淺談辦公網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用

摘 要：計算機(jī)技術(shù)的發(fā)展給人們生活帶來了極大的便利，但同時由于計算機(jī)黑客和計算機(jī)病毒的入侵，也給人們信息安全帶來了很大的威脅，本文針對目前計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀，重點從網(wǎng)絡(luò)防火墻的角度進(jìn)行分析，旨在提高防火墻在計算機(jī)網(wǎng)絡(luò)安全中的作用。

關(guān)鍵詞：辦公網(wǎng)絡(luò)；防火墻技術(shù)；網(wǎng)絡(luò)安全

中圖分類號：TP393.082

辦公自動化網(wǎng)絡(luò)以其便利性和開放性普遍的應(yīng)用于人們的日常辦公中，但是正是由于開放性導(dǎo)致了其遭遇黑客入侵、病毒感染的風(fēng)險。一旦處理不好，可能導(dǎo)致企業(yè)機(jī)密泄露、數(shù)據(jù)丟失等風(fēng)險。而防火墻技術(shù)卻能為辦公網(wǎng)絡(luò)提供一個良好的屏障，本文重點從數(shù)據(jù)過濾、服務(wù)器代理設(shè)計、防火墻系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計等角度探討和分析防火墻技術(shù)。

1 關(guān)于防火墻技術(shù)

1.1 基本概念

防火墻主要是防范網(wǎng)絡(luò)外部的危險傳到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻邏輯上既為分離器和分析器，又可作限制器；但立足于物理視角，一般防火墻主要由路由器及主機(jī)等一些硬件類設(shè)備及各種不同的軟件組合構(gòu)成的，防火墻不同、其實現(xiàn)的方式也可以不同；就其實質(zhì)而言，通常防火墻就是用來對網(wǎng)絡(luò)的數(shù)據(jù)、資源及其用戶的信譽(yù)進(jìn)行保護(hù)的一種保護(hù)性的設(shè)施；就其技術(shù)層面而言，通常防火墻就是控制對網(wǎng)絡(luò)進(jìn)行訪問的控制技術(shù)，也是一個保護(hù)的門檻，能夠管控輸入和輸出兩方面的信息傳輸，切實防范內(nèi)部某個網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)進(jìn)行溝通和交流。

1.2 基本原理分析

通常防火墻按先前明確的原則和規(guī)范對防火墻經(jīng)過的數(shù)據(jù)流進(jìn)行控制和監(jiān)測。那些有授權(quán)的才能夠讓數(shù)據(jù)許可經(jīng)過，同時要隨時對服務(wù)器中的相應(yīng)數(shù)據(jù)的源起、通信的總量以及任何希望進(jìn)入網(wǎng)絡(luò)的人員的目的與動機(jī)進(jìn)行記錄，以便于管理員完成好跟蹤與檢測等相關(guān)工作。除此以外，通常防火墻還應(yīng)當(dāng)具有阻止?jié)B透的特定性功能。

1.3 功能簡介

通常防火墻需要具有的主要功能有如下四類，一是阻止網(wǎng)絡(luò)的非正常用戶入侵入到網(wǎng)絡(luò)內(nèi)部；二是可以方便快捷地網(wǎng)絡(luò)具有的安全性進(jìn)行監(jiān)測，同時隨時地發(fā)出警報；三是能夠具有對地質(zhì)網(wǎng)絡(luò)的變換進(jìn)行調(diào)整的功能，能夠把數(shù)量限定的IP類地址和內(nèi)部網(wǎng)絡(luò)IP類地址進(jìn)行靜動態(tài)聯(lián)系，用來緩解網(wǎng)絡(luò)地址的有限性矛盾；四是防火墻能夠隔開內(nèi)部的網(wǎng)絡(luò)，和某一網(wǎng)段獨立地連接起來，利用此網(wǎng)段對FTP與WWW兩種服務(wù)器進(jìn)行部署，將其當(dāng)作向外部公布信息資源的地方。這就是通常在技術(shù)視角下會提到?；饏^(qū)，即DMZ區(qū)。

