國際互聯(lián)網(wǎng)(Internet)的迅速發(fā)展，為信息共享提供了一條全球性的高速通道，同時也為各種新興娛樂方式、商業(yè)形式的形成和發(fā)展創(chuàng)造了有利條件。然而不幸的是，由于目前采用的TCP/IP協(xié)議族潛在著安全漏洞以及安全機制不健全，Internet網(wǎng)上的黑客趁機而入，非法進入企業(yè)的內(nèi)部網(wǎng)并存取、破壞、竊聽數(shù)據(jù)。因此，如何保護企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源及信息不受外部攻擊者肆意破壞或盜竊，是企業(yè)網(wǎng)絡(luò)安全需要解決的重要問題。
　　防火墻就是保護網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運行情況，以此來實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護。
1 防火墻的概念、原理
　　防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范的系統(tǒng)?？烧J為它是一種訪問控制機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進或傳出企業(yè)網(wǎng)。防止非授權(quán)用戶訪問企業(yè)內(nèi)部、允許使用授權(quán)機器的用戶遠程訪問企業(yè)內(nèi)部、管理企業(yè)內(nèi)部人員對Internet的訪問。防火墻的組成可用表達式說明如下：
　　防火墻＝過濾器＋安全策略(網(wǎng)關(guān))
　　防火墻通過逐一審查收到的每個數(shù)據(jù)包，判斷它是否有相匹配的過濾規(guī)則(用表格的形式表示，包括Match，Action，Trace，Target四個條件項)。即按表格中規(guī)則的先后順序以及每條規(guī)則的條件項進行比較，直到滿足某一條規(guī)則的條件，并作出規(guī)定的動作(停下或向前轉(zhuǎn)發(fā))，從而來保護網(wǎng)絡(luò)的安全。
2 防火墻的分類及比較
　　防火墻一般可以分為以下幾種：包過濾型防火墻、電路級網(wǎng)關(guān)型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻、狀態(tài)檢測型防火墻、自適應(yīng)代理型防火墻。下面分析各種防火墻的優(yōu)缺點。
　　包過濾型防火墻? 它是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，也可稱之為訪問控制表。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。它的優(yōu)點是：邏輯簡單，成本低，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，通常安裝在路由器上。缺點是：很難準確地設(shè)置包過濾器，缺乏用戶級的授權(quán)；包過濾判別的條件位于數(shù)據(jù)包的頭部，由于IPV4的不安全性，很可能被假冒或竊??；是基于網(wǎng)絡(luò)層的安全技術(shù)，不能檢測通過高層協(xié)議而實施的攻擊。
　　電路級網(wǎng)關(guān)型防火墻? 它起著一定的代理服務(wù)作用，監(jiān)視兩主機建立連接時的握手信息，判斷該會話請求是否合法。一旦會話連接有效后，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它在IP層代理各種高層會話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高。但由于其對會話建立后所傳輸?shù)木唧w內(nèi)容不再作進一步地分析，因此安全性低。
　　應(yīng)用網(wǎng)關(guān)型防火墻? 它是在應(yīng)用層上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能，針對特別的網(wǎng)絡(luò)應(yīng)用協(xié)議制定數(shù)據(jù)過濾邏輯。應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。由于它工作于應(yīng)用層，因此具有高層應(yīng)用數(shù)據(jù)或協(xié)議的理解能力，可以動態(tài)地修改過濾邏輯，提供記錄、統(tǒng)計信息。它和包過濾型防火墻有一個共同特點，就是它們僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過，一旦符合條件，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部網(wǎng)絡(luò)能直接了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這大大增加了實施非法訪問攻擊的機會。
　　代理服務(wù)型防火墻? 代理服務(wù)器接收客戶請求后，會檢查并驗證其合法性，如合法，它將作為一臺客戶機向真正的服務(wù)器發(fā)出請求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界完全隔離開來，從外面只看到代理服務(wù)器，而看不到任何內(nèi)部資源，而且代理服務(wù)器只允許被代理的服務(wù)通過。代理服務(wù)安全性高，還可以過濾協(xié)議，通常認為它是最安全的防火墻技術(shù)。其不足主要是不能完全透明地支持各種服務(wù)、應(yīng)用，它將消耗大量的CPU資源，導(dǎo)致低性能。
　　狀態(tài)檢測型防火墻? 它將動態(tài)記錄、維護各個連接的協(xié)議狀態(tài)，并在網(wǎng)絡(luò)層對通信的各個層次進行分析、檢測，以決定是否允許通過防火墻。因此它兼?zhèn)淞溯^高的效率和安全性，可以支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用，且可以方便地擴展實現(xiàn)對各種非標準服務(wù)的支持。
　　自適應(yīng)代理型防火墻? 它可以根據(jù)用戶定義的安全策略，動態(tài)適應(yīng)傳送中的分組流量。如果安全要求較高，則最初的安全檢查仍在應(yīng)用層完成。而一旦代理明確了會話的所有細節(jié)，那么其后的數(shù)據(jù)包就可以直接經(jīng)過速度快得多的網(wǎng)絡(luò)層。因而它兼?zhèn)淞舜砑夹g(shù)的安全性和狀態(tài)檢測技術(shù)的高效率。
3 新型防火墻系統(tǒng)
3.1 傳統(tǒng)防火墻的缺點
　　傳統(tǒng)防火墻結(jié)構(gòu)在其技術(shù)原理上對來自內(nèi)部的安全威脅不具備防范能力，且具有以下不足：
　　· 高成本：內(nèi)部網(wǎng)中需要保護的主機或者資源越多，就要設(shè)置更多的安全檢查點，即需要更高的設(shè)備成本及系統(tǒng)維護開銷。
　　·高管理負擔：IT管理人員將面臨極大的挑戰(zhàn)來管理，維護更多的防火墻設(shè)備。
　　· 存在盲點：由于傳統(tǒng)防火墻將檢查點設(shè)立在一個“可信子網(wǎng)”的入口處，來自子網(wǎng)內(nèi)部任何主機的攻擊都將成為該防火墻的盲點。
　　· 低性能：由于大量的安全檢查點被安置于企業(yè)內(nèi)的各種路由設(shè)備上，內(nèi)部網(wǎng)中所有的通信都將不可避免地經(jīng)過若干個安全檢查點，以至于造成相應(yīng)的傳輸延遲，使網(wǎng)絡(luò)性能降低了。
3.2 嵌入式防火墻系統(tǒng)概述
　　為了有效地解決日益突出的內(nèi)部網(wǎng)安全問題，作者提出了一種新型的防火墻系統(tǒng)—嵌入式防火墻系統(tǒng)(EFS)。它不僅是一種單純的提供訪問控制手段的防火墻設(shè)備，還集成了一整套解決網(wǎng)絡(luò)安全問題的各種應(yīng)用，為大量的網(wǎng)絡(luò)用戶及需要保護的網(wǎng)絡(luò)資源提供了一個可管理的、分布式的、安全的計算環(huán)境。它使用了一種簡化的，基于公鑰的Kerberos協(xié)議以實現(xiàn)透明的認證，并綜合了其它一些網(wǎng)絡(luò)安全技術(shù)，包括授權(quán)、安全數(shù)據(jù)傳輸、審計等，并提供了一種集中式的管理機制。
3.2.1 系統(tǒng)結(jié)構(gòu)和實現(xiàn)機制
　　EFS核心系統(tǒng)一般可以包括四個主要部件：客戶認證代理，嵌入式防火墻代理，票據(jù)授予服務(wù)器(TGS)和認證服務(wù)器(AS)如圖1所示。