公司網(wǎng)絡(luò)防火墻技術(shù)的具體應(yīng)用

李國(guó)棟

摘要：網(wǎng)絡(luò)防火墻的應(yīng)用，對(duì)于有效防范來(lái)自網(wǎng)絡(luò)系統(tǒng)的安全隱患起到了重要作用，網(wǎng)絡(luò)防火墻技術(shù)實(shí)際上就是一組在內(nèi)部網(wǎng)和外網(wǎng)之間建立的套安全策略系統(tǒng)，通過(guò)它能夠有效實(shí)現(xiàn)對(duì)來(lái)自外網(wǎng)以及內(nèi)網(wǎng)的各類(lèi)請(qǐng)求和信息進(jìn)行檢測(cè)，并對(duì)存在安全隱患的服務(wù)給予阻止和清除的作用。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)防火墻在應(yīng)用上也發(fā)生了相應(yīng)的變化，該文將針對(duì)網(wǎng)絡(luò)防火墻的具體應(yīng)用展開(kāi)闡述。

關(guān)鍵詞：網(wǎng)絡(luò)；防火墻；過(guò)濾；網(wǎng)絡(luò)安全；應(yīng)用

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2012）30-7199-02

網(wǎng)絡(luò)技術(shù)的不斷更新，特別是互聯(lián)網(wǎng)絡(luò)的覆蓋，給人們的工作和生活都帶來(lái)前所未有的沖擊，在享受網(wǎng)絡(luò)帶給人民的便捷的同時(shí)，威脅網(wǎng)絡(luò)安全的各種病毒軟件正給整個(gè)網(wǎng)絡(luò)系統(tǒng)提出了新的挑戰(zhàn)。信息是有價(jià)值的，如何確保網(wǎng)絡(luò)信息的安全性，網(wǎng)絡(luò)防火墻的應(yīng)用，正是為了有效規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)的攻擊，為網(wǎng)絡(luò)用戶以及整個(gè)互聯(lián)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行提供了保障。本文結(jié)合網(wǎng)絡(luò)防火墻的工作原理，通過(guò)對(duì)其技術(shù)領(lǐng)域的分析和探討，來(lái)提高對(duì)網(wǎng)絡(luò)防火墻的應(yīng)用。

1 對(duì)網(wǎng)絡(luò)防火墻的定義

網(wǎng)絡(luò)防火墻作為確保網(wǎng)絡(luò)安全運(yùn)行的重要設(shè)備和功能，正在被越來(lái)越多網(wǎng)絡(luò)管理者所關(guān)注，作為第一道安全防線，網(wǎng)絡(luò)防火墻通過(guò)對(duì)來(lái)自公網(wǎng)和內(nèi)網(wǎng)的各類(lèi)訪問(wèn)請(qǐng)求進(jìn)行有效分類(lèi)和組織，通過(guò)過(guò)濾、代理、地址遷移等方式來(lái)最大限度的阻止網(wǎng)絡(luò)中的非法入侵和攻擊，確保網(wǎng)絡(luò)系統(tǒng)和各類(lèi)信息資源、數(shù)據(jù)的安全。同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)防火墻進(jìn)行安全策略管理，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)出入口的信息流的有效控制，不僅能為企業(yè)的網(wǎng)絡(luò)系統(tǒng)提供安全保障，同時(shí)也對(duì)來(lái)自外網(wǎng)的訪問(wèn)進(jìn)行篩選和甄別，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行的有效監(jiān)控和防范。

網(wǎng)絡(luò)防火墻不同于建筑中的隔離墻，它是從網(wǎng)絡(luò)管理的理論中引申出來(lái)的確保網(wǎng)絡(luò)安全的防護(hù)軟硬件系統(tǒng)。從管理邏輯上說(shuō)，網(wǎng)絡(luò)防火墻主要有分析模塊，對(duì)風(fēng)險(xiǎn)的分離模塊，以及對(duì)服務(wù)的限制模塊，從工作本質(zhì)上講，網(wǎng)絡(luò)防火墻作為保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息安全的保護(hù)裝置，主要是通過(guò)對(duì)來(lái)自網(wǎng)內(nèi)、外的訪問(wèn)請(qǐng)求進(jìn)行安全監(jiān)測(cè)和審核，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)間的各類(lèi)請(qǐng)求進(jìn)行有效控制的訪問(wèn)機(jī)制，換句話說(shuō)，網(wǎng)絡(luò)防火墻就像是一道門(mén)檻，對(duì)門(mén)內(nèi)、外兩個(gè)方向的信息進(jìn)行控制，當(dāng)有非法的請(qǐng)求出現(xiàn)時(shí)，將此進(jìn)行隔離并清除，當(dāng)有正常訪問(wèn)請(qǐng)求出現(xiàn)時(shí)，確保正常訪問(wèn)的運(yùn)行。

2 網(wǎng)絡(luò)防火墻的功能

網(wǎng)絡(luò)防火墻通過(guò)設(shè)置好的訪問(wèn)規(guī)章和機(jī)制，來(lái)監(jiān)控通過(guò)網(wǎng)絡(luò)防火墻的數(shù)據(jù)流，對(duì)于非法的、試圖惡意闖入的訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)和跟蹤，以便于對(duì)其進(jìn)行隔離和清除。為此，網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)管理中的作用主要表現(xiàn)在以下幾點(diǎn)。

1）網(wǎng)絡(luò)防火墻是促進(jìn)網(wǎng)絡(luò)安全的屏障

在對(duì)網(wǎng)絡(luò)防火墻進(jìn)行相應(yīng)的安全設(shè)置后，比如通過(guò)對(duì)NFS協(xié)議進(jìn)行禁止，可以防范非法用戶通過(guò)此協(xié)議來(lái)攻擊網(wǎng)絡(luò)安全，同時(shí)，通過(guò)對(duì)網(wǎng)絡(luò)路由中的源路由攻擊和ICMP重定向進(jìn)行設(shè)置，也可以加以防范此類(lèi)攻擊。

