信息對於計算機網絡建設工作有着積極的促進作用，同時其對於計算機網絡安全也有着一定程度上的影響。通過防火牆技術能夠收集計算機網絡在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，藉此找出其中存在安全隱患的數據信息，採取針對性的措施進行解決，有效防止這些數據信息影響到計算機網絡的安全。除此之外，工作人員在對防火牆之中記錄的數據信息進行總結之後，能夠明確不同類型的異常數據信息的特點，藉此能夠有效提高計算機網絡風險防控工作的效率和質量。 ^[4] 

2、防止工作人員訪問存在安全隱患的網站

計算機網絡安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控，一旦發現工作人員即將進入存在安全隱患的網站，防火牆就會立刻發出警報，藉此有效防止工作人員誤入存在安全隱患的網站，有效提高訪問工作的安全性。 ^[4] 

3、控制不安全服務

計算機網絡在運行的過程當中會出現許多不安全服務，這些不安全服務會嚴重影響到計算機網絡的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險，其能夠將不安全服務有效攔截下來，有效防止非法攻擊對計算機網絡安全造成影響。此外，通過防火牆技術還能夠實現對計算機網絡之中的各項工作進行實施監控，藉此使得計算機用户的各項工作能夠在一個安全可靠的環境之下進行，有效防止因為計算機網絡問題給用户帶來經濟損失。 ^[4] 

防火牆的英文名為“FireWall”，它是一種最重要的網絡防護設備。從專業角度講，防火牆是位於兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裏所講的防火牆的“安全策略”，所以在此我們所説的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

我們通常所説的網絡防火牆是借鑑了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防禦系統。防火可以使企業內部局域網（LAN）網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。

典型的防火牆具有以下基本特性。 ^[5] 

內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆。這是防火牆所處網絡位置特性，同時也是一個前提。因為只有當防火牆是內、外部網絡之間通信的通道，才可以全面、有效地保護企業網部網絡不受侵害。根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用户網絡系統的邊界，屬於用户網絡邊界的安全保護設備。所謂網絡邊界即是採用不同安全策略的兩個網絡連接處，比如用户網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用户內部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

典型的防火牆體系網絡結構一端連接企事業單位內部的局域網，而另一端則連接着互聯網。所有的內、外部網絡之間的通信都要經過防火牆，只有符合安全策略的數據流才能通過防火牆。

網絡流量的合法性

防火牆最基本的功能是確保網絡流量的合法性，並在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火牆將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網絡接口送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來説，防火牆是一個類似於橋接或路由器的、多端口的（網絡接口≥2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

防火牆自身應具有非常強的抗攻擊免疫力：這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。防火牆處於網絡邊緣，它就像一個邊界衞士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能説是相對的。國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用户瞭解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。

防火牆的硬件體系結構曾經歷過通用CPU架構、ASIC架構和網絡處理器架構，他們各自的特點分別如下：通用CPU架構：通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬件以其高靈活性和擴展性一直受到防火牆廠商的喜愛；由於採用了PCI總線接口，Intel X86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構：ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網絡設備幾年前廣泛採用的技術。由於採用了硬件轉發模式、多總線技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現網絡層轉發上，而對於需要強大計算能力的應用層數據的處理則不佔優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代表廠商是Netscreen，國內主要代表廠商為天融信。網絡處理器架構：由於網絡處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網絡處理器架構的防火牆產品難以佔有大量的市場份額。隨着網絡處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網絡處理器業務，該技術在網絡安全產品中的應用已經走到了盡頭。

防火牆是現代網絡安全防護技術中的重要構成內容，可以有效地防護外部的侵擾與影響。隨着網絡技術手段的完善，防火牆技術的功能也在不斷地完善，可以實現對信息的過濾，保障信息的安全性。防火牆就是一種在內部與外部網絡的中間過程中發揮作用的防禦系統，具有安全防護的價值與作用，通過防火牆可以實現內部與外部資源的有效流通，及時處理各種安全隱患問題，進而提升了信息數據資料的安全性。防火牆技術具有一定的抗攻擊能力，對於外部攻擊具有自我保護的作用，隨着計算機技術的進步防火牆技術也在不斷髮展。 ^[3] 

（1）過濾型防火牆

過濾型防火牆是在網絡層與傳輸層中，可以基於數據源頭的地址以及協議類型等標誌特徵進行分析，確定是否可以通過。在符合防火牆規定標準之下，滿足安全性能以及類型才可以進行信息的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。 ^[3] 

（2）應用代理類型防火牆

應用代理防火牆主要的工作範圍就是在OSI的最高層，位於應用層之上。其主要的特徵是可以完全隔離網絡通信流，通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。 ^[3] 

