國(guó)際互聯(lián)網(wǎng)(Internet)的迅速發(fā)展，為信息共享提供了一條全球性的高速通道，同時(shí)也為各種新興娛樂(lè)方式、商業(yè)形式的形成和發(fā)展創(chuàng)造了有利條件。然而不幸的是，由于目前采用的TCP/IP協(xié)議族潛在著安全漏洞以及安全機(jī)制不健全，Internet網(wǎng)上的黑客趁機(jī)而入，非法進(jìn)入企業(yè)的內(nèi)部網(wǎng)并存取、破壞、竊聽(tīng)數(shù)據(jù)。因此，如何保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源及信息不受外部攻擊者肆意破壞或盜竊，是企業(yè)網(wǎng)絡(luò)安全需要解決的重要問(wèn)題。
　　防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)的、潛在破壞的非法入侵。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，以此來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。
1 防火墻的概念、原理
　　防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)?？烧J(rèn)為它是一種訪問(wèn)控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部服務(wù)訪問(wèn)內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出企業(yè)網(wǎng)。防止非授權(quán)用戶訪問(wèn)企業(yè)內(nèi)部、允許使用授權(quán)機(jī)器的用戶遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部、管理企業(yè)內(nèi)部人員對(duì)Internet的訪問(wèn)。防火墻的組成可用表達(dá)式說(shuō)明如下：
　　防火墻＝過(guò)濾器＋安全策略(網(wǎng)關(guān))
　　防火墻通過(guò)逐一審查收到的每個(gè)數(shù)據(jù)包，判斷它是否有相匹配的過(guò)濾規(guī)則(用表格的形式表示，包括Match，Action，Trace，Target四個(gè)條件項(xiàng))。即按表格中規(guī)則的先后順序以及每條規(guī)則的條件項(xiàng)進(jìn)行比較，直到滿足某一條規(guī)則的條件，并作出規(guī)定的動(dòng)作(停下或向前轉(zhuǎn)發(fā))，從而來(lái)保護(hù)網(wǎng)絡(luò)的安全。
2 防火墻的分類及比較
　　防火墻一般可以分為以下幾種：包過(guò)濾型防火墻、電路級(jí)網(wǎng)關(guān)型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻、狀態(tài)檢測(cè)型防火墻、自適應(yīng)代理型防火墻。下面分析各種防火墻的優(yōu)缺點(diǎn)。
　　包過(guò)濾型防火墻? 它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，也可稱之為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。它的優(yōu)點(diǎn)是：邏輯簡(jiǎn)單，成本低，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，通常安裝在路由器上。缺點(diǎn)是：很難準(zhǔn)確地設(shè)置包過(guò)濾器，缺乏用戶級(jí)的授權(quán)；包過(guò)濾判別的條件位于數(shù)據(jù)包的頭部，由于IPV4的不安全性，很可能被假冒或竊取；是基于網(wǎng)絡(luò)層的安全技術(shù)，不能檢測(cè)通過(guò)高層協(xié)議而實(shí)施的攻擊。
　　電路級(jí)網(wǎng)關(guān)型防火墻? 它起著一定的代理服務(wù)作用，監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，判斷該會(huì)話請(qǐng)求是否合法。一旦會(huì)話連接有效后，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它在IP層代理各種高層會(huì)話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高。但由于其對(duì)會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析，因此安全性低。
