關(guān)于計算機防火墻安全應(yīng)用的思考

摘要：計算機網(wǎng)絡(luò)是一把雙刃劍，其快速發(fā)展給我們帶來巨大便利的同時，也引入了很大的安全隱患。防火墻作為一種主要的安全技術(shù)，在維護計算機和網(wǎng)絡(luò)信息安全方面起到日益重要的作用，已經(jīng)得到了廣泛的應(yīng)用。但是各種新出現(xiàn)的攻擊方式和手段也對防火墻的安全應(yīng)用提出了新的挑戰(zhàn)。本文在介紹防火墻的基本概念和分類基礎(chǔ)上，分析當(dāng)前防火墻安全應(yīng)用的不足之處，并指出計算機防火墻未來的發(fā)展方向。

關(guān)鍵詞：防火墻；計算機網(wǎng)絡(luò)；安全應(yīng)用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

一、計算機防火墻技術(shù)概述

防火墻通常處于網(wǎng)絡(luò)與網(wǎng)絡(luò)之間來執(zhí)行安全控制策略，是建立在網(wǎng)絡(luò)邊界的一種網(wǎng)絡(luò)通信監(jiān)控、分析和控制系統(tǒng)。防火墻是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重要組成部分，主要通過監(jiān)測、控制訪問請求、信息交換等網(wǎng)絡(luò)之間的行為來實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全防護。

從防火墻的使用者角度來看，防火墻位于用戶計算機與外部網(wǎng)絡(luò)之間，能夠起到保護用戶計算機的護城河作用，用戶發(fā)送或者收到的所有數(shù)據(jù)都必須經(jīng)過防火墻的檢測與處理，并將任何可能的異?；蛘咄{攔截在外，從而保護用戶計算機不受侵害。而從計算機安全理論角度來看，計算機防火墻的最直接的目的就是為了進行必要的網(wǎng)絡(luò)安全控制與管理，包括對網(wǎng)絡(luò)之間交互的數(shù)據(jù)和應(yīng)用程序的過濾、監(jiān)控、審計，以及及時阻止受限行為、預(yù)警可能遭受的網(wǎng)絡(luò)攻擊等。

一般來說，防火墻具有如下五個方面的優(yōu)點：(1)防火墻可以出色完成整體安全策略的任務(wù)。經(jīng)過適當(dāng)配置，防火墻能把通信約束在管理決策所能接受的范圍之內(nèi)。(2)防火墻可用于限制對某些特殊服務(wù)的訪問。(3)防火墻功能專一。使用防火墻不必在安全性和可用性之間權(quán)衡，因此得到廣泛應(yīng)用。(4)防火墻具有出色的審計功能。若有足夠的磁盤空間或遠程記錄功能，防火墻能夠存錄所有經(jīng)過的網(wǎng)絡(luò)流。(5)防火墻可向相關(guān)人員發(fā)出警告信息。

二、計算機防火墻的基本分類

防火墻的發(fā)展不是一蹴而就的，它也是經(jīng)過了一個漫長而復(fù)雜的發(fā)展過程的。盡管防火墻發(fā)展到今天已經(jīng)經(jīng)歷了幾代的變更，但是從防火墻處理信息的方式上說，可以將防火墻劃分為三類：包過濾式的防火墻，代理防火墻，狀態(tài)檢測防火墻。但不論是哪種防火墻，運用什么的信息處理方式，都各自有自己的優(yōu)勢，并存在自己的缺點，需要進一步的發(fā)展、改善。

（一）包過濾防火墻

包過濾技術(shù)是應(yīng)用于防火墻最早也是最基礎(chǔ)的技術(shù)，其基本原理是檢測通過計算機防火墻的每一個網(wǎng)絡(luò)數(shù)據(jù)包，依據(jù)事先制訂好的安全策略，選擇放行、拒絕或者丟棄數(shù)據(jù)包。包過濾防火墻主要根據(jù)數(shù)據(jù)包中源IP地址、目的IP地址以及協(xié)議、端口等信息來完成規(guī)則的匹配，進而作出決定，具有邏輯簡單、安裝和使用方便等特點。

（二）代理防火墻

代理防火墻是建立在應(yīng)用層的一種數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)，通常針對特定的網(wǎng)絡(luò)協(xié)議或者網(wǎng)絡(luò)服務(wù)。代理機制可以更好的應(yīng)用于各種相關(guān)計算機服務(wù)，避免網(wǎng)絡(luò)交互給內(nèi)部和外部計算機帶來的各種問題，以保障計算機網(wǎng)絡(luò)的安全。

（三）狀態(tài)監(jiān)測防火墻

狀態(tài)檢測技術(shù)通過對數(shù)據(jù)的抽取來實現(xiàn)對網(wǎng)絡(luò)中各個層次進行監(jiān)測的目的，同樣通過一定的過濾機制以及事先設(shè)定的規(guī)則來處理網(wǎng)絡(luò)數(shù)據(jù)包。與包過濾防火墻相比，該類型防火墻在詳細分析和過濾數(shù)據(jù)包的基礎(chǔ)上，還具有信息過濾的功能，同時也避免了因開放端口而引入的各種安全隱患。