（3）複合型

截至2018年應用較為廣泛的防火牆技術當屬複合型防火牆技術，綜合了包過濾防火牆技術以及應用代理防火牆技術的優點，譬如發過來的安全策略是包過濾策略，那麼可以針對報文的報頭部分進行訪問控制；如果安全策略是代理策略，就可以針對報文的內容數據進行訪問控制，因此複合型防火牆技術綜合了其組成部分的優點，同時摒棄了兩種防火牆的原有缺點，大大提高了防火牆技術在應用實踐中的靈活性和安全性。 ^[6] 

1、包過濾技術

防火牆的包過濾技術一般只應用於OSI7層的模型網絡層的數據中，其能夠完成對防火牆的狀態檢測，從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、端口與源地址，通過防火牆所有的數據都需要進行分析，如果數據包內具有的信息和策略要求是不相符的，則其數據包就能夠順利通過，如果是完全相符的，則其數據包就被迅速攔截。計算機數據包傳輸的過程中，一般都會分解成為很多由目的地址等組成的一種小型數據包，當它們通過防火牆的時候，儘管其能夠通過很多傳輸路徑進行傳輸，而最終都會匯合於同一地方，在這個目地點位置，所有的數據包都需要進行防火牆的檢測，在檢測合格後，才會允許通過，如果傳輸的過程中，出現數據包的丟失以及地址的變化等情況，則就會被拋棄。 ^[2] 

2、加密技術

計算機信息傳輸的過程中，藉助防火牆還能夠有效的實現信息的加密，通過這種加密技術，相關人員就能夠對傳輸的信息進行有效的加密，其中信息密碼是信息交流的雙方進行掌握，對信息進行接受的人員需要對加密的信息實施解密處理後，才能獲取所傳輸的信息數據，在防火牆加密技術應用中，要時刻注意信息加密處理安全性的保障。在防火牆技術應用中，想要實現信息的安全傳輸，還需要做好用户身份的驗證，在進行加密處理後，信息的傳輸需要對用户授權，然後對信息接收方以及發送方要進行身份的驗證，從而建立信息安全傳遞的通道，保證計算機的網絡信息在傳遞中具有良好的安全性，非法分子不擁有正確的身份驗證條件，因此，其就不能對計算機的網絡信息實施入侵。 ^[2] 

3、防病毒技術

防火牆具有着防病毒的功能，在防病毒技術的應用中，其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來説，在網絡的建設過程中，通過安裝相應的防火牆來對計算機和互聯網間的信息數據進行嚴格的控制，從而形成一種安全的屏障來對計算機外網以及內網數據實施保護。計算機網絡要想進行連接，一般都是通過互聯網和路由器連接實現的，則對網絡保護就需要從主幹網的部分開始，在主幹網的中心資源實施控制，防止服務器出現非法的訪問，為了杜絕外來非法的入侵對信息進行盜用，在計算機連接的端口所接入的數據，還要進行以太網和IP地址的嚴格檢查，被盜用IP地址會被丟棄，同時還會對重要信息資源進行全面記錄，保障其計算機的信息網絡具有良好安全性。 ^[2] 

4、代理服務器

代理服務器是防火牆技術引用比較廣泛的功能，根據其計算機的網絡運行方法可以通過防火牆技術設置相應的代理服務器，從而藉助代理服務器來進行信息的交互。在信息數據從內網向外網發送時，其信息數據就會攜帶着正確IP，非法攻擊者能夠分局信息數據IP作為追蹤的對象，來讓病毒進入到內網中，如果使用代理服務器，則就能夠實現信息數據IP的虛擬化，非法攻擊者在進行虛擬IP的跟蹤中，就不能夠獲取真實的解析信息，從而代理服務器實現對計算機網絡的安全防護。另外，代理服務器還能夠進行信息數據的中轉，對計算機內網以及外網信息的交互進行控制，對計算機的網絡安全起到保護。 ^[2] 

防火牆是為加強網絡安全防護能力在網絡中部署的硬件設備，有多種部署方式，常見的有橋模式、網關模式和NAT模式等。 ^[5] 

1、橋模式

橋模式也可叫作透明模式。最簡單的網絡由客户端和服務器組成，客户端和服務器處於同一網段。為了安全方面的考慮，在客户端和服務器之間增加了防火牆設備，對經過的流量進行安全控制。正常的客户端請求通過防火牆送達服務器，服務器將響應返回給客户端，用户不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址，當對網絡進行擴容時無需對網絡地址進行重新規劃，但犧牲了路由、VPN等功能。 ^[5] 

2、網關模式

網關模式適用於內外網不在同一網段的情況，防火牆設置網關地址實現路由器的功能，為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性，在進行訪問控制的同時實現了安全隔離，具備了一定的私密性。 ^[5] 

3、NAT模式

NAT（Network Address Translation）地址翻譯技術由防火牆對內部網絡的IP地址進行地址翻譯，使用防火牆的IP地址替換內部網絡的源地址向外部網絡發送數據；當外部網絡的響應數據流量返回到防火牆後，防火牆再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址，進一步增強了對內部網絡的安全防護。同時，在NAT模式的網絡中，內部網絡可以使用私網地址，可以解決IP地址數量受限的問題。 ^[5] 