　　應(yīng)用網(wǎng)關(guān)型防火墻? 它是在應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能，針對(duì)特別的網(wǎng)絡(luò)應(yīng)用協(xié)議制定數(shù)據(jù)過(guò)濾邏輯。應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。由于它工作于應(yīng)用層，因此具有高層應(yīng)用數(shù)據(jù)或協(xié)議的理解能力，可以動(dòng)態(tài)地修改過(guò)濾邏輯，提供記錄、統(tǒng)計(jì)信息。它和包過(guò)濾型防火墻有一個(gè)共同特點(diǎn)，就是它們僅依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò)，一旦符合條件，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部網(wǎng)絡(luò)能直接了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這大大增加了實(shí)施非法訪問(wèn)攻擊的機(jī)會(huì)。
　　代理服務(wù)型防火墻? 代理服務(wù)器接收客戶請(qǐng)求后，會(huì)檢查并驗(yàn)證其合法性，如合法，它將作為一臺(tái)客戶機(jī)向真正的服務(wù)器發(fā)出請(qǐng)求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界完全隔離開(kāi)來(lái)，從外面只看到代理服務(wù)器，而看不到任何內(nèi)部資源，而且代理服務(wù)器只允許被代理的服務(wù)通過(guò)。代理服務(wù)安全性高，還可以過(guò)濾協(xié)議，通常認(rèn)為它是最安全的防火墻技術(shù)。其不足主要是不能完全透明地支持各種服務(wù)、應(yīng)用，它將消耗大量的CPU資源，導(dǎo)致低性能。
　　狀態(tài)檢測(cè)型防火墻? 它將動(dòng)態(tài)記錄、維護(hù)各個(gè)連接的協(xié)議狀態(tài)，并在網(wǎng)絡(luò)層對(duì)通信的各個(gè)層次進(jìn)行分析、檢測(cè)，以決定是否允許通過(guò)防火墻。因此它兼?zhèn)淞溯^高的效率和安全性，可以支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用，且可以方便地?cái)U(kuò)展實(shí)現(xiàn)對(duì)各種非標(biāo)準(zhǔn)服務(wù)的支持。
　　自適應(yīng)代理型防火墻? 它可以根據(jù)用戶定義的安全策略，動(dòng)態(tài)適應(yīng)傳送中的分組流量。如果安全要求較高，則最初的安全檢查仍在應(yīng)用層完成。而一旦代理明確了會(huì)話的所有細(xì)節(jié)，那么其后的數(shù)據(jù)包就可以直接經(jīng)過(guò)速度快得多的網(wǎng)絡(luò)層。因而它兼?zhèn)淞舜砑夹g(shù)的安全性和狀態(tài)檢測(cè)技術(shù)的高效率。
3 新型防火墻系統(tǒng)
3.1 傳統(tǒng)防火墻的缺點(diǎn)
　　傳統(tǒng)防火墻結(jié)構(gòu)在其技術(shù)原理上對(duì)來(lái)自內(nèi)部的安全威脅不具備防范能力，且具有以下不足：
　　· 高成本：內(nèi)部網(wǎng)中需要保護(hù)的主機(jī)或者資源越多，就要設(shè)置更多的安全檢查點(diǎn)，即需要更高的設(shè)備成本及系統(tǒng)維護(hù)開(kāi)銷。
　　·高管理負(fù)擔(dān)：IT管理人員將面臨極大的挑戰(zhàn)來(lái)管理，維護(hù)更多的防火墻設(shè)備。
　　· 存在盲點(diǎn)：由于傳統(tǒng)防火墻將檢查點(diǎn)設(shè)立在一個(gè)“可信子網(wǎng)”的入口處，來(lái)自子網(wǎng)內(nèi)部任何主機(jī)的攻擊都將成為該防火墻的盲點(diǎn)。
　　· 低性能：由于大量的安全檢查點(diǎn)被安置于企業(yè)內(nèi)的各種路由設(shè)備上，內(nèi)部網(wǎng)中所有的通信都將不可避免地經(jīng)過(guò)若干個(gè)安全檢查點(diǎn)，以至于造成相應(yīng)的傳輸延遲，使網(wǎng)絡(luò)性能降低了。
3.2 嵌入式防火墻系統(tǒng)概述
　　為了有效地解決日益突出的內(nèi)部網(wǎng)安全問(wèn)題，作者提出了一種新型的防火墻系統(tǒng)—嵌入式防火墻系統(tǒng)(EFS)。它不僅是一種單純的提供訪問(wèn)控制手段的防火墻設(shè)備，還集成了一整套解決網(wǎng)絡(luò)安全問(wèn)題的各種應(yīng)用，為大量的網(wǎng)絡(luò)用戶及需要保護(hù)的網(wǎng)絡(luò)資源提供了一個(gè)可管理的、分布式的、安全的計(jì)算環(huán)境。它使用了一種簡(jiǎn)化的，基于公鑰的Kerberos協(xié)議以實(shí)現(xiàn)透明的認(rèn)證，并綜合了其它一些網(wǎng)絡(luò)安全技術(shù)，包括授權(quán)、安全數(shù)據(jù)傳輸、審計(jì)等，并提供了一種集中式的管理機(jī)制。
3.2.1 系統(tǒng)結(jié)構(gòu)和實(shí)現(xiàn)機(jī)制
　　EFS核心系統(tǒng)一般可以包括四個(gè)主要部件：客戶認(rèn)證代理，嵌入式防火墻代理，票據(jù)授予服務(wù)器(TGS)和認(rèn)證服務(wù)器(AS)如圖1所示。