Internet給人類社會帶來了的沖擊，它的重要性和巨大優勢有目共睹，其優勢之所在正是其上的所有資源均可相互共享，而這也正是其脆弱性之所在。為充分發揮其優勢，為使善良的人們能充分利用網絡上的資源，網絡被設計為容易進入。不懷好意的人就利用這種容易進入并進行破壞。

　　通過Internet將各種分布的計算機網絡系統互聯，在大大擴展信息資源共享的空間尺度的同時也顯著縮短了信息服務的時間尺度，顯著提高了信息資源的利用率，這對保障網絡系統安全帶來了的挑戰。網絡裝機容量(全球Internet已有來自幾十萬個互聯網網絡的3000多萬個聯網系統)、全球性的地理覆蓋、千差萬別的網絡運行狀態和單機系統均對網絡安全保障提出了嚴峻的要求。

　　計算機網絡安全一個使用很廣泛的技術就是防火墻技術，即在Internet和內部網絡之間設一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。

　　那么什么是防火墻(Fire Wall)呢？顧名思義，防火墻是用來阻擋外部(Internet)火情影響內部網絡的(Internal network)屏障。無論外部世界多么錯綜復雜，良莠不齊，經過防火墻的過濾，內部網絡大可隔岸觀火，不受火災危害。用專業一點的話來描述，防火墻的主要目的就是防止外部網絡的未授權訪問。

　　防火墻的特征是通過在網絡邊界上建立相應的網絡通訊監控系統達到保障網絡安全的目的。

　　防火墻技術假設被保護網絡具有明確定義的邊界和服務并且網絡安全的威脅僅來自外部網絡，進而防火墻型技術通過監測、限制、更改跨越防火墻的數據流，通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構來實現對網絡的安全保護。由此可見，防火墻型系統比較適合于相對獨立，與外部網絡互聯途徑有限并且網絡服務種類相對集中和單一的網絡系統，常見的企業專用網一般屬于此類。

　　防火墻技術通過對網絡做拓撲結構和服務類型上的隔離來加強網絡安全。它所保護的對象是網絡中有明確閉合邊界的一個網塊，它的防范對象是來自被保護網塊外部的對網絡安全的威脅。建立防火墻是在對網絡的服務功能和拓撲結構仔細分析基礎上，在被保護網絡周邊通過專用軟件、硬件及管理措施的綜合，對跨越網絡邊界和信息提供監測、控制甚至修改的手段。可見，防火墻技術適合于在企業專業網中使用，特別是在企業專業網與公共網絡互聯時的使用。 目前，在商業網絡上大多使用防火墻來防止某些外部結點的侵入，從而可以避免有關的商業機密受到侵犯。例如，將企業內部應用的Web服務器、域名服務器、E－mail服務器放在防火墻內，對于公開使用的Web服務器放在防火墻外，外部網絡中只有經過授權的用戶才能通過防火墻，進入到內部網絡獲取信息。反之，內部網絡上的用戶若想訪問Internet,也必須通過防火墻的檢查，防火橋架以確認是否合法。

　　需要說明的是，如前所述，網絡的安全性通常是以網絡服務的開放性、便利性、靈活性為代價的。對防火墻的設置也不例外，常常需要有特殊的相對較為封閉的網絡拓撲結構來支持。由于防火墻的隔斷作用，一方面加強了內部網絡的安全，一方面卻使內部網絡與外部網絡(Internet)的信息系統交流受到阻礙，必須在“防火墻”上附加各種信息服務的代理軟件來代理內部網絡與外部的信息交流，這樣不僅增大了網絡管理開銷，而且減慢了信息傳遞速率。因此，一般而言，只有對個體網絡安全有特別要求，而又需要和Internet聯網的企業網、網，才建議使用“防火墻”。

　　另外，“防火墻”在技術原理上對來自內部網絡系統的安全威脅不具防范作用，只能阻截來自外部網絡的侵擾，因而內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。