2）優(yōu)化網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)防火墻的防范功能是與網(wǎng)絡(luò)安全策略相一致的，通過(guò)對(duì)網(wǎng)絡(luò)防火墻進(jìn)行有效的設(shè)置，如對(duì)口令、密碼、驗(yàn)證等信息進(jìn)行配置，可以實(shí)現(xiàn)對(duì)來(lái)自網(wǎng)內(nèi)外的訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一的管理。

3）加強(qiáng)對(duì)訪問(wèn)和存取操作的有效監(jiān)控和審核

網(wǎng)絡(luò)防火墻通過(guò)對(duì)來(lái)自網(wǎng)絡(luò)的各類(lèi)訪問(wèn)進(jìn)行記錄并給出統(tǒng)計(jì)信息，當(dāng)發(fā)生網(wǎng)絡(luò)異常時(shí)，網(wǎng)絡(luò)防火墻可以提供向的監(jiān)測(cè)數(shù)據(jù)，通過(guò)對(duì)其進(jìn)行分辨和分析，對(duì)一些網(wǎng)絡(luò)的使用情況以及異常請(qǐng)求進(jìn)行有效的探測(cè)，為此，不僅能夠通過(guò)相應(yīng)的檢測(cè)信息，也能對(duì)網(wǎng)絡(luò)的使用需求或受到的威脅進(jìn)行有效防范。

4）預(yù)防內(nèi)部信息被盜

網(wǎng)絡(luò)防火墻不僅能夠有效防范外部的攻擊，也能對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的劃分，從而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)送的威脅進(jìn)行隔離，避免其對(duì)整個(gè)網(wǎng)絡(luò)造成的影響。

3 網(wǎng)絡(luò)防火墻的分類(lèi)應(yīng)用

根據(jù)網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)管理中的功能不同，往往采用不同的防范機(jī)制，主要有。

1）從網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過(guò)濾

在現(xiàn)代網(wǎng)絡(luò)系統(tǒng)通信過(guò)程中，基于網(wǎng)絡(luò)層的防火墻主要是通過(guò)對(duì)數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢測(cè)來(lái)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制目的。根據(jù)系統(tǒng)管理員對(duì)網(wǎng)絡(luò)管理的需要，對(duì)通過(guò)路由器的所有數(shù)據(jù)包，進(jìn)行按事先設(shè)定的包過(guò)濾規(guī)則，從數(shù)據(jù)包的源地址，以及目標(biāo)地址等進(jìn)行檢測(cè)和判斷，通過(guò)一定的規(guī)則將其發(fā)送至不同的網(wǎng)路上，當(dāng)所有的包都到達(dá)目的地時(shí)，再通過(guò)一定包合并規(guī)則實(shí)現(xiàn)數(shù)據(jù)包的組裝，從而完成信息的有效傳輸。

2）通過(guò)代理服務(wù)來(lái)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的規(guī)避

通常所說(shuō)的代理是就對(duì)來(lái)自網(wǎng)絡(luò)的請(qǐng)求通過(guò)代理服務(wù)器來(lái)實(shí)現(xiàn)信息的傳輸。比如來(lái)自網(wǎng)內(nèi)的用戶發(fā)出服務(wù)請(qǐng)求，首先經(jīng)由代理服務(wù)器的判斷，合法的請(qǐng)求可以通過(guò)代理服務(wù)器再將請(qǐng)求連接至應(yīng)用服務(wù)器，應(yīng)用服務(wù)器將相應(yīng)傳遞給代理服務(wù)器，代理服務(wù)器再將相應(yīng)發(fā)送給網(wǎng)絡(luò)請(qǐng)求。于是，代理服務(wù)器在實(shí)現(xiàn)網(wǎng)絡(luò)通信的過(guò)程中，充當(dāng)了中介的作用。

3）通過(guò)地址遷移的方式來(lái)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制

在企業(yè)網(wǎng)內(nèi)部使用的IP地址，通常稱為虛擬地址或本地地址，在與外網(wǎng)進(jìn)行交互的時(shí)候，需要通過(guò)NAT路由器來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)IP地址的映射，從而實(shí)現(xiàn)了數(shù)據(jù)包的跨網(wǎng)傳輸?shù)男枰Ｔ谶@種地址遷移機(jī)制下，既有分組過(guò)濾的功能，又有應(yīng)用代理的設(shè)計(jì)思路，通過(guò)NAT路由器來(lái)實(shí)現(xiàn)了對(duì)請(qǐng)求的內(nèi)外網(wǎng)之間的數(shù)據(jù)服務(wù)。

4 結(jié)束語(yǔ)

總之，在網(wǎng)絡(luò)環(huán)境下，防火墻是確保網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵設(shè)備，通過(guò)對(duì)網(wǎng)絡(luò)防火墻的有效設(shè)置，充分發(fā)揮各類(lèi)防火墻的防范優(yōu)勢(shì)，針對(duì)不同的企業(yè)應(yīng)用，從而實(shí)現(xiàn)最有效的網(wǎng)絡(luò)配置，為信息安全保駕護(hù)航。

參考文獻(xiàn)：

[1] 張磊.安全網(wǎng)絡(luò)構(gòu)建中防火墻技術(shù)的研究與應(yīng)用[D].山東大學(xué)，2009.

[4] 田濤.基于防火墻的企業(yè)網(wǎng)絡(luò)安全策略及實(shí)現(xiàn)技術(shù)研究[D].中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所），2004.