物聯(lián)網(wǎng)中的防火墻技術(shù)

物聯(lián)網(wǎng)中的防火墻技術(shù)物聯(lián)網(wǎng)中的防火墻技術(shù)物聯(lián)網(wǎng)中的防火墻技術(shù)xxx公司物聯(lián)網(wǎng)中的防火墻技術(shù)文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度物聯(lián)網(wǎng)中的防火墻技術(shù)摘要：隨著物聯(lián)網(wǎng)成為新興事物，隨之而來(lái)的安全問(wèn)題也引人重視。通過(guò)對(duì)防火墻的研究及分類，闡釋了防火墻的原理，從而對(duì)防火墻的發(fā)展和物聯(lián)網(wǎng)的建設(shè)起積極的建言作用。關(guān)鍵詞：物聯(lián)網(wǎng)，安全，防火墻TheInternetConnectionFirewallofTheWebofthingsAbstract:Therearesecurityissueswithwebofthingsbecominganewlysproutedarticlestudiedonfirewallandmadeaclassification,whichalsoexplainedtheprincipleofaricleaimsatgivingadvicestothedevelopmentsoffirwallsandtheconstructionofthewebofthings.Keywords:webofthings,seurity,firewall.0引言近年來(lái)，與物聯(lián)網(wǎng)有關(guān)的相關(guān)概念大量在網(wǎng)絡(luò)和人們對(duì)的視野中出現(xiàn)。早在1999年，物聯(lián)網(wǎng)的概念就已經(jīng)被提了出來(lái)——將生活中的所有物品通過(guò)射頻識(shí)別等信息傳感設(shè)備與互聯(lián)網(wǎng)相連，從而實(shí)現(xiàn)智能化識(shí)別和管理。物聯(lián)網(wǎng)把新一代IT技術(shù)充分地運(yùn)用在各行各業(yè)之中。具體地說(shuō)，就是把感應(yīng)器嵌入或裝備到電網(wǎng)、鐵路、橋梁、隧道、公路、建筑、供水系統(tǒng)、大壩、油氣管道等各種物體中，形成物聯(lián)網(wǎng)，然后將物聯(lián)網(wǎng)與現(xiàn)有的互聯(lián)網(wǎng)整合起來(lái)，實(shí)現(xiàn)人類社會(huì)與物理系統(tǒng)的整合。在這個(gè)整合的網(wǎng)絡(luò)當(dāng)中，存在能力超級(jí)強(qiáng)大的中心計(jì)算機(jī)群，能夠?qū)W(wǎng)絡(luò)內(nèi)的人員、機(jī)器、設(shè)備和基礎(chǔ)設(shè)施實(shí)施實(shí)時(shí)的管理和控制。在此基礎(chǔ)上，人類可以實(shí)現(xiàn)更加精細(xì)和動(dòng)態(tài)的方式管理生產(chǎn)和生活，達(dá)到“智慧”狀態(tài)，提高資源利用率和生產(chǎn)力水平，改善人與自然間的關(guān)系。①1物聯(lián)網(wǎng)的安全問(wèn)題物聯(lián)網(wǎng)的誕生及應(yīng)用，使得人與物的交互更加方便，給人們帶來(lái)了諸多便利。然而，在物聯(lián)網(wǎng)的應(yīng)用中，如果網(wǎng)絡(luò)安全沒(méi)有保障，那么個(gè)人隱私、物品信息等隨時(shí)都可能被泄露。更嚴(yán)重的是，如果網(wǎng)絡(luò)不安全，那么社會(huì)的正常運(yùn)行，公共設(shè)施的保障就成了空談。②不可否認(rèn)，目前的物聯(lián)網(wǎng)在安全方面的確存在許多問(wèn)題?；臃倍嗟牟《救肭?、無(wú)孔不入的黑客侵襲，都在時(shí)時(shí)刻刻地威脅著物聯(lián)網(wǎng)的安全，但也誕生了物聯(lián)網(wǎng)的防范措施。防火墻便是其中之一。2防火墻所謂“防火墻”指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)于此，是一種獲取安全性方法的形象說(shuō)法。它使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻,公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。③3防火墻技術(shù)的分類防火墻使用的基本技術(shù)包括：包過(guò)濾、代理服務(wù)（應(yīng)用代理、電路級(jí)代理、網(wǎng)絡(luò)地址轉(zhuǎn)換）和狀態(tài)監(jiān)視技術(shù)。④包過(guò)濾：包過(guò)濾技術(shù)是根據(jù)流經(jīng)防火墻的數(shù)據(jù)包的特征，依據(jù)事先定義好的規(guī)則，決定是否與許數(shù)據(jù)包通過(guò)的技術(shù)。它對(duì)數(shù)據(jù)包進(jìn)行分析篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等信息或它們的組合信息來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾技術(shù)分為靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾兩種。近年來(lái)，研究人員在動(dòng)態(tài)包過(guò)濾的基礎(chǔ)上，又進(jìn)一步提出了包狀態(tài)檢測(cè)技術(shù)和深度包檢測(cè)技術(shù)。A靜態(tài)包過(guò)濾：又稱簡(jiǎn)單包過(guò)濾，是根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配，然后對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕而決定。過(guò)濾規(guī)則基于數(shù)據(jù)包報(bào)頭中的信息，例如源IP地址、目標(biāo)IP地址、源端口和目的端口等等。