浅析防火墙配置技术
作者：郑伟
来源：《电脑知识与技术·学术交流》2008年第15期
摘要：文章介绍了防火墙的配置结构的类型和特点，重点阐述了屏蔽子网防火墙和双宿主机防火墙配置技术和应用，最后，针对不同情况，提出了防火墙配置方案。

关键词：防火墙；配置技术
中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)15-20ppp-0c
Brief Analysis Firewall Disposition Technology
ZHENG Wei
(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)
Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.
Key words:Firewall;disposition;technology
1 引言
今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，从Internet到企业内网、从个人电脑到可上网的手机平台，没有地方是安全的。

每一次网络病毒的攻击，都会让家庭用户、企业用户甚至是运营商头痛脑热。

不过经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。

现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。

但是防火墙不是一道用于心理安慰的屏障，只有会用防火墙才能够真正将威胁挡在门外，如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险
与麻烦。

防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。

相反，如果规则不正确，将适得其反。

2 防火墙配置技术
一般来说，防火墙由包过滤（静态的或动态的）和应用网关（或者是电路级网关或者应用级网关）组成，当前主要有：过滤路由器防火墙；主机过滤防火墙；屏蔽子网防火墙；双宿主机防火墙。

2.1 过滤路由器防火墙配置结构
在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。

这种防火墙的好处是完全透明，但由于是在单机上实现，形成了网络中的“单失效点”。

路由器的基本功能是转发分组，一旦过滤机能失效，被入侵后就会形成网络直通状态，任何非法访问都可以进入内部网络。

因此这种防火墙的失效模式不是“失效—安全”型，也违反了阻塞点原理。

因此，我们认为这种防火墙尚不能提供有效的安全功能，仅在早期的因特网中应用。

2.2 主机过滤防火墙配置结构
这种防火墙由过滤路由器和运行网关软件的堡垒主机（指一个计算机系统，它是防火墙配置的一部分，并且是一个或数个应用网关的主机，它暴露于来自外部网络的直接攻击之中）构成。

该结构提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间。

该主机可完成多种代理，如FTP、Telnet和WWW，还可以完成认证和交互作用，能提供完善的因特网访问控制。

这种防火墙中的堡垒主机是网络的“单失效点”，也是网络黑客集中攻击的目标，安全保障仍不理想。

但是该结构防火墙具有可操作性强、投资少，安全功能容易实现和扩充，因而目前也有比较广泛的应用。

2.3 屏蔽子网防火墙配置结构
该防火墙是在主机过滤结构中再增加一层参数网络的安全机制，使得内部网络和外部网络之间有两层隔断。

简而言之，一个屏蔽子网防火墙就是由两个屏蔽路由器构成，它们是用来创建一个称为屏蔽子网或非军事化区域（DMZ）的外部网络段。

DMZ把堡垒主机看成是应用层网关，在堡垒主机上可以运行各种各样的代理服务器。

除了外部服务器，也还有一个被屏蔽路由器所分开的内部网络段，内部服务器可以运行在连接到内部网络段的机器上。

如图1所示。

在这种结构下，入侵者要攻击到内部网络就必须通过两台路由器的安全控制。

即使入侵者通过了堡垒主机，它还必须通过内部网络路由器才能抵达内部网。

这样，整个网络安全机制就不会因一点被攻击而全部瘫痪。

这种防火墙把主机的通信功能分散到多个主机组成的网络中，有的作为FTP服务器，有的作为E-mail服务器，有的作为WWW服务器，有的作为Telnet服务器，而堡垒主机则作为代理服务器和认证服务器置于周边网络中，以维护因特网与内部网络的连接，代理服务器和认证服务器是内部网络的第一道防线，内部路由器是内部网络的第二道防线，而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中，也减少了内部网络的安全风险。

