本文分析了网络防火墙技术及其实现方法，介绍了防火墙的类型、结构、安全策略设计和标准，并提出了防火墙技术的今后发展方向。

1 前言

　　从广义上来讲，计算机网络安全主要有两个方面的问题：

　　（1）如何保证在网络上传输的信息私有性，防止被非法窃取、篡改、伪造；

　　（2）如何限制网络上用户（或程序）的访问权限，防止非法用户（或程序）的侵入。

　　现在解决第一个问题的技术比较成熟，可以采用信息加密技术，而解决第二个问题比较困难，但又是关键，目前普遍采用防火墙技术。

2 网络防火墙

　　网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，如路由器、网关等。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络，它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有3方面的特性：（1）所有在内部网络和外部网络之间传输的数据必须通通过防火墙；（2）只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；（3）防小墙本身不受各种攻击的影响。

　　国际标准化组织（ISO）的计算机专业委员会（ISO／IEC JTCI／SC21）根据网络开放系统互连7层模型（OSI／RM）制定了一个网络安全体系结构，用来解决网络系统中的信息安全问题，如表1所示。

　　防火墙是实现安全访问控制的，因此按照OSI／RM，防火墙可以在OSI／RM7层中的5层设置，如图1所示。

　　目前，从概念上来讲，防火墙技术主要分为3种：

　　（1）包过滤（Packet filter）防火墙，又称筛选路由器（Screening router）或网络层防火墙（Network level firewall），它是对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础，比如IP数据包源地址、IP数据包目的地址、封装协议类型（TCP、UDP、ICMP等）、TCP／IP源端口号、TCP／IP目的端口号、ICMP报文类型等，当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，相当于此数据包所要到达的网络物理上被断开，起到了保护内部网络的作用。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。

　　（2）应用层网关级（Application level gatewav）防火墙，又称代理（Proxy），它由两部分组成：代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种，它是把筛选路由器技术和软件代理技术结合在一起，由筛选路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，如图3所示，代理服务器起到了外部网络向内部网络申请服务时中间转接作用。内部网络只接受代理服务器提出的服务请求，拒绝外部网络其它节点的直接请求，代理服务器其实是外部网络和内部网络交互信息的交换点，当外部网络向内部网络的某个节叔申请某种服务时，比如FTP、Telnet、WWW、Gopher、WAIS等，先由代理服务器接受，然后代理服务器根据其服务类型、服务内容、被服务的对象及其它因素，例如服务申请者的域名范围、时间等，决定是否接受此项服务，如果接受，就由代理服务器内部网络转发这项请求，并把结果反馈结申请
者，否则就拒绝。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙、WAIS网关型防火墙等，它的优点在于既能进行安全控制又可以加速访问，安全性好，但是寥实现比较困难，对于每一种服务协议必须为其设计一个代理软件模块来进行安全控制。

　　（3）双宿主机（Dual-homed host）技术防火墙，又称堡垒主机（Bastion host），它的结构如图4所示，采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径，如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络与外部网络之间的通信，而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据，这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络与外部网络之间却不能传递信息，从而达到保护内部网络的作用。

　　防火墙技术从其功能上来分，又可分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等各种专用防火墙。通常几种防火墙技术被一起使用来弥补各自的缺陷，增加系统的安全性能。

4 防火墙的安全标准

　　防火墙技术发展很快，但是现在标准尚不健全，导致各大防火墙产品供应商生产的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难，为了解决这个问题目前已提出了2个标准：

　　（1）RSA数据安全公司与一些防火墙的生产厂商（如Sun Microsystem公司、Checkpoint公司、TIS公司等）以及一些TCP／IP协议开发商（如FTP公司等）提出了Secure／WAN（S／WAN）标
准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP／IP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍，此标准包含两个部分：

　　①防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能；

　　②安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。

　　（2）美国国家计算机安全协会NCSA （National Computer Security Association）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。

5 展望

　　防火墙技术作为目前用来实现网络安全的一种手段，主要是用来拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源，如果使用得当，可以在很大程度上提高网络安全性能，但是并不能百分之百解决网络上的信息安全问题，比如防火墙虽然能对外部网络的功击进行有效的防护，但对来自内部网络的功击却无能为力，事实上据统计60％以上的网络安全问题来自内部网络，而且网络程序和网络管理系统中也可能存在缺陷。因此网络安全单靠防火墙是不够的，还需要考虑其它技术和非技术的因素，如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。现在网络防火墙技术在不断地发展，值得研究的课题很多，如：如何对一个防火墙产品进行危险评估，如何对网络中传输的敏感数据进行加密，数据应在网络哪一层加密，采用传统密码体制还是公钥密码体制，如何在网络协议中增加鉴别机制对通信双方的身份进行鉴别，防火墙算法设计，知识工程和专家系统在防火墙安全策略研究中的应用，如何减少对网络性能的影响，设计开放的与硬件平台和软件平台无关的防火墙产品等等。