淺析網(wǎng)絡(luò)安全技術(shù)

摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊和入侵事件與日俱增，安全性已經(jīng)成為網(wǎng)絡(luò)安全技術(shù)中最關(guān)鍵的問(wèn)題。本文主要介紹常見(jiàn)防火墻技術(shù)的分類及其主要特征。

關(guān)鍵詞: 防火墻技術(shù)特征網(wǎng)絡(luò)安全

1 引言

計(jì)算機(jī)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展深刻地改變了傳統(tǒng)的生產(chǎn)、經(jīng)營(yíng)、管理和生活方式，在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，要想真正解決網(wǎng)絡(luò)安全問(wèn)題，要從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。通過(guò)運(yùn)用多種網(wǎng)絡(luò)安全技術(shù)，如數(shù)據(jù)加密技術(shù)、訪問(wèn)控制、認(rèn)證授權(quán)、防火墻、入侵檢測(cè)和防病毒等來(lái)實(shí)現(xiàn)信息安全。計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展帶給了人類巨大利益的同時(shí)，也帶來(lái)了許多負(fù)面的影響，在網(wǎng)絡(luò)安全體系中，為了彌補(bǔ)TCP/IP協(xié)議等各種安全漏洞，防火墻技術(shù)是很常用、很有效的防御系統(tǒng)，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。

2 防火墻

防火墻是設(shè)置在不同網(wǎng)絡(luò)或者不同網(wǎng)絡(luò)安全域之間的一系列控制裝置的組合。防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)。從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實(shí)現(xiàn)的功能的側(cè)重點(diǎn)不同，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問(wèn)控制原則。

2.1 防火墻的種類

從技術(shù)上看，防火墻有包過(guò)濾型、代理服務(wù)器型等幾種基本類型。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定。

2.1.1 包過(guò)濾型

包過(guò)濾型防火墻是建立在路由器上，在服務(wù)器或計(jì)算機(jī)上也可以安裝包過(guò)濾防火墻軟件。包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問(wèn)控制表進(jìn)行比較，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、方便、速度快、透明性好，對(duì)網(wǎng)絡(luò)性能影響不大，可以用于禁止外部不合法用戶對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn)，也可以用來(lái)禁止訪問(wèn)某些服務(wù)類型，但是不能識(shí)別內(nèi)容有危險(xiǎn)的信息包，無(wú)法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的安全處理。發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本相對(duì)較低，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾在網(wǎng)絡(luò)層上攔截所有的信息流，不保存與傳輸和應(yīng)用相關(guān)的狀態(tài)信息。體現(xiàn)出一種無(wú)狀態(tài)性。在包過(guò)濾技術(shù)里只要符合過(guò)濾規(guī)則的數(shù)據(jù)包就可以穿過(guò)防火墻，在內(nèi)網(wǎng)和外網(wǎng)間建立連接，這樣使得外部網(wǎng)可以訪問(wèn)內(nèi)部網(wǎng)，無(wú)形中增加了內(nèi)部網(wǎng)的危險(xiǎn)性。

2.1.2 代理服務(wù)器型

代理服務(wù)器型防火墻是在計(jì)算機(jī)或服務(wù)器上運(yùn)行代理的服務(wù)程序，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)防火墻在內(nèi)部網(wǎng)中設(shè)置了一個(gè)代理服務(wù)器，并將外部網(wǎng)和內(nèi)部網(wǎng)之間的連接分為兩段，一段是從外部網(wǎng)上的客戶端主機(jī)請(qǐng)求引到代理服務(wù)器，另一段由代理服務(wù)器連到內(nèi)部網(wǎng)的某個(gè)主機(jī)服務(wù)器上。代理服務(wù)器型防火墻的核心，是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程，實(shí)質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。代理服務(wù)器型防火墻的缺點(diǎn)是可能影響網(wǎng)絡(luò)的性能，對(duì)用戶不透明，且對(duì)每一種TCP/IP服務(wù)都要設(shè)計(jì)一個(gè)代理模塊，建立對(duì)應(yīng)的網(wǎng)關(guān)，實(shí)現(xiàn)起來(lái)比較復(fù)雜。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。

2.1.3 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅解決了IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。

2.1.4 監(jiān)測(cè)型

監(jiān)測(cè)型防火墻技術(shù)超越了最初的防火墻的網(wǎng)絡(luò)層定義以及只位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間接口的位置定義。監(jiān)測(cè)型防火墻產(chǎn)品帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。

3 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)中的惡意軟件越來(lái)越猖狂。為了盡最大可能地防范它們對(duì)網(wǎng)絡(luò)和系統(tǒng)的破壞，需要采用防火墻等網(wǎng)絡(luò)安全工具，在網(wǎng)絡(luò)邊界保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。從以上分析來(lái)看各種網(wǎng)絡(luò)安全技術(shù)都有各自的側(cè)重點(diǎn)和優(yōu)缺點(diǎn)，只有在網(wǎng)絡(luò)系統(tǒng)中將各種安全防護(hù)技術(shù)結(jié)合起來(lái)使用，才能使網(wǎng)絡(luò)安全得到最大限度的保護(hù)。

參考文獻(xiàn)

[1]李華飚等，防火墻核心技術(shù)精解[M]，中國(guó)水利水電出版社，2005

[2].林曉東，楊義先.網(wǎng)絡(luò)防火技術(shù)[J].電信科學(xué)出版社，1997.

[3].黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)，2004.