基于防火墻的網(wǎng)絡(luò)安全技術(shù)研究

【摘 要】隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)快速發(fā)展，網(wǎng)絡(luò)成為了人們生活、工作中重要的助手。但是網(wǎng)絡(luò)中隱患問(wèn)題最大的就是網(wǎng)絡(luò)安全，直接影響著人們的正常使用。本文是筆者總結(jié)多年的技術(shù)經(jīng)驗(yàn)，研究防火墻網(wǎng)絡(luò)安全技術(shù)，為相關(guān)研究人士提供參考的理論依據(jù)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 防火墻 研究

一、前言

2013年成都某院公開(kāi)審理了一起網(wǎng)絡(luò)竊密案件。該案件就是某公司雇請(qǐng)軟件高手，進(jìn)入到同行的電腦中盜竊了最新產(chǎn)品設(shè)計(jì)。雖然該公司做法有悖行規(guī)，但是同時(shí)也說(shuō)明網(wǎng)絡(luò)的安全確實(shí)讓人擔(dān)憂，所以探究防火墻下的網(wǎng)絡(luò)安全技術(shù)具有實(shí)用意義。

二、基于防火墻的網(wǎng)絡(luò)安全技術(shù)

構(gòu)建網(wǎng)絡(luò)安全環(huán)境中，第一道安全線就是防火墻，因此防火墻逐漸被研究者及用戶所關(guān)注。一般而言公司購(gòu)買網(wǎng)絡(luò)中和安全相關(guān)設(shè)備時(shí)，大多是把防火墻作為首要位置。如今防火墻是世界上使用最多網(wǎng)絡(luò)安全產(chǎn)品之一。但是防火墻網(wǎng)絡(luò)安全技術(shù)是如何確保網(wǎng)絡(luò)系統(tǒng)安全，從而實(shí)現(xiàn)自身的安全。

（一）Packet Filter（包過(guò)濾技術(shù)）

該技術(shù)就是防火墻確保系統(tǒng)安全保障主要技術(shù)，使用設(shè)備有選擇控制和操作出入的網(wǎng)絡(luò)數(shù)據(jù)流。包過(guò)濾技術(shù)常常對(duì)路由進(jìn)行選擇時(shí)就會(huì)過(guò)濾數(shù)據(jù)包，常常用來(lái)過(guò)濾互聯(lián)網(wǎng)絡(luò)至內(nèi)部網(wǎng)絡(luò)中的包。用戶依據(jù)自身所需能夠設(shè)定一定規(guī)則，設(shè)定出那一些數(shù)據(jù)包能夠流出或者流入內(nèi)部網(wǎng)絡(luò)，那一些類型數(shù)據(jù)包要被攔截。包過(guò)濾技術(shù)的基礎(chǔ)就是IP包信息，帥選出IP包源地址、目的地址、端口號(hào)以及封裝協(xié)議 （TCP/UDP/ICMP/IP Tunnel）。該技術(shù)主要是從路由器開(kāi)始，當(dāng)然還可以從網(wǎng)橋乃至一個(gè)單獨(dú)主機(jī)上開(kāi)始操作。

傳統(tǒng)上所用包過(guò)濾不過(guò)是匹配規(guī)則表，防火墻IP包過(guò)濾，就是依據(jù)一個(gè)固定排序規(guī)則鏈進(jìn)行過(guò)濾，每一個(gè)規(guī)則上都包含了端口、IP地址、傳輸方向、協(xié)議以及分包等各種內(nèi)容，并且大多數(shù)防火墻中過(guò)濾規(guī)則啟動(dòng)之時(shí)都已經(jīng)配置好了，只有具備權(quán)限的系統(tǒng)管理人員才能夠修改，屬于靜態(tài)存在模式，即為靜態(tài)規(guī)則。防火墻中應(yīng)用鏈接狀態(tài)進(jìn)行檢查，把同一鏈接所有的包看待成一個(gè)整體數(shù)據(jù)流，應(yīng)用規(guī)則表和鏈接狀態(tài)表共同配合實(shí)施檢查。

（二） NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）

網(wǎng)絡(luò)地址轉(zhuǎn)換且是將內(nèi)部的IP地址轉(zhuǎn)化成為外部的、臨時(shí)的以及注冊(cè)IP地址標(biāo)準(zhǔn)，并且允許擁有IP地址內(nèi)部網(wǎng)絡(luò)對(duì)因特網(wǎng)進(jìn)行訪問(wèn)，就說(shuō)明用戶根本沒(méi)有必要給網(wǎng)絡(luò)中的每一臺(tái)機(jī)器獲取注冊(cè)IP地址。NAT工作流程如下所示：

