防火墙在网络安全中的重要作用.doc

防火墙在网络安全中的重要性

摘要：随着网络技术的发展，网络安全成为了我们关注的焦点。防火墙是网络安全的关

键技术，文章简单介绍了几种简单的防火墙类型、防火墙常被网络攻击的方式及防火墙是怎

么样来对这些攻击进行防护的。

关键词：网络安全；防火墙；网络攻击；网络防护

随着计算机网络技术的突飞猛进，网络安全问题越发的明显，更容易的影响到各类用户

的使用需求。通过各类数据表明，目前网络用户中大约有20%会受到网络黑客的攻击，给

用户在生活和经济方面造成了很大的不便。在调查的过程中，很多用户表明对防火墙的使用

都不是很熟悉。由此说明防火墙在网络安全中占有重要的位置。

1.防火墙的含义及分类

1.1防火墙的含义

防火墙

[1]

指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公

共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬

件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而

保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网

关4个部分组成。

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出

的所有网络通信均要经过此防火墙,这样就能有效地保证该计算机的网络安全

[2]

。

1.2防火墙的分类

1.2.1按软、硬件形式分类

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙

[3]

和硬件防火墙

[4]

以及芯片级防火墙

[5]

。

1）软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，

一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软

件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火

墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟

悉。

2）硬件防火墙

硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说

的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所

谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。

在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、

Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依

然会受到OS（操作系统）本身的安全性影响。

3）芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他

种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、

FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，

不过价格相对比较高昂。

1.2.2按技术分类

防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。

前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI

公司的Gauntlet防火墙为代表。

1）包过滤型

包过滤型防火墙

[6]

工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地

址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才

被转发到相应的目的地，其余数据包则被从数据流中丢弃。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个

具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路

由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为

它能很大程度上满足了绝大多数企业安全要求。

2）应用代理型

应用代理型防火墙

[7]

是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通

信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关

型代理防火和第二代自适应代理防火墙。

第一代应用网关(ApplicationGateway)型防火墙

这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的

数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内

部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的

核心技术就是代理服务器技术。

第二代自适应代理(Adaptiveproxy)型防火墙

它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性

和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高

10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器(AdaptiveProxy

Server)与动态包过滤器(DynamicPacketfilter)。

1.2.3按性能分类

如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。因为防火墙通常

位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth)，或者

说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延

时也越小，对整个网络通信性能的影响也就越小。

2．防火墙被网络攻击方式及怎样进行防护

防火墙在运行的过程中，会面临网络安全的威胁同时就会受到网络方面的攻击

[8]

。下面

简单的介绍几种网络攻击方式及防火墙所作出的网络防护

[9]

手段：

2.1攻击包过滤防火墙

包过滤防火墙是最简单的一种了，它在网络层截获网络数据包，根据防火墙的规则表，

来检测攻击行为。他根据数据包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP

目的端口来过滤。

1）IP欺骗攻击：

这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防

火墙的检测。如：外部攻击者，将他的数据报源地址改为内部网络地址，防火墙看到是合法

地址就放行了。可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了。

2）DOS 拒绝服务攻击

简单的包过滤防火墙不能跟踪 TCP 的状态，很容易受到拒绝服务攻击，一旦防火墙受

到DOS 攻击，他可能会忙于处理，而忘记了他自己的过滤功能。

3）分片攻击

这种攻击的原理是：在 IP 的分片包中，所有的分片包用一个分片偏移字段标志分片包

的顺序，但是，只有第一个分片包含有TCP 端口号的信息。当IP 分片包通过分组过滤防火

墙时，防火墙只根据第一个分片包的 TCP 信息判断是否允许通过，而其他后续的分片不作

防火墙检测，直接让它们通过。

这样，攻击者就可以通过先发送第一个合法的 IP 分片，骗过防火墙的检测，接着封装

了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和

主机的安全。

4）木马攻击

对于包过滤防火墙最有效的攻击就是木马了，一但你在内部网络安装了木马，防火墙基

本上是无能为力的。

原因是：包过滤防火墙一般只过滤低端口(1-1024)，而高端口他不可能过滤的(因为，一

些服务要用到高端口，因此防火墙不能关闭高端口的)，所以很多的木马都在高端口打开等

待。但是木马攻击的前提是必须先上传，运行木马，对于简单的包过滤防火墙来说，是容易

做的。

2.2 攻击状态检测的过滤包

状态检测技术最早是checkpoint 提出的，在国内的许多防火墙都声称实现了状态检测技

术。状态检测就是从TCP 连接的建立到终止都跟踪检测的技术。

原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是我们知道，同一个TCP

连接，他的数据包是前后关联的，先是 syn 包—〉数据包—〉fin 包。数据包的前后序列号

是相关的。如果割裂这些关系，单独的过滤数据包，很容易被精心够造的攻击数据包欺骗。

如nmap 的攻击扫描，就有利用syn 包、fin 包、reset 包来探测防火墙后面的网络。

相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登

记了这个连接的状态信息(地址，port，选项)，后续的属于同一个连接的数据包，就不需要

在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，

都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。

在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平

时，防火墙可以过滤内部网络的所有端口(1-65535)，外部攻击者难于发现入侵的切入点，可

是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如(ftp 协议，irc 等)，

防火墙在内存就可以动态地添加一条规则打开相关的高端口。等服务完成后，这条规则就又

被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。

3.总结

随着Internet 在世界范围内的普及和发展，给我们信息世界带来了极大的冲击，但是随

着它的发展，新的安全问题正在不断地发生，由此网络安全成为了我们所关注的焦点。其中

防火墙起到了很大的作用，面临信息的日益更新，似乎真个计算机体系每天都在更新，随时

都在面临着严重的网络安全问题。防火墙是网络安全

[10]

的屏障，为了保证整个网络的正常

运行，我们需要了解防火墙的定义及分类，在此基础上，在深一层次的了解攻击防火墙的方

式及怎么样防御这种攻击，以使自己不用为自己的网络问题担心。

参考文献：

[1]王彬, 卢进, 张弋. 防火墙技术在网络安全中的应用[J]. 网络安全技术与应用, 2003, (02).

[2]李振. 网络安全浅析[J]. 淮北职业技术学院学报, 2003, (02) .

[3] W.L. 让网络更安全 选择防火墙需注意的关键问题[J]. 电脑采购周刊, 2002, (35).

[4]谈华. 硬件防火墙在网络安全中的应用[J]. 电脑知识与技术(学术交流), 2007, (19) .

[5]胡晓女. FG8000-NP:芯片级防火墙的发展实例[J]. 通信世界, 2004, (47).

[6]苏静, 刘跃军. 包过滤防火墙的设计与实现[J]. 安阳师范学院学报, 2003, (05).

[7] 石锋. 计算机网络防火墙应用研究[D]. 重庆大学, 2008

[8]毕强. 浅析防火墙面临的安全威胁[J]. 科技创新导报, 2009, (35) .

[9]杨志. 网络安全的攻防方法与技术[J]. 科技资讯, 2006, (06) .

[10] 赵铮铮 陈海强. 整合安全：网络安全新理念[N]. 解放军报, 2004 .

The importance of firewall in network security

Abstract:Along with the development of network technology,Network security became our focus.

The firewall is the key technology of network security, based on the brief introduction of several simple

firewall type, the mode of attack by the network and how is Firewall shielding against these attacks.

Key words:Network security; Firewall; Network attack; Network protection.