三、當(dāng)前計算機防火墻安全應(yīng)用存在的不足之處

盡管防火墻是目前應(yīng)用最為廣泛的網(wǎng)絡(luò)安全技術(shù)，但是隨著技術(shù)的進步，各種網(wǎng)絡(luò)攻擊技術(shù)本身也處于不斷發(fā)展變化當(dāng)中，尤其是針對當(dāng)前防火墻特點、部屬及應(yīng)用的各種攻擊方式也層出不窮，反襯出防火墻安全應(yīng)用的一些不足之處，主要包括如下四點。

一是當(dāng)前計算機防火墻的安全應(yīng)用已經(jīng)無法快速適應(yīng)各種新出現(xiàn)的網(wǎng)絡(luò)攻擊方式，比如各種來自網(wǎng)絡(luò)內(nèi)部的攻擊或者網(wǎng)絡(luò)外部更加智能化的攻擊手段。各種以夾帶、嵌套、隱藏等方式的攻擊往往可以順利通過防火墻的監(jiān)測，比如防火墻往往對含病毒的郵件束手無策。二是各種病毒一旦入侵OA服務(wù)器等關(guān)鍵服務(wù)器，防火墻就無力阻止病毒的快速擴散，使得該OA服務(wù)器成為病毒的轉(zhuǎn)發(fā)和集散地，迅速擴展到整個內(nèi)部網(wǎng)絡(luò)而造成極大的損失。三是計算機防火墻在功能越來越強大的同時，帶給系統(tǒng)的管理負擔(dān)也越來越大，從一定程度上制約著計算機防火墻的安全防護能力。網(wǎng)絡(luò)攻擊一旦穿透計算機防火墻，內(nèi)部計算機就會立即遭受到攻擊，又會進一步增加網(wǎng)絡(luò)管理的負擔(dān)。這種安全防護技術(shù)的發(fā)展與更新落后于網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒技術(shù)的快速發(fā)展的現(xiàn)狀，嚴重挑戰(zhàn)著計算機防火墻的安全應(yīng)用。四是防火墻必須像其他安全技術(shù)、安全應(yīng)用一樣，必須不斷地加以更新和升級才能更好的抵御來自網(wǎng)絡(luò)的各種新的攻擊，而當(dāng)前許多已經(jīng)部署防火墻的單位則往往忽視了防火墻的升級改造。

四、計算機防火墻的安全應(yīng)用

（一）選擇恰當(dāng)?shù)姆阑饓?/p>

要根據(jù)實際需要，對防火墻進行選擇應(yīng)用，我們通過對防火墻的評價和分析來決定采用什么樣的防火墻。如何評估防火墻是個很復(fù)雜的問題，因為用戶在這方面有不同的需求，很難給出統(tǒng)一的標準，一般說來，選擇防火墻應(yīng)把握以下五條原則：一是防火墻自身的安全性。防火墻也是網(wǎng)絡(luò)上的主機，自身也存在安全問題，如不能確保自身安全，則防火墻的控制功能再強，也終究不能保護內(nèi)部網(wǎng)絡(luò)。二是防火墻的管理難易度。若防火墻的管理過于繁瑣，則可能會造成配置上的錯誤，影響其功能。三是能否向使用者提供完善的售后服務(wù)。由于有新的產(chǎn)品出現(xiàn)，就有人會研究新的破解方法，所以一個好的防火墻供應(yīng)商必須有一個龐大的組織作為使用者的安全后盾，為其提供升級與維修服務(wù)。四是應(yīng)該考慮使用者的特殊需求。使用者安全政策中往往有些特殊需求不是每一個防火墻都會提供的。五是防火墻的費用。當(dāng)前在市場上，防火墻的售價極為懸殊，從幾萬元到數(shù)十萬元，甚至到百萬元。總的來說安全性的高低與費用成正比，所以在選擇防火墻時，費用與安全性的折衷是不可避免的，這也就決定了“絕對安全”的防火墻是不存在的。但是可以在現(xiàn)有經(jīng)濟條件下盡可能選擇滿足企業(yè)組織需求，并有一定擴展能力的防火墻。

（二）合理配置和管理防火墻

防火墻的配置和管理對于網(wǎng)絡(luò)安全來說十分重要，必須注意如下三條原則：首先，必須明確防火墻使用單位的安全需求，比如目前開通的網(wǎng)絡(luò)服務(wù)有哪些，嚴格禁止的網(wǎng)絡(luò)行為有哪些，形成明確的需求清單，再根據(jù)這個需求清單設(shè)置防火墻功能。其次，必須請經(jīng)過專業(yè)培訓(xùn)的專門人員負責(zé)維護和管理防火墻，定期進行防火墻的檢測，對整個網(wǎng)絡(luò)運行情況進行實時監(jiān)督，同時要積極和防火墻提供廠商保持聯(lián)絡(luò)，及時更新和維護。再次，必須要保證所有的網(wǎng)絡(luò)流量都要通過防火墻基礎(chǔ)上，默認策略必須采用拒絕原則，同時要保證整個防火墻的透明運作，不給正常工作帶來明顯影響。

