浅析网络安全等级保护防火墙技术.pdf

浅析网络安全等级保护防火墙技术

随着互联网和信息技术的高速发展，网络安全已逐渐被重视。2016年11月

7日，《中华人民共和国网络安全法》正式通过，其中第二十一条明确规定国家

实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要

求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网

络数据泄漏或者被窃取、篡改，由此看出，网络安全等级保护工作势在必行。而

防火墙技术在网络安全等级保护中起着非常重要的作用，本文基于网络安全等级

保护，着重介绍防火墙技术。

标签：网络安全等级保护；包过滤；状态检测；完全内容检测

1引言

网络安全等级保护，是将信息系统按照重要性来划分等级，从而根据不同等

级不同要求来进行的一种保护工作。通过开展信息安全保护工作，使得信息系统

等级保护工作符合国家的政策法规标准，并可帮助系统所属单位确定信息系统存

在的安全问题和风险，确认和国家标准的差距和投入，制定适合自身发展需求的

规划设计方案，避免后续建设随机性，通过实施网络安全等级保护工作，促进单

位按照等级保护标准建立起来的适合自身的信息安全体系，使其能够从整体安全

的视角来实现对所有信息系统进行保护。

网络安全等级保护工作的第三步建设整改以及第四步等级测评中，包含了十

个安全层面，其中网络安全层面中的结构安全中提到应避免将重要网段部署在网

络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔

离手段；访问控制中提到应在网络边界部署访问控制设备，启用访问控制功能，

并能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，以上提到的

测评点均可通过防火墙来实现。因此为了达到网络安全等级保护中对网络层面的

要求，需要通过防火墙技术来实现结构安全和访问控制。

2防火墙定义

防火墙（Firewall），也称防护墙，是由CheckPoint创立者GilShwed于1993

年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网

络与外部网络之间的网络安全系统，是一项信息安全的防护系统，依照特定的规

则，允许或是限制传输的数据通过。

防火墙是一种高级访问控制设备，置于不同网络安全域之间，它通过相关的

安全策略来控制进出网络的访问行为。防火墙是一种网络安全设备，它用于两个

不同安全要求的网络之间，更严格地说，是用于两个不同安全要求的安全域之间，

根据定义的访问控制策略，检查并控制这两个安全域之间的所有流量。由于每个

网络工作环境有不同的安全需求和安全目标，有不同种类的防火墙可供选择和应

用。防火墙是不同网络或者安全域之间的信息流的唯一通道，所有双向数据流必

须经过防火墙，只有经过授权的合法数据才可以通过防火墙，防火墙系统应该具

有很高的抗攻击能力，其自身可以不受各种攻击的影响。

防火墙能提高内部网络的整体安全性，其主要功能有以下5点：

（1）对出入网络的访问行为进行管理和控制；

（2）防止IP地址欺骗；

（3）過滤出入网络的数据，强化安全策略；

（4）对网络存取和访问进行监控审计；

（5）防止内部网络信息泄漏。

3防火墙技术

防火墙技术，是针对在可信的内部网络与不可信的外部网络之间专门设置的

一道屏障，它主要是为了对网络实现安全保护作用，以防止非法的破坏和入侵。

防火墙可提供信息安全服务，是实现网络和信息安全的基础设施，其本身也具有

较强的抗攻击能力，它的核心技术主要有包过滤、状态检测和完全内容检测。

3.1包过滤

包过滤技术主要应用在OSI七层模型或TCP/IP五层模型的网络层，它主要

是根据预设好的逻辑过滤规则，检查每个数据流中的数据包，并根据数据包的源

端口号、目的端口号、源地址、目的地址、数据的对话协议及数据包头中的标志

位等因素或它们的组合来决定是否允许该数据包通过，只有符合逻辑过滤规则的

数据包才可被转发到相应的目的地，其他数据包则直接被拒绝、丢弃。

包过滤技术的原理和特点如下：

◆只检查报头信息，不检查数据区；

◆不会建立连接状态表；

◆前后报文无关联；

◆应用层信息控制薄弱。

我们在开展等保测评过程中，常会遇到如下两种包过滤规则：

在内部局域网时，因业务需求数据包只能在内部进行转发，而针对来自内部

的数据包，防火墙