如果在NAT模式的基礎上需要實現外部網絡訪問內部網絡服務的需求時，還可以使用地址/端口映射（MAP）技術，在防火牆上進行地址/端口映射配置，當外部網絡用户需要訪問內部服務時，防火牆將請求映射到內部服務器上；當內部服務器返回相應數據時，防火牆再將數據轉發給外部網絡。使用地址/端口映射技術實現了外部用户能夠訪問內部服務，但是外部用户無法看到內部服務器的真實地址，只能看到防火牆的地址，增強了內部服務器的安全性。 ^[5] 

4、高可靠性設計

防火牆都部署在網絡的出入口，是網絡通信的大門，這就要求防火牆的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年，當單點設備發生故障時，要通過冗餘技術實現可靠性，可以通過如虛擬路由冗餘協議（VRRP）等技術實現主備冗餘。到2019年為止，主流的網絡設備都支持高可靠性設計。 ^[5] 

1、內網中的防火牆技術

防火牆在內網中的設定位置是比較固定的，一般將其設置在服務器的入口處，通過對外部的訪問者進行控制，從而達到保護內部網絡的作用，而處於內部網絡的用户，可以根據自己的需求明確權限規劃，使用户可以訪問規劃內的路徑。總的來説，內網中的防火牆主要起到以下兩個作用：一是認證應用，內網中的多項行為具有遠程的特點，只有在約束的情況下，通過相關認證才能進行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。 ^[3] 

2、外網中的防火牆技術

應用於外網中的防火牆，主要發揮其防範作用，外網在防火牆授權的情況下，才可以進入內網。針對外網布設防火牆時，必須保障全面性，促使外網的所有網絡活動均可在防火牆的監視下，如果外網出現非法入侵，防火牆則可主動拒絕為外網提供服務。基於防火牆的作用下，內網對於外網而言，處於完全封閉的狀態，外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑，所以防火牆能夠詳細記錄外網活動，彙總成日誌，防火牆通過分析日常日誌，判斷外網行為是否具有攻擊特性。 ^[3] 

隨着網絡技術的不斷髮展，防火牆相關產品和技術也在不斷進步。 ^[7] 

（1）防火牆的產品發展趨勢

截至2018年，就防火牆產品而言，新的產品有：智能防火牆、分佈式防火牆和網絡產品的系統化應用等。 ^[7] 

智能防火牆：在防火牆產品中加入人工智能識別技術，不但提高防火牆的安全防範能力，而且由於防火牆具有自學習功能，可以防範來自網絡的最新型攻擊。 ^[7] 

分佈式防火牆：一種全新的防火牆體系結構。網絡防火牆、主機防火牆和管理中心是分佈式防火牆的構成組件。傳統防火牆實際上是在網絡邊緣上實現防護的防火牆，而分佈式防火牆則在網絡內部增加了另外一層安全防護。分佈式防火牆的優點有：支持移動計算；支持加密和認證功能，與網絡拓撲無關等。 ^[7] 

網絡產品的系統化應用：主要是指某些廠商的安全產品直接與防火牆進行融合，打包銷售。另外，有些廠商的產品之間雖然各自獨立，當各個產品之間可以進行通信。 ^[7] 

（2）防火牆的技術發展趨勢

包過濾技術作為防火牆技術中最核心的技術之一，自身具有比較明顯的缺點：不具備身份驗證機制和用户角色配置功能。因此，一些產品開發商就將AAA認證系統集成到防火牆中，確保防火牆具備支持基於用户角色的安全策略功能。多級過濾技術就是在防火牆中設置多層過濾規則。在網絡層，利用分組過濾技術攔截所有假冒的IP源地址和源路由分組；根據過濾規則，傳輸層攔截所有禁止出/入的協議和數據包；在應用層，利用FTP、SMTP等網關對各種Internet的服務進行監測和控制。 ^[7] 

綜合來講，上述技術都是對已有防火牆技術的有效補充，是提升已有防火牆技術的彌補措施。 ^[7] 

（3）防火牆的體系結構發展趨勢

隨着軟硬件處理能力、網絡帶寬的不斷提升，防火牆的數據處理能力也在得到提升。尤其近幾年多媒體流技術（在線視頻）的發展，要求防火牆的處理時延必須越來越小。基於以上業務需求，防火牆製造商開發了基於網絡處理器和基於ASIC(ApplicationSpecificIntegratedCircuits,專用集成電路)的防火牆產品。基於網絡處理器的防火牆本質上還是依賴於軟件系統的解決方案，因此軟件性能的好壞直接影響防火牆的性能。而基於ASIC的防火牆產品具有定製化、可編程的硬件芯片以及與之相匹配的軟件系統，因此性能的優越性不言而喻，可以很好地滿足客户對系統靈活性和高性能的要求。 ^[7]