防火墙的功能特点

7.1.2　防火墙的功能特点

1.防火墙的发展简史（图7-5）

图7-5　防火墙技术的简单发展历史

第一代防火墙：几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。

第二、三代防火墙：1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙：1992年，USC信息科学院的Bob Braden开发出了基于动态包过滤（Dynamic Packet Filter）技术的第四代防火墙，后来演变为目前所说的状态监视（State Fulinspection）技术。1994年，以色列的Check Point公司开发出了第一个基于这种技术的商业化的产品。

第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Fire wall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

2.防火墙的功能

通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。

防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。其功能表现在如下四个方面。

（1）防火墙是网络安全的屏障

防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以内部网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

（2）防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

（3）对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当地报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的：其理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击、防火墙的控制是否充足，而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

（4）防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如finger，DNS等服务。finger显示了主机的所有用户的注册名、真名，最后登录时间和使用的shell类型等。但是finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息。这样，内部主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

总之，防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络：可以很方便地监视网络的安全性，并报警；可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态的与内部的IP地址对应起来，用来缓解地址空间短缺的问题；防火墙还是审计和记录Internet使用费用的一个最佳地点，网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费；防火墙可以连接到一个单独的网段上（从技术角度来讲，这就是所谓的停火区——DMZ），从物理上和内部网段隔开，并在此部署WWW服务器和RP服务器，将其作为向外部发布内部信息的地点。

由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。任何关键性的服务器，都应该放在防火墙之后。

3.防火墙的必要性

（1）随着世界各国信息基础设施的逐渐形成，Internet已经成为信息化社会发展的重要保证。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。

（2）难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。

（3）网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化。

4.防火墙的未来发展趋势

目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其他一些新技术的防火墙已经出现。

（1）优良的性能

新一代的防火墙系统不但应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这就极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持网络地址转换（NAT）功能，它使防火墙系统的性能受到影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则防火墙将成为网络通信的瓶颈。

特别是采用复杂的加密算法（3DES）时，其性能尤为重要。总之，未来的防火墙系统将会把高速性和最大限度的安全性有机结合在一起，有效地消除制约传统防火墙性能的瓶颈。

（2）可扩展的结构和功能

对于一个好的防火墙系统而言，它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。

因此防火墙除了具有保护网络安全的基本功能外，还提供对具有可扩展的内驻应用层代理，及提供相应的代理服务，例如，除了支持常见的网络服务以外，还有VPN的支持，同时还应该能够按照用户的需要（如用户需要NNTP（网络消息传输协议），X windows，HTTP和Gopher等服务），防火墙就应该包含相应的代理服务程序。

未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

（3）简化的安装与管理

防火墙的确可以帮助管理员加强内部网的安全性。但是一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要因素之一。实践证明，许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和使用上的错误。若防火墙的管理过于困难，就可能会造成设定上的错误，不能发挥其效能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它的可用性大大推动了基于NT的防火墙的销售。同时，像DNS这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。

（4）主动过滤

Internet数据流的简化和优化，使网络管理员将注意力集中在Web数据流进入他们的网络之前需要在数据流上完成的更多的事务之上。

防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙将内置病毒和内容扫描程序进行集成。今天，许多防火墙都支持过滤产品，并可以与第三方过滤服务连接，这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

（5）防病毒与防黑客

尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP/IP协议套件中存在的脆弱性常使Internet服务饱和或造成与它连接的系统崩溃，使Internet无法供企业使用。

防火墙市场已经对此做出了反应。虽然没有防火墙可以防止所有的被拒绝服务的攻击，但防火墙厂商一直在尽可能阻止被拒绝服务的攻击。像序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像SYN泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。

现在软件防火墙主要有天网防火墙个人及企业版和Norton的个人及企业版软件防火墙，此外，还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙，如KV系列、KILL系列、金山系列等。硬件防火墙如果从技术上来分又可分为两类，即标准防火墙和双家网关防火墙。标准防火墙系统包括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；另一个则连接内部网。标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。双家网关（dual home gateway）则是标准防火墙的扩充，又称堡垒主机（bation host）或应用层网关（applications layer gateway），它是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立任何直接的边界，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。

越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如，许多WWW客户服务软件包就具有代理能力，而许多像SOCKS这样的软件在运行编译时也支持类代理服务。

包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPoint Firewall-1、Karl Brige/Karl Brouter以及Morning Star Secure Connect router中的包过滤规则可由路由器灵活、快速地设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。

随着防火墙技术的发展，在双家网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关方式，另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问对专用网络的非法访问。一般来说，这种防火墙是最不容易被破坏的。

被称为“第五代”产品的第一批系统已开始进入市场。如Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet 3.0产品从外部向内看起来像是代理服务（任何外部服务请求都来自于同一主机），而由内部向外看像一个包过滤系统（内部用户认为他们直接与外部网交互）。这些产品通过对大量内部网的外向连接请求的计账系统和包的批次修改对防火墙的内外提供相关的伪像。Karl Bridge/Karl Brouter产品拓展了包过滤的范围，它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。

综上所述，未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全这五者综合应用。此外，网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。