B動(dòng)態(tài)包過(guò)濾：采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法過(guò)濾數(shù)據(jù)包。采用這種技術(shù)的防火墻對(duì)每一個(gè)連接都進(jìn)行跟蹤，動(dòng)態(tài)地決定哪些數(shù)據(jù)包可以通過(guò)，并且可以根據(jù)需要?jiǎng)討B(tài)地在過(guò)濾規(guī)則中增加或更新條目。C包狀態(tài)檢測(cè)：繼承了包過(guò)濾技術(shù)的優(yōu)點(diǎn)，同時(shí)摒棄了包過(guò)濾技術(shù)僅考察數(shù)據(jù)包的IP地址、協(xié)議類型等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)的缺點(diǎn)，就是包狀態(tài)檢測(cè)。通過(guò)建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。因而能提供更完整的對(duì)傳輸層的控制能力。D深度包檢測(cè)：融合了入侵檢換和攻擊防范能力，通過(guò)指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)和統(tǒng)計(jì)分析等技術(shù)來(lái)決定如何處理數(shù)據(jù)包，并可以根據(jù)特征檢測(cè)盒內(nèi)容過(guò)濾來(lái)尋找已知的攻擊，阻止分布式拒絕服務(wù)攻擊、病毒傳播和異常訪問(wèn)等威脅行為。代理服務(wù)：在防火墻的設(shè)計(jì)中引入“代理”的概念是革命性的?！按怼蓖耆韪袅司W(wǎng)絡(luò)通信流，是的從內(nèi)部網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包經(jīng)過(guò)代理技術(shù)處理后，就好像是源于防火墻的外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的作用。A應(yīng)用層代理：又稱為應(yīng)用層網(wǎng)關(guān)，工作在OSI的最高層——應(yīng)用層。他通過(guò)代理技術(shù)參與到一個(gè)TCP連接的全過(guò)程，其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用，在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制。當(dāng)客戶端提出一個(gè)請(qǐng)求時(shí)，代理程序?qū)⒑藢?shí)請(qǐng)求，處理連接請(qǐng)求，并將處理后的請(qǐng)求傳遞出去，然后接受應(yīng)答并作處理，最后將處理結(jié)果提交給發(fā)出請(qǐng)求的客戶端。代理程序在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通信中起著中間轉(zhuǎn)接的作用。應(yīng)用層代理服務(wù)器針對(duì)不同的網(wǎng)絡(luò)應(yīng)用提供不同的處理，例如HTTP代理、FTP代理等。B電路層代理：又稱電路級(jí)網(wǎng)關(guān)，用來(lái)在兩個(gè)通信的終點(diǎn)之間實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)換。它監(jiān)視兩個(gè)主機(jī)建立連接時(shí)的握手信息，從而判斷該會(huì)話請(qǐng)求是否合法。顯然，電路層代理防火墻將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分成了兩段。狀態(tài)監(jiān)視技術(shù)：這是第三代防火墻技術(shù)，繼承了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過(guò)濾技術(shù)一樣，它能夠檢測(cè)通過(guò)IP地址、端口號(hào)以及TCP標(biāo)記，過(guò)濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測(cè)RPC和UDP端口信息，而包過(guò)濾和代理都不支持此類端口，這樣，通過(guò)對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶透明，在OSI最高層上加密數(shù)據(jù)，而無(wú)需修改客戶端程序，也無(wú)需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。4防火墻的未來(lái)：未來(lái)防火墻的發(fā)展趨勢(shì)是朝高速、多功能化、更安全的方向發(fā)展。從國(guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，其中以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPV6，而采用其它方法就不那么靈活。實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元,因此比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬(wàn)條規(guī)則，沒(méi)有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器；支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSECVPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。⑤5結(jié)束語(yǔ)：物聯(lián)網(wǎng)作為未來(lái)信息領(lǐng)域的發(fā)展新方向?qū)⒔o世界帶來(lái)很大的變化，但是，在物聯(lián)網(wǎng)顯著提高經(jīng)濟(jì)和社會(huì)運(yùn)行效率的同時(shí)，也要看到安全問(wèn)題面臨的