五、計算機防火墻安全應(yīng)未來的發(fā)展趨勢

隨著網(wǎng)絡(luò)的普及和病毒的蔓延，當(dāng)今社會幾乎是聞病毒而色變。計算機防火墻作為主要的網(wǎng)絡(luò)安全防護手段，其安全應(yīng)用方式也逐漸由單一走向綜合，需要綜合考慮包過濾、代理和狀態(tài)檢測技術(shù)，需要綜合應(yīng)用網(wǎng)絡(luò)防火墻和主機防火墻等應(yīng)用方式。可以預(yù)見的是，隨著計算機技術(shù)的不斷發(fā)展，計算機防火墻必然會向著如下一些方向發(fā)展。

一是對實際部署的計算機防火墻性能要求會越來越高。在網(wǎng)絡(luò)應(yīng)用不斷豐富的今天，網(wǎng)絡(luò)帶寬的增長速度明顯更不上網(wǎng)絡(luò)應(yīng)用的發(fā)展，因而對占用和限制網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)安全產(chǎn)品性能必然提出了更高的要求，能夠使用萬兆甚至更高帶寬且本身占用系統(tǒng)資源、網(wǎng)絡(luò)資源較少的計算機防火墻是未來應(yīng)用的一個主要發(fā)展方向。

二是未來的計算機防火墻將和具體應(yīng)用更加緊密地結(jié)合到一起。隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展和更新，來自網(wǎng)絡(luò)層協(xié)議和操作系統(tǒng)的缺陷會相應(yīng)的減少，但同時隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，來自應(yīng)用層的各種安全問題必然會逐漸增多，成為威脅網(wǎng)絡(luò)安全的主要因素。所以未來的計算機防火墻必然更加注重振對應(yīng)用層的安全防護，也就是將計算機防火墻向著深度應(yīng)用安全應(yīng)用上發(fā)展，不斷擴展應(yīng)用的廣度和深度。

三是未來的計算機防火墻應(yīng)用將成為安全管理系統(tǒng)中的一個重要組件。隨著病毒和黑客技術(shù)的不斷發(fā)展，單一的安全防護技術(shù)或者產(chǎn)品應(yīng)用已經(jīng)無法滿足計算機網(wǎng)絡(luò)安全的需求。因此將來計算機用戶的所有安全應(yīng)用必然朝著一體化的立體綜合防護方向發(fā)展，計算機防火墻可以提供注入安全策略接口、安全審計接口等一系列安全接口，成為綜合防護中不可缺少的必要組成部分。

四是未來的計算機防火墻安全應(yīng)用將更加智能化。任何產(chǎn)品必須不斷滿足客戶的最新需求才具發(fā)展前景和長久的生命力，未來的計算機防火墻必然朝著越來越穩(wěn)定可靠和智能化方向發(fā)展，變得更加容易操作、兼容性強，并能夠解決諸如IPv6等最新網(wǎng)絡(luò)技術(shù)帶來的新安全隱患。

六、結(jié)束語

隨著經(jīng)濟和科技水平的快速發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為社會生活、工作中必不可少的一部分，涉及到政府、工業(yè)、商業(yè)、教育、科研、金融等方方面面。在享受來自網(wǎng)絡(luò)的便利同時，網(wǎng)絡(luò)安全問題已經(jīng)成為一個嚴重威脅。計算機防火墻作為最重要的網(wǎng)絡(luò)安全防護技術(shù)之一，從技術(shù)上要緊跟時代發(fā)展的潮流，不斷根據(jù)最新出現(xiàn)的攻擊形式和手段進行更新，不斷改善防火墻的自身性能，而從安全應(yīng)用角度上，更是應(yīng)該合理根據(jù)不同的安全需求進行科學(xué)的選擇產(chǎn)品、配置、維護與管理好計算機防火墻，只有這樣才能真正的讓防火墻起到其應(yīng)有的網(wǎng)絡(luò)安全防護作用。

參考文獻：

[1]郭靜博，宮蕾.關(guān)于計算機防火墻安全應(yīng)用的思考[J].長春教育學(xué)院學(xué)報，2011，27(2):124-125

[2]姜志高.計算機防火墻安全應(yīng)用的探索[J].才智，2011(25)：86-87

[3]曹錚.淺議計算機防火墻的安全應(yīng)用[J].科教文匯，2009(18)：288

[4]郭飛軍.對計算機防火墻安全應(yīng)用的探討[J].數(shù)字技術(shù)與應(yīng)用，2012(1):187-188