2.4双宿主机防火墙配置结构
在TCP/IP中，多宿主机拥有多个网络接口，每一个接口都连接在物理和逻辑上分离的不同网段上，而且可以在不同的网络段之间转发或路由IP宝，如果在多宿主机中不能转发或路由IP包，则不同的网络段间被隔绝，因此可以用来配置防火墙，使IP路由无效是相对简单和直截了当的任务。

双宿主机是多宿主机中最常见的一个例子，双宿主机是一种拥有两个连接到不同网络上的网络接口的防火墙，一个网络接口连接到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上，如图2所示
这种防火墙的最大的特点在于其IP转发和路由能够被取消，所以IP包不再可能在两个网段之间被路由，应用网关运行在堡垒主机（双宿主机）上，此外，一个屏蔽路由器被特别地放置在堡垒主机和外部网络之间，在这个配置中，堡垒主机的外部网络接口连接到一个外部网段
（通过一个屏蔽路由器），屏蔽路由器的目的是保证来自外部网络的任何IP包准确地到达堡垒主机（双宿主机），如果一个包来自其他目标地址，则舍弃这个包。

同时在堡垒主机（双宿主机）和内联网之间配置了另外一个屏蔽路由器，是堡垒主机的内部网络接口连接到以另一个屏蔽路由器为宿主的内部网段。

由于双宿主防火墙配置的堡垒主机也可以因为效率原因被复制，因此而得的配置优势叫做并行双宿主防火墙，它可以由几个同时连接到内部或外部网段的堡垒主机构成，在这种情况下，可以在不同的主机上运行各种代理和SOCKS服务器。

总之，双宿主机防火墙是一种简单而安全的配置，在互联网中被广泛使用，但是对于非标准TCP/IP应用协议没有代理服务器，双宿主机防火墙配置显得很不灵活了，这对许多WEB站点来说是一个缺点。

3 典型的防火墙结构
建造防火墙时，一般很少采用单一的技术，通常是使用多种解决不同问题的技术组合。

这种组合取决于网络管理中心向用户提供什么样的服务，以及网管中心能接受什么等级的风险。

采用哪种技术主要取决于经费，制冷的大小或技术人员的技术、时间因素。

一般有以下几种形式。

(1)使用多堡垒主机。

(2)合并内部路由器与外部路由器。

(3)合并堡垒主机与外部路由器。

(4)合并堡垒主机与内部路由器。

(5)使用多台内部路由器。

(6)使用多台外部路由器。

(7)使用多个周边网络。

(8)使用双重宿主主机与屏蔽子网。

4 结束语
随着1995年以来多个上网工程的全面启动，我国各级政府、企事业单位、网络公司等陆续设立自己的网站，电子商务也正以前所未有的速度迅速发展，但许多应用系统却处于不设防状态，存在着极大的信息安全风险和隐患。

防火墙系统作为一个有效的防范手段，已经得到了广泛的认可和应用，它们为企业部门提供有效的访问控制服务，并且根据不同的组成和配置，形成不同安全等级的网络系统，但是防火墙决不是任何意义上的灵丹妙药，也不是解决所有与网络有关的安全问题的仙丹，其最大的缺点就是不能保护站点或者内联网用户免受来自内部的攻击，因此它们决不能替代企业部门内联网的安全管理。

如何进一步从软件和硬件的实现上加强网络安全防范工作已成为一项刻不容缓的亟需解决的现实问题，建立较为完善的网络安全体系，防止各类网络安全事件的发生，正是今后进一步开展研究工作的方向。

参考文献：
[1]Rolf Oppliger,著.杨义先,冯运波,李忠献,译.WWW安全技术.人民邮电出版社,2001.
[2]Wes Noonan,Ido Dubrawsky,防火墙基础.人民邮电出版社.
[3]付爱英.防火墙技术标准教程.北京理工大学出版社,2007.
收稿日期：2008年2月28日
作者简介：郑伟（1975-），男，安徽砀山人，工学学士，助理工程师，研究方向：计算机通信。