摘要：随着时代的发展，internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。本文主要阐述了防火墙技术以及防火墙的构建。
关键字：防火墙技术     防火墙体系结构   构建
随着internet的发展，网络已经成为人民生活不可缺少的一部分，网络安全问题也被提上日程，作为保护局域子网的一种有效手段，防火墙技术备受睐。
1.防火墙的定义
    internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。
    防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网连接的点上。wWW.11665.coMinternet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
    防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nternet的连接处，但是防火墙系统也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性：1）不能防范恶意的知情者：2）不能防范不通过它的连接：3）不能防范全部的威胁。4）不能防范病毒。
由此可见，要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用。
2防火墙的技术原理
    目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：
（1）包过滤技术
    包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查ip数据包来确定是否该数据包通过。而那些不符合规定的ip地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的ip包：源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如udp和rpc难以有效的过滤。
  （2）代理技术
    代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。
    优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术。
    缺点：在应用支持方面存在不足，执行速度较慢。
  （3）状态监视技术
    这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过ip地址、端口号以及tcp标记，过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠
与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通
过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测rpc和udp端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在osi最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。
3.防火墙的体系结构
     目前，防火墙的体系结构有以几种：
（1）包过滤防火墙
也称作过滤过滤路由器，它是最基本、最简单的一种防火墙，可以在一般的路由器上实现，也可以在基于主机的路由器上实现。配置图如下图所示：


包过滤防火墙
    内部网络的所有出入都必须通过过滤路由器，路由器审查每个数据包，根据过滤规则决定允许或拒绝数据包。
    优点：1）易实现;2）不要求运行的应用程序做任何改动或安装特定的软件，也无需对用户进行特定的培训。
缺点：1）依赖一个单一的设备来保护系统，一旦该设备（过滤路由器）发生故障，则网络门户开放。2）很少或没有日志记录能力，当网络被入侵时，无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
（2）双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口，一端接外部网络，一端接需要保护的内部网络，并运行代理服务器，故被称为双宿主主机防火墙。它不使用包过滤规则，而是在外部网络和被保护的内部网络之间设置一个网关，隔断ip层之间的直接传输。两个网络中的主机不能直接通信，两个网络之间的通信通过应用层数据共享或应用层代理服务来实现。如下图所示：



双宿主主机防火墙

    优点： 1）网关将被保护的网络与外界完全隔离开;2）提供日志，有助于发现入侵。3） 内部网络的名字和ip地址对外界来说是不可见的。
缺点：代理服务，代理服务器必须为每种应用专门设计，所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。
（3）屏蔽主机网关防火墙
它由一台过滤路由器和一台堡垒主机组成。在这种配置下，堡垒主机配置在内部网络上，过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其它主机。内部网络在向外通信时，必须先到堡垒主机，由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信的唯一通道。如下图所示。


屏蔽主机网关防火墙
    优点:1）配置更为灵活，它可以通过配置过滤路由器将某些通信直接传到内部网络的其它站点而不是堡垒主机。2）包过滤路由器的规则较简单。
缺点:一旦堡垒主机被攻破，内部网络将完全暴露。
（4）屏蔽子网防火墙
屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由
器，如下图所示。

屏蔽子网防火墙
      在屏蔽主机网关防火墙中，堡垒主机最易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层的保护，那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制，这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。
    优点:提供多层保护，一个入侵者必须通过两个路由器和一个应用网关，是目前最为安全的防火墙系统。
    缺点:1）价格较贵;2）整个系统的配置较为困难。该防火墙适合大、中型企业，以及对安全性要求高的单位。
参考文献：
[1]贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清华大学出版社
[2]eric maiwald, wi1lieducation, security planning&disaster recovery,2003,
posts&telecommunications press
[3]john viega,gary mcgraw，构建安全的软件，钟向群，王鹏译，第一版，2003.04，清华大学出版社
[4]程龙，杨海兰，电子商务安全，2002.11，经济科学出版社