顧永仁
(上海市公安局崇明縣分局 上海 202150)
網(wǎng)絡(luò)運(yùn)行處于時(shí)刻更新的狀態(tài),為社會(huì)生產(chǎn)和人們生活提供諸多便利,改善社會(huì)現(xiàn)狀。雖然網(wǎng)絡(luò)技術(shù)具備明顯的優(yōu)勢(shì),但是其在運(yùn)行過程中,仍舊表現(xiàn)諸多缺陷,特別是運(yùn)行方面的安全隱患。利用防火墻,加強(qiáng)網(wǎng)絡(luò)運(yùn)行環(huán)境的安全建設(shè),目前,基于防火墻的網(wǎng)絡(luò)安全技術(shù),成為社會(huì)關(guān)注的焦點(diǎn),不僅提高網(wǎng)絡(luò)運(yùn)行環(huán)境的安全度,而且確保網(wǎng)絡(luò)系統(tǒng)的運(yùn)行質(zhì)量,維持網(wǎng)絡(luò)運(yùn)行能力。
安全能力是現(xiàn)代網(wǎng)絡(luò)運(yùn)行主要考慮的對(duì)象,面臨越來越多的安全問題,增加安全技術(shù)的防護(hù)負(fù)擔(dān),針對(duì)防火墻防護(hù),提出以下幾項(xiàng)技術(shù)要點(diǎn)。
評(píng)價(jià)防火墻的失效特性,著重提高安全防護(hù)能力,確保防火墻在遭遇安全攻擊后,及時(shí)給出應(yīng)對(duì)措施,保障反應(yīng)能力[1]。防火墻失效時(shí)的表現(xiàn)為:(1)防火墻沒有受到攻擊傷害,維持正常狀態(tài);(2)防火墻在遭遇攻擊時(shí),表現(xiàn)出明顯傷害,但是防火墻可以自行處理,利用重啟方式,迅速恢復(fù)到原始狀態(tài);(3)防火墻自主防護(hù)數(shù)據(jù)流通,保持通道處于關(guān)閉狀態(tài);(4)防火墻已經(jīng)表現(xiàn)出關(guān)閉狀態(tài),但是數(shù)據(jù)流通正常。防火墻的失效表現(xiàn),較容易引發(fā)安全威脅,干擾網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
防火墻的維護(hù)始終處于動(dòng)態(tài)狀態(tài),維護(hù)人員需定期檢測(cè)防火墻性能,實(shí)行測(cè)評(píng)、監(jiān)控,提出有效的維護(hù)措施,及時(shí)更新防火墻版本,保障安全維護(hù)的能力。
根據(jù)網(wǎng)絡(luò)運(yùn)行實(shí)質(zhì),設(shè)置防火墻的參數(shù)配置,為防火墻防護(hù)營(yíng)造良好的環(huán)境。高性能防火墻,有利于系統(tǒng)安全,有效防止網(wǎng)絡(luò)出現(xiàn)安全漏洞,同時(shí)還可構(gòu)建風(fēng)險(xiǎn)分析環(huán)境,分析被保護(hù)的網(wǎng)絡(luò)系統(tǒng),以運(yùn)行安全為出發(fā)角度,提高安全防護(hù)能力。
以防火墻為中心,構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系,提高網(wǎng)絡(luò)運(yùn)行能力,提出基于防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用類型,如下:
地址轉(zhuǎn)換的防護(hù)類型,實(shí)現(xiàn)私有IP訪問,不需要使用者為訪問主機(jī)注冊(cè)單獨(dú)IP,當(dāng)內(nèi)部網(wǎng)絡(luò)出現(xiàn)訪問外網(wǎng)行為時(shí),防火墻會(huì)主動(dòng)形成映射記錄,以地址偽裝的形式,保護(hù)內(nèi)網(wǎng)源頭,對(duì)內(nèi)保持正常網(wǎng)絡(luò)活動(dòng),對(duì)外隱藏訪問身份,防止外網(wǎng)利用內(nèi)網(wǎng)訪問的IP或端口,實(shí)行反跟蹤,了解內(nèi)網(wǎng)構(gòu)造[2]。