經(jīng)過(guò)安全網(wǎng)卡實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，在這個(gè)過(guò)程中必然會(huì)產(chǎn)生出一個(gè)映射記錄。系統(tǒng)把外出源地址與源端口映射為一個(gè)偽裝的端口與地址，該端口與地址就經(jīng)過(guò)非安全網(wǎng)卡和外部的網(wǎng)絡(luò)相連接，從而就將真實(shí)內(nèi)部網(wǎng)絡(luò)地址隱藏起來(lái)。當(dāng)經(jīng)過(guò)非安全網(wǎng)卡進(jìn)行外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)時(shí)，是不知道其內(nèi)部網(wǎng)絡(luò)中鏈接情況，就是經(jīng)過(guò)開(kāi)放IP地址與端口對(duì)訪問(wèn)進(jìn)行請(qǐng)求、OLM防火墻就是依據(jù)預(yù)先所定義映射規(guī)則對(duì)訪問(wèn)安全進(jìn)行判斷。一旦和規(guī)則相符，防火墻就會(huì)認(rèn)定該訪問(wèn)屬于安全的，就會(huì)接受訪問(wèn)的請(qǐng)求，也就能夠把請(qǐng)求映射至不通計(jì)算機(jī)中。如果和規(guī)則不相符，防火墻就認(rèn)定這種訪問(wèn)是不安全、不能被接受的，防火墻就會(huì)將外部鏈接請(qǐng)求進(jìn)行屏蔽。事實(shí)上，相對(duì)于用戶而言網(wǎng)絡(luò)地址轉(zhuǎn)換是透明的，用戶也不需要設(shè)置，只要按照常規(guī)操作實(shí)施即可。

（三） Proxy Server or Application Level Proxy（代理服務(wù)器或者應(yīng)用代理）

這種技術(shù)就是代理外部網(wǎng)絡(luò)服務(wù)器和內(nèi)部網(wǎng)路用戶之間的信息交換程序。確認(rèn)了內(nèi)部用戶請(qǐng)求之后就傳遞到內(nèi)部服務(wù)器，并且把內(nèi)部服務(wù)器給出的響應(yīng)反饋給用戶。該技術(shù)常常使用到Web服務(wù)器上的高速緩存，而且具有Web服務(wù)器與Web客戶間中介作用。這種技術(shù)主要將因特網(wǎng)上比較常用與訪問(wèn)最近內(nèi)容進(jìn)行保存，就能夠?qū)⒏煸L問(wèn)速度提供給用戶，增強(qiáng)網(wǎng)絡(luò)的安全性。

相對(duì)于ISP而言這種技術(shù)比較常見(jiàn)，尤其是鏈接因特網(wǎng)的速度比較慢時(shí)更加常用。在Web上運(yùn)行時(shí)，代理先要在本地搜尋相關(guān)數(shù)據(jù)，一旦沒(méi)有搜尋到就去遠(yuǎn)程服務(wù)器查找。就能夠經(jīng)過(guò)所構(gòu)建的代理服務(wù)器經(jīng)過(guò)防火墻直接對(duì)因特網(wǎng)進(jìn)行訪問(wèn)。

三、結(jié)束語(yǔ)

總而言之，對(duì)于一個(gè)系統(tǒng)而言一旦防火墻自身被攻擊者突破了，相對(duì)內(nèi)部系統(tǒng)而言防火墻就沒(méi)有任何價(jià)值。所以確保防火墻自身安全更是確保系統(tǒng)安全之基礎(chǔ)。因此，研究防火墻下的網(wǎng)絡(luò)安全技術(shù)具有現(xiàn)實(shí)價(jià)值，更是確保系統(tǒng)安全的重要措施之一。

參考文獻(xiàn)：

[1]韓秋鋒.基于SOCKS V5代理的防火墻中強(qiáng)認(rèn)證機(jī)制的研究與實(shí)現(xiàn)[D].華僑大學(xué)，2012（10）.

[2]朱革媚，周傳華，趙保華.網(wǎng)絡(luò)安全與新型防火墻技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011（01）.

[3]宿寶臣.透明代理機(jī)制分析及其Limax實(shí)現(xiàn)[J].山東理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（04）

[4]吉璨琛.基于包過(guò)濾技術(shù)的個(gè)人安全防御系統(tǒng)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2010（07）.

[5]梁泠霞，張先軍，鹿凱寧.基于Iptables的網(wǎng)絡(luò)地址轉(zhuǎn)換研究[J].電子測(cè)量技術(shù)，2011（09）.

作者簡(jiǎn)介：

姓名：王文珍，研究方向：計(jì)算機(jī)及應(yīng)用。