　　如果某個網絡決定設定“防火墻”系統，那么首先需要由網絡決策人員及網絡專家共同決定本網絡的安全策略，即確定什么類型的信息允許通過“防火墻”，什么類型的信息不允許通過防火墻。防火墻的職責就是根據本單位的安全策略，對外部網絡與內部網絡交流的數據進行檢查，符合的予以放行，不符合的拒之門外。另外，還要確定“防火墻”類型，即“防火墻”拓撲。

　　“防火墻”具有以下屬性：所有的從外到內的信息及從內到外的信息都必須通過“防火墻”；只有在受保護網絡的安全策略中允許的通信才允許通過“防火墻”；“防火墻”本身對各種攻擊免疫。

　　“防火墻通常由過濾器和網關等組成。其中，過濾器封鎖某些類型通信量的傳輸，網關提供中繼服務。也可把“防火墻”理解為由選通門和阻塞門兩個關鍵部件構成的網絡隔離墻，選通門讓數據在兩個網絡之間自由通過而阻塞門阻止不是以該選通門為目的地的輸入數據分組，或者阻止不是來自該選通門的輸出的數據分組，即在其源地址或目的地地址中沒有該選通門地址的任何數據分組都被中止。典型的選通門一般是一臺信關計算機；阻塞門則往往是一個智能路由器。“防火墻”又可分為基于路由的“防火墻”、基于網卡的“防火墻”等等。

　　實現“防火墻”所用的主要技術有數據包過濾、應用級網關和代理服務器等，在此基礎上合理的網絡拓撲結構及有關技術(在位置和配置上)的適度使用也是保證“防火墻”有效使用的重要因素。

　　顧名思義，數據包過濾技術即在網絡中適當的位置對數據包實施有選擇通過，選擇數據即為系統內設置的過濾邏輯。

　　計算機網絡通過檢查數據流中的每個數據包后，根據包的源地址、目的地址、所用的TCP端口號、TCP鏈路狀態等因素或它們的組合來確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發至相應的目的地的輸出端口，其余數據包則被從數據流中刪除。具體表現為：

　　這一結構由路由器和Filter共同完成對外界計算機訪問內部網絡從IP地址或域名上的限制，也可以指定或限制內部網絡訪問Internet。路由器僅對Filter主機特定的端口上數據通訊加以路由，而Filter主機則執行篩選、過濾、驗證及其安全監控，這樣可以很大程度隔斷內外網絡間的不正常的訪問登錄。

　　數據包過濾技術的實現方式相當簡潔，目前網絡的路由設通常均具有一定的數據包過濾能力，因而使路由設在完成路由選擇和數據轉發功能之外同時進行數據包過濾是目前常見的實現方式之一。由于多數Internet與Internet的連接都要使用路由器，因此路由器成為網絡內外通信的必經端口。有些路由器商在新型的路由器上添加數據包過濾功能，這樣的路由器稱為Scrcening Router，它通常不需要外增加硬件/軟件配置，也不需要對網絡拓撲結構做改動。

　　但是應當注意到，數據包過濾技術本身對網絡的保護功能是有局限的，這是因為它是在網絡鏈路層和傳輸鏈路層上運作的技術，因而對位于網絡更高協議層的信息無理解能力，使得它對通過網絡應用鏈路層協議實現的安全威脅無防范能力。

　　此外，進行數據包的檢查和過濾會對路由設的工作性能產生可觀的影響。由于路由器內部資源的限制，通常路由器對所發現的非法數據包僅是刪除而已，并不做報告，防火橋架從而不具有安全保障系統所要求的可審核性。防火橋架已有路由器家開始通過軟件實現非法數據包的登錄和報告，代價是極可能使路由器的工作速度變慢。

　　應用網關像具有過濾功能的路由器一樣，是對計算機網絡設功能的擴充，并且都是根據特定的邏輯檢查是否允許特定的數據包通過。

　　所不同的是，應用網關是建立在網絡應用鏈路層上的協議過濾功能設，它針對特別的網絡應用服務協議指定數據過濾邏輯，并可根據在按應用協議指定的數據過濾邏輯進行過濾的同時，對數據包分析的結果及采取的措施做登錄和統計，形成報告。

　　應用網關通常由一臺專用計算機來實現，這臺機器是內外網絡連接的橋梁，是內外聯絡的途徑，因而，這臺機器被稱為堡壘主機(Bastion Host)。 3.代理服務器技術(Proxy Server)

