摘　要: 介紹了防火墻的概念、原理、分類及比較，指出傳統防火墻存在的不足之處，提出了一種新型防火墻系統—嵌入式防火墻系統，最后對防火墻的發展作了前景展望。
　　關鍵詞: 互聯網 防火墻? 網絡安全? 包過濾? 嵌入式防火墻系統

　　EFS的實現機制如下：
　　(1)客戶登錄EFS系統時，客戶認證代理將提示并獲取相應的用戶名和口令。僅當客戶同時具有正確的口令和含有私有密鑰的設備，客戶代理才能夠進行身份認證。在用戶登錄完成后，客戶代理將自動向AS發送請求AS_REQ，以申請TGT。
　　(2)認證服務器AS收到客戶的AS_REQ后，發回應答消息AS_REP。
　　(3)客戶認證代理得到AS發回的AS_REP后，進行解密，獲取并保存與TGS通信的會話密鑰及提交給TGS的票據。
　　(4)當客戶需要使用某一服務時，客戶認證代理將首先截獲請求TCP連接的IP包，并根據Socket匹配以判斷是否已具有獲取該服務的票據。如有，則直接將此票附加于該IP包，形成AP_REQ，發往服務器(執行步驟7)。否則，客戶認證代理必須首先向TGS申請相應的應用票據。
　　(5)TGS在收到客戶認證代理發來的TGS_REQ后，進行解密，以獲取客戶與其會話密鑰，用它來解密認證算子，將算得的檢驗和與自己生成的HASH函數結果相比較，以檢查客戶身份的合法性和消息的完整性。在授權通過后，TGS生成TGS_REP，并發回用戶。
　　(6)客戶認證代理得到TGS發回的TGS_REP后，首先確定所申請的服務是否需要認證。若無需認證，客戶代理將恢復連接請求。否則，從TGS_REP中獲取服務的票據和與應用服務器之間的會話密鑰，將它們放入原來的連接請求包中，形成AP_REQ，發往應用服務器。
　　(7)駐留于應用服務器上的嵌入式防火墻代理收到AP_REQ后，解開票據，獲取會話密鑰，以驗證用戶身份。如合法，則將該IP包遞交上層處理，否則予以丟棄。
3.2.2 外部網訪問控制及狀態檢測機制
　　EFS可以實現對外部網的訪問控制，首先在所有與外部網相連的路由器或網關設備上安裝嵌入式防火墻代理。然后再將各種外部網絡服務在TGS上注冊，并安裝相應的通過邊界路由器或網關設備所需的票據。最后，根據用戶身份制定外部網訪問控制安全策略。基本的EFS實現了嚴格的身份認證及訪問控制，客戶認證代理一旦與嵌入式防火墻代理完成三次握手，創建了TCP連接，通信將直接在客戶機與服務器間進行，不再接受任何形式的安全檢查，這種機制雖然大大地提高了訪問效率，但它不能實現基于特定協議命令的過濾和內容安全檢查。為了實現高級安全檢查，可以在EFS中增加狀態檢測防火墻，由它來檢查一些標準的網絡服務(如Http，Ftp，Telnet，Finger等)，或基于內容的檢查。
3.2.3 嵌入式防火墻的優點
　　與傳統防火墻相比，EFS具有如下優點：
　　·同時防止來自于內、外部網絡的攻擊。由于嵌入式防火墻代理部件直接安裝在所有需要安全保護的應用服務器上，來自于裝載嵌入式防火墻代理的機器之外的任何通信，都需經過嵌入式防火墻代理的檢查和過濾。
　　·透明認證。由于EFS在低層即IP層上實現了Kerberos認證協議，它能夠支持任何基于IP協議的應用。用戶無需親自與防火墻連接以獲取認證，而是由駐留在客戶機上的認證代理自動與AS、TGS等連接，交換相應的票據，實現整個認證過程，即EFS是完全透明于用戶的。EFS中，即使應用程序本身從未考慮過實現任何認證機制，EFS仍可使其支持嚴格的身份認證過程，從而實現了認證與應用的完全獨立。
　　·安全會話。由于Kerberos協議為每個會話均提供了一個隨機的會話密鑰，從而實現了安全的會話傳輸。此外，通過與公開密鑰技術的結合，EFS提供了四種數據傳輸的安全級別，從而在兩臺通信主機之間形成了一條私有通道。
　　·一次簽放。用戶只需在登錄系統時進行一次認證，便可以使用所有的安全服務。而管理員只需維護一套EFS帳號，并精確定義用戶訪問各種服務的權限即可，這也有助于管理員將各個服務的安全性作為一個整體集中起來綜合考慮，從而極大地增加了系統的安全系數。
　　·低成本、高性能。EFS中，檢查點被直接設置于需保護的應用服務器上，內部網中無需為了安全而使用額外的路由器以劃分安全子網，沒有多余的通信檢查和硬件投資。
　　·統籌規劃、集中管理。由于EFS在每臺需保護的主機上安裝了嵌入式防火墻代理，而該代理的主要工作是驗證Kerberos票據，所有的安全策略都將統一保存在TGS上，因此形成了一個負責整個企業訪問控制及授權的集中式控制臺。
3.2.4 嵌入式防火墻的發展
　　目前，整個系統模型已在Linux操作系統上得以實現。在不久的將來，系統還將實現運行于Windows系統平臺上的客戶認證代理及運行于NT和UNIX上的嵌入式防火墻代理。屆時，一個完整的、跨平臺的安全解決方案將會形成。
4 前景展望
　　防火墻作為一種防護手段，對維護網絡安全起到了一定的作用，但并非萬無一失，它只能防護經過自身的非法訪問和攻擊；它雖然能夠針對所有服務進行安全檢查，過濾其是否合法，但不能有效地杜絕所有惡意數據包，利用合法的連接傳輸非法數據確實存在。
　　防火墻只是整個網絡安全防護的一部分，它需要其他的防護措施和技術，如密碼技術、訪問控制、權限管理、病毒防治等。也只有運用先進認證技術，并在網絡層上實施統一的用戶端對端的數據流加密技術，再結合目前的防火墻技術以進行必要的內容檢測、攻擊檢測及其他一些手段，才能解決內部網安全問題，并最終提供一套一體化的解決途徑。
參考文獻
1 張華、劉玉莎、陳福民.防火墻技術的研究與探討.計算機應用研究，1999;(11)
2 張華、劉玉莎、陳福民.構筑安全的內部網.計算機應用研究，1999;(9)
3 林靜、魯艷玲，趙玉梅.防火墻.計算機與網絡、1999
4 張超、王錦田. Internet/Intranet系統上的安全技術及安全性建設原則.計算機應用與軟件、1999;(6)
5 王艷華、韋遠明.基于互聯網絡的信息安全措施的探討.電腦與信息技術、1999;(2)