外網(wǎng)訪問內(nèi)網(wǎng)時(shí),因?yàn)榻邮盏膬?nèi)網(wǎng)信息屬于偽裝類型,所以并沒有完全掌握內(nèi)網(wǎng)情況,只能通過開放端口發(fā)出訪問請(qǐng)求,防火墻根據(jù)映射記錄,讀取外網(wǎng)訪問,判斷是否屬于安全訪問。兩次訪問規(guī)則重合一致時(shí),判斷訪問屬于安全行為,反之,判斷為危險(xiǎn)行為,采取屏蔽措施。防火墻的地址轉(zhuǎn)換防護(hù)方式,不需要用戶進(jìn)行特殊設(shè)置,執(zhí)行操作即可。
代理防護(hù)需要借助代理類的服務(wù)器,安全性能比較高。代理服務(wù)器有效阻礙兩層之間的數(shù)據(jù)交流,具備一定的真實(shí)特性。不論是在客戶機(jī)的角度,還是在代理服務(wù)器的角度,對(duì)方都是真實(shí)的,不存在虛擬物體。安全防護(hù)的原理為:客戶機(jī)向代理服務(wù)器發(fā)送讀取請(qǐng)求,代理服務(wù)器分析請(qǐng)求后,傳送到真實(shí)服務(wù)器,然后獲取對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù),傳輸?shù)娇蛻魴C(jī),基于中間的代理環(huán)節(jié),有效隔開外網(wǎng)服務(wù)器與客戶機(jī)系統(tǒng),雙方不存在直接交流的關(guān)系,促使外網(wǎng)無法惡意訪問客戶機(jī)。目前,代理防護(hù)類型,已經(jīng)應(yīng)用于應(yīng)用層,明顯提高對(duì)惡意攻擊的防范能力,但是代理服務(wù)器需要與應(yīng)用層保持統(tǒng)一,所以增加代理服務(wù)器的運(yùn)行流程,顯示復(fù)雜特性。
包過濾防護(hù)類型是防火墻安全保護(hù)的基礎(chǔ)內(nèi)容,利用分包技術(shù),實(shí)現(xiàn)安全保護(hù)。網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)的傳輸類型為“包”,數(shù)據(jù)傳輸時(shí),分割為不規(guī)則的包,不同包中含有數(shù)據(jù)的分布信息,例如:IP、端口等,防火墻主要讀取數(shù)據(jù)包內(nèi)的信息,判斷是否屬于安全、可信任內(nèi)容,確保其來源于安全站點(diǎn),如果防火墻在識(shí)別數(shù)據(jù)包時(shí),發(fā)現(xiàn)風(fēng)險(xiǎn)因素,則會(huì)主動(dòng)拒絕數(shù)據(jù)進(jìn)入。由于包過濾防護(hù)類型功能有限,所以只能應(yīng)用在防護(hù)級(jí)別比較低的網(wǎng)絡(luò)安全技術(shù)內(nèi),無法識(shí)別來源于應(yīng)用層的攻擊,例如:利用Java編寫,攜帶隱蔽病毒,可以很容易的避開防火墻分包識(shí)別,引發(fā)網(wǎng)絡(luò)風(fēng)險(xiǎn)。
監(jiān)測(cè)防護(hù)類型的安全級(jí)別明顯較高,屬于現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的新產(chǎn)品。監(jiān)測(cè)防護(hù)沒有層面限制,可以實(shí)現(xiàn)不同層次的高效防護(hù),既可以主動(dòng)保護(hù)網(wǎng)絡(luò)環(huán)境,又可以實(shí)施監(jiān)控網(wǎng)絡(luò)運(yùn)行,著重分析網(wǎng)絡(luò)數(shù)據(jù),判斷各層網(wǎng)絡(luò)訪問行為,分析行為是否安全。此類防火墻,具備全面的防護(hù)特性,在不同防護(hù)模塊中,設(shè)置探測(cè)器,專門用于探測(cè)網(wǎng)絡(luò)節(jié)點(diǎn),識(shí)別內(nèi)網(wǎng)、外網(wǎng)的惡意行為[3]。