1.4 關(guān)于防火墻類型

通常防火墻主要可以分成過濾數(shù)據(jù)包類、服務(wù)代理類及復(fù)合類等三種類型。通常過濾數(shù)據(jù)包類防火墻工作于網(wǎng)絡(luò)層與傳輸層，所以還被稱作篩選型路由器或者網(wǎng)絡(luò)類防火墻，主要是針對網(wǎng)絡(luò)中單個的傳輸數(shù)據(jù)包實施相應(yīng)的控制，依照接收數(shù)據(jù)包IP類的目的地址和源地址情況、UDP/TCP的目標(biāo)與源起端口號情況、網(wǎng)絡(luò)ICMP類消息情況以及數(shù)據(jù)包當(dāng)中的協(xié)議的種類與標(biāo)志等各類參數(shù)，將其與事先用戶設(shè)置的控制管理訪問內(nèi)容做對比，來對數(shù)據(jù)內(nèi)容是不是符合事前設(shè)定安全要求和標(biāo)準(zhǔn)做出判斷，在此基礎(chǔ)上進(jìn)行過濾操作，研究相關(guān)數(shù)據(jù)包是進(jìn)行轉(zhuǎn)發(fā)還是進(jìn)行丟棄。而服務(wù)代理類的防火墻還被稱作應(yīng)用類的防火墻，就是在主機(jī)上通過運行服務(wù)代理類程序，圍繞特定性應(yīng)用程序或用戶直接提供相應(yīng)的服務(wù)功能。服務(wù)代理類防火墻最為核心的是其主機(jī)上設(shè)置防火墻的代理類服務(wù)器部分，主要是幫助用戶實現(xiàn)TCP、IP協(xié)議相應(yīng)的功能。代理類服務(wù)器從實質(zhì)上說是將兩個不同網(wǎng)絡(luò)相連接，用來達(dá)到網(wǎng)絡(luò)特定性的應(yīng)用目標(biāo)的網(wǎng)關(guān)。對于復(fù)合類防火墻因為在網(wǎng)絡(luò)的安全方面的要求較高，一般情況下需要將服務(wù)代理和過濾數(shù)據(jù)包的服務(wù)體系的功能與特點相結(jié)合，在此基礎(chǔ)上建立復(fù)合類防火墻體系，其主機(jī)通常被稱作是堡壘型主機(jī)。各種不同類別的防火墻均具有各自不同技術(shù)優(yōu)點和不足，目前防火墻方面的單一產(chǎn)品完全無法適應(yīng)網(wǎng)絡(luò)應(yīng)用要求的更高的安全水平，因此把現(xiàn)有各類防火墻應(yīng)用技術(shù)相互結(jié)合，以便建立多層級、混合型防火墻體系，能夠增強(qiáng)網(wǎng)絡(luò)防火墻在靈活性與安全性方面的性能。

2 內(nèi)部辦公網(wǎng)防火墻體系設(shè)計

2.1 內(nèi)部辦公網(wǎng)防火墻體系的設(shè)計總體思路

2.1.1 建立內(nèi)網(wǎng)的安全性對策

首先，在內(nèi)部網(wǎng)絡(luò)的安全要求上最重要是對任何沒能經(jīng)過允許的各類服務(wù)進(jìn)行禁止。其次，在內(nèi)部網(wǎng)的另一條安全原則是讓未明令禁止的各項服務(wù)運行，于是防火墻在發(fā)送此類信息的過程當(dāng)中逐項對未經(jīng)許可的服務(wù)進(jìn)行濾除。

2.1.2 明確過濾數(shù)據(jù)的原則要求

一方面，要處理IP類數(shù)據(jù)包的頭部信息；另一方面，設(shè)計出過濾數(shù)據(jù)包的原則和要求，一般情況下，應(yīng)當(dāng)確定并實施過濾數(shù)據(jù)包原則的基本內(nèi)容，進(jìn)而作出具體性的要求設(shè)定。

