物联网中的防火墙技术-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII物联网中的防火墙技术摘要：随着物联网成为新兴事物，随之而来的安全问题也引人重视。

通过对防火墙的研究及分类，阐释了防火墙的原理，从而对防火墙的发展和物联网的建设起积极的建言作用。

关键词：物联网，安全，防火墙The Internet Connection Firewall ofThe Web of thingsAbstract:There are security issues with web of things becoming a newly sprouted thing.The article studied on firewall and made a classification,which also explained the principle of firewalls.This aricle aims at giving advices to the developments of firwalls and the construction of the web of things.Keywords:web of things,seurity,firewall.0引言近年来，与物联网有关的相关概念大量在网络和人们对的视野中出现。

早在1999年，物联网的概念就已经被提了出来——将生活中的所有物品通过射频识别等信息传感设备与互联网相连，从而实现智能化识别和管理。

物联网把新一代IT技术充分地运用在各行各业之中。

具体地说，就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中，形成物联网，然后将物联网与现有的互联网整合起来，实现人类社会与物理系统的整合。

在这个整合的网络当中，存在能力超级强大的中心计算机群，能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制。

在此基础上，人类可以实现更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。

①1 物联网的安全问题物联网的诞生及应用，使得人与物的交互更加方便，给人们带来了诸多便利。

然而，在物联网的应用中，如果网络安全没有保障，那么个人隐私、物品信息等随时都可能被泄露。

更严重的是，如果网络不安全，那么社会的正常运行，公共设施的保障就成了空谈。

②不可否认，目前的物联网在安全方面的确存在许多问题。

花样繁多的病毒入侵、无孔不入的黑客侵袭，都在时时刻刻地威胁着物联网的安全，但也诞生了物联网的防范措施。

防火墙便是其中之一。

2 防火墙所谓“防火墙”指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，计算机流入流出的所有网络通信和数据包均要经过于此，是一种获取安全性方法的形象说法。

它使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙,公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

③3 防火墙技术的分类防火墙使用的基本技术包括：包过滤、代理服务（应用代理、电路级代理、网络地址转换）和状态监视技术。

④（1）包过滤：包过滤技术是根据流经防火墙的数据包的特征，依据事先定义好的规则，决定是否与许数据包通过的技术。

它对数据包进行分析筛选的依据是系统内设置的访问控制表。

通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息或它们的组合信息来确定是否允许该数据包通过。

包过滤技术分为静态包过滤和动态包过滤两种。

近年来，研究人员在动态包过滤的基础上，又进一步提出了包状态检测技术和深度包检测技术。

A 静态包过滤：又称简单包过滤，是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，然后对所接收的每个数据包做允许或拒绝而决定。

过滤规则基于数据包报头中的信息，例如源IP地址、目标IP地址、源端口和目的端口等等。

B动态包过滤：采用动态设置包过滤规则的方法过滤数据包。

采用这种技术的防火墙对每一个连接都进行跟踪，动态地决定哪些数据包可以通过，并且可以根据需要动态地在过滤规则中增加或更新条目。

C包状态检测：继承了包过滤技术的优点，同时摒弃了包过滤技术仅考察数据包的IP地址、协议类型等几个参数，而不关心数据包连接状态的缺点，就是包状态检测。

通过建立状态连接表，并将进出网络的数当成一个个的会话，利用状态表跟踪每一个会话状态。

因而能提供更完整的对传输层的控制能力。

D深度包检测：融合了入侵检换和攻击防范能力，通过指纹匹配、启发式技术、异常检测和统计分析等技术来决定如何处理数据包，并可以根据特征检测盒内容过滤来寻找已知的攻击，阻止分布式拒绝服务攻击、病毒传播和异常访问等威胁行为。

（2）代理服务：在防火墙的设计中引入“代理”的概念是革命性的。

“代理”完全阻隔了网络通信流，是的从内部网络发出的数据包经过代理技术处理后，就好像是源于防火墙的外部网卡一样，从而可以达到隐藏内部网络结构的作用。

A 应用层代理：又称为应用层网关，工作在OSI的最高层——应用层。

他通过代理技术参与到一个TCP连接的全过程，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，在用户层和应用协议层间提供访问控制。

当客户端提出一个请求时，代理程序将核实请求，处理连接请求，并将处理后的请求传递出去，然后接受应答并作处理，最后将处理结果提交给发出请求的客户端。

代理程序在外部网络和内部网络通信中起着中间转接的作用。

应用层代理服务器针对不同的网络应用提供不同的处理，例如HTTP代理、FTP 代理等。

B电路层代理：又称电路级网关，用来在两个通信的终点之间实现数据包的转换。

它监视两个主机建立连接时的握手信息，从而判断该会话请求是否合法。

显然，电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。

（3）状态监视技术：这是第三代防火墙技术，继承了前两者的优点。

能对网络通信的各层实行检测。

同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。

它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。

此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口，这样，通过对各层进行监测，状态监视器实现网络安全的目的。

目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

4 防火墙的未来：未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。

应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。

对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。

目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。

例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。

未来防火墙的操作系统会更安全。

随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

⑤5 结束语：物联网作为未来信息领域的发展新方向将给世界带来很大的变化，但是，在物联网显著提高经济和社会运行效率的同时，也要看到安全问题面临的严峻挑战。

防火墙仅作为保护物联网安全的其中一项方法，仍任重而道远。

⑥参考文献：①郝文江，武捷.物联网技术安全问题探析.[j].2010.01.013②杨庚许,建陈伟,祁正华,王海勇.物联网安全特征与关键技术.南京邮电大学学报（自然科学版）.Vol.30.No.4.Aug.2010③百度百科.防火墙④徐小涛,杨志红.<物联网信息安全>.p143-148⑤《防火墙技术的现状与展望》⑥刘件,侯毅.物联网时代的信息安全防护研究.微计算机应用.Vol.32 No.1 Jan.2011。