基于防火墻的網(wǎng)絡(luò)安全技術(shù),在實(shí)際應(yīng)用中,表現(xiàn)明顯優(yōu)勢(shì)。防火墻安全技術(shù)處于積極完善的狀態(tài),深入分析防火墻的發(fā)展實(shí)際,提出防火墻主要的發(fā)展趨勢(shì)。
①防火墻安全技術(shù)的自動(dòng)化發(fā)展。防火墻面臨多樣化的網(wǎng)絡(luò)攻擊,如:病毒、木馬、黑客等,時(shí)刻攻擊網(wǎng)絡(luò)系統(tǒng),為網(wǎng)絡(luò)安全埋下極大隱患,各項(xiàng)網(wǎng)絡(luò)攻擊均具備代表性,必須構(gòu)建防火墻自動(dòng)化的發(fā)展體系,提高防火墻技術(shù)的安全能力,合理應(yīng)對(duì)網(wǎng)絡(luò)攻擊。所以,自動(dòng)化成為防火墻安全技術(shù)的發(fā)展方向,促使其利用自身自動(dòng)化的特點(diǎn),應(yīng)對(duì)多變的攻擊類型,快速識(shí)別威脅攻擊,給予相應(yīng)的防護(hù),避免網(wǎng)絡(luò)在運(yùn)行過程中,表現(xiàn)為低度安全狀態(tài)。
②防火墻安全技術(shù)高效的運(yùn)行能力。運(yùn)行與運(yùn)轉(zhuǎn)能力,對(duì)防火墻安全防護(hù)具備實(shí)質(zhì)意義,利用電子芯片,大規(guī)模寫入程序保護(hù),快速處理安全問題,由此確保防火墻實(shí)現(xiàn)軟件與硬件共同運(yùn)行的方式,形成高強(qiáng)度的防護(hù)體系[4]。例如:黑客攻擊網(wǎng)絡(luò)系統(tǒng)時(shí),防火墻實(shí)行全面檢測(cè),快速發(fā)現(xiàn)黑客的攻擊方式,通過芯片分析行為路徑,然后提出精確的防護(hù)措施,相比單純的軟件防護(hù),防范效率得到極大的提升,加強(qiáng)安全防護(hù)的能力。
③防火墻安全技術(shù)的可擴(kuò)展性。隨著網(wǎng)絡(luò)環(huán)境的改善和提升,防火墻安全技術(shù)同樣得到發(fā)展空間,重點(diǎn)在防護(hù)能力和運(yùn)行規(guī)模上得到很大改善,而且處于不斷改善的過程中,因此,防火墻必須具備可擴(kuò)展的特性,才可滿足改善需求??蓴U(kuò)展發(fā)展主要是將防火墻設(shè)計(jì)為可伸縮類型,根據(jù)網(wǎng)絡(luò)需要,提供合理、到位的服務(wù)。
防火墻是網(wǎng)絡(luò)安全技術(shù)的主要理念,可以提高網(wǎng)絡(luò)運(yùn)行安全,但是不能完全解決網(wǎng)絡(luò)安全隱患,因此,必須合理利用防火墻,做好科學(xué)預(yù)防的工作。以防火墻為研究對(duì)象,深入分析網(wǎng)絡(luò)安全的需求,提高防火墻的更新能力,確保其與網(wǎng)絡(luò)安全發(fā)展的融合性,一方面推進(jìn)網(wǎng)絡(luò)運(yùn)行發(fā)展,另一方面有效保護(hù)網(wǎng)絡(luò)安全,保障系統(tǒng)運(yùn)行的安全與穩(wěn)定。
[1]何小虎.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].黑龍江科技信息,2012,(23):67-69.
[2]馬吉麗.防火墻的設(shè)立與計(jì)算機(jī)網(wǎng)絡(luò)安全[J].黑龍江科技信息,2012,(08):35-37.
[3]薛毅飛.探討計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].信息系統(tǒng)工程,2011,(04):28-30.
[4]林國(guó)慶.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].恩施職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012,(01):18-20.