　　代理服務技術的特點是將所有跨越“防火墻”的網絡通信鏈路分為兩段。“防火墻”內外計算機網絡間的應用鏈路層的鏈接由兩個終止于代理服務上的鏈接來實現，外部網絡鏈接只能到達代理服務，由此實現了“防火墻”內外網絡隔離，代理服務在此等效于一個網絡傳輸鏈路層上的數據轉發器的功能，形象地表示就是：

　　這種方式是內部網絡與Internet不直接通訊，而是內部網絡計算機用戶與代理服務器采用一種通訊方式即提供內部網絡協議(Netbios、TCP/IP等)。代理服務器與Internet之間采取的是標準TCP/IP網絡通訊協議。這樣使得網絡數據包不能直接在內外網絡之間進行。內部計算機必須通過代理服務器訪問Internet，這樣容易在代理服務器上對內部網絡計算機訪問外界計算機進行限制。另外，由于代理服務器兩端采用不同協議標準也可以直接阻止外界非法入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。這樣，能較好地控制管理兩端的用戶起到防火墻作用。

　　代理服務器是“防火墻”技術中頗受推崇的一種，它的優點在于可以將被保護網絡內部結構屏蔽起來，顯著增強了網絡的安全性能，同時代理服務器還可以用于實施較強的數據流監控、過濾、記錄、報告等功能。使用代理服務器的缺點在于需要為每個網絡服務專門設計、開發代理服務軟件及相應的監控過濾功能，并且由于代理服務具有相當的工作量，因此通常需要專用的硬件(即工作站)來承擔。

　　可想而知，這種“防火墻”措施是通過代理服務器進行，在聯機用戶多時，效率必然受到影響，代理服務器負擔很重，并且許多訪問Internet的客戶軟件在內部網絡計算機中無法正常訪問Internet。

　　在上述基本技術基礎上，建設性能良好的“防火墻”的關鍵在于網絡拓撲結構的合理選用及“防火墻”技術的合理配置。“防火墻”的實現多種多樣，細節各不相同。

　　現行的“防火墻”的幾種模式都有一定的缺陷，因此人們正在尋找其他模式的“防火墻”，“防火墻”技術主要有以下幾個發展趨向。

　　復合型“防火墻”。由于對更高安全性的要求，有的商把基于數據包過濾的方法和基于代理服務器的方法結合起來，形成了新的“防火墻”產品。

　　NAT網絡地址轉換器。目前，有一些“防火墻”使用了NAT(Network Address Transtlater，網址轉換器)。NAT的原理就好象一部電話總機，當不同的內部機器向外連接時使用相同的IP地址(相當于總機號碼)；而內部網絡互相通訊時則使用內部IP地址(相當于分機號碼)。這樣做可以使內部網絡不用擔心自己的IP地址與外界的IP地址發生沖突。使用NAT的網絡，可以使內部網絡對外部網絡來說是不可見的。這給內部網絡帶來了很大的安全好處，因為與外部網絡的連接只能由內部網絡發起。NAT的另外一個顯而易見的可能用途是解決IP地址的匱乏問題，但對NAT可能帶來的一些不良后果值得重視。

　　加密路由器。加密路由器把通過路由器的內容進行加密和壓縮，然后讓它們通過“不可靠”的網絡傳輸，并在目的端進行解壓縮和解密。加密路由器的使用將使Internet看上去更象一個“私有網絡”。

　　安全內核。除了采用代理服務器以外，人們開始在操作系統的層次上考慮安全性。人們嘗試把計算機網絡系統內核中可能引起安全性問題的部分從內核中剔除出去，從而使系統更安全。目前，已有一些商業防火墻推出了Unix版本的安全內核。

　　少特權。Internet上有些基于存儲轉發的應用程序運行時具有系統特權，這是一個重大的安全漏洞。因此，在基于代理服務器的“防火墻”內，要使得代理服務器具有少的特權，不要以特權運行。
以上信息由江蘇有銘集團有限公司整理編輯，了解更多防火橋架信息請訪問http://www.bevluma.cn