2.1.3 加強(qiáng)對服務(wù)代理進(jìn)行設(shè)計

代理類服務(wù)器當(dāng)接收到網(wǎng)絡(luò)外部節(jié)點提交的請求服務(wù)的時候，若接受到這一請求，則代理類服務(wù)器馬上和實際的服務(wù)器建立相應(yīng)的連接關(guān)系。服務(wù)代理的相關(guān)工作發(fā)生在應(yīng)用的層面，所以能夠利用網(wǎng)絡(luò)安全密碼、驗證身份、跟蹤審計、登錄日志等各類網(wǎng)絡(luò)技術(shù)，確保內(nèi)部網(wǎng)安全運行，以便解決好過濾數(shù)據(jù)時求救應(yīng)對的矛盾問題。

2.1.4 對防火墻體系統(tǒng)拓?fù)漕惤Y(jié)構(gòu)進(jìn)行設(shè)計

第一，設(shè)計網(wǎng)絡(luò)防火墻體系的拓?fù)漕惤Y(jié)構(gòu)必須確定出需要保護(hù)的這一辦公網(wǎng)在安全運行上的級別要求。第二，最后在明確網(wǎng)絡(luò)防火墻體系的拓?fù)漕惤Y(jié)構(gòu)進(jìn)，必須綜合考慮該體系在安全措施上的實施、升級、維護(hù)、改造、重點資源信息保護(hù)及體系安全的管理成本等有關(guān)方面的因素。

2.1.5 對模塊的功能進(jìn)行定義并分散施行

網(wǎng)絡(luò)防火墻通常是各類功能組合模塊構(gòu)成的，各種功能性模塊主要包括代理類、過濾數(shù)據(jù)包、網(wǎng)絡(luò)域名類、網(wǎng)絡(luò)認(rèn)證類等服務(wù)器及通信情況的監(jiān)控器，這些模塊是通過路由器與主機(jī)獨立地實現(xiàn)功能的，而對模塊功能分散進(jìn)行處理，能夠降低其實施過程的難度系數(shù)，但卻增強(qiáng)了體系的可靠程度。

2.1.6 關(guān)于對維護(hù)和管理防火墻的工作方案

維護(hù)防火墻應(yīng)當(dāng)隨時審計網(wǎng)絡(luò)訪問情況的記錄，從中查找和發(fā)現(xiàn)網(wǎng)絡(luò)中非法性的訪問與入侵的有關(guān)情況。以此為基礎(chǔ)全面評估防火墻在安全管理方面的相關(guān)情況，如果需要還應(yīng)當(dāng)做出必要的改進(jìn)和完善。而管理防護(hù)墻是要按照網(wǎng)絡(luò)安全對策措施及網(wǎng)絡(luò)中拓?fù)漕惤Y(jié)構(gòu)出現(xiàn)變動的情況，及時升級和修改防火墻的硬件與軟件等方面的相關(guān)內(nèi)容級。

2.2 網(wǎng)絡(luò)數(shù)據(jù)包類防火墻的典型的設(shè)計方法

過濾數(shù)據(jù)包類防火墻的相關(guān)工作處在DOD類網(wǎng)絡(luò)的層面，其核心的技術(shù)為逐個對通過網(wǎng)絡(luò)防火墻的各類數(shù)據(jù)包均實施審查操作，同時分析數(shù)據(jù)包當(dāng)中所含有的IP類的目的地址和源地址情況UDP/TCP的目標(biāo)與源起端口號情況、網(wǎng)絡(luò)ICMP類消息情況以及封裝數(shù)據(jù)包的協(xié)議種類等，當(dāng)判斷同體系事前確定的網(wǎng)絡(luò)安全對策是不是相符合以后，從而決定是不是讓這些數(shù)據(jù)包通過、進(jìn)入網(wǎng)絡(luò)。

設(shè)計過濾數(shù)據(jù)包原則要求主要包含兩方面的內(nèi)容：一是有關(guān)服務(wù)的各種安檢原則要求；二是對不同服務(wù)的安檢原則要求。

3 結(jié)束語

網(wǎng)絡(luò)防火墻技術(shù)雖然有著比較多的優(yōu)勢，然而也存在一些不足之處，特別是在網(wǎng)絡(luò)安全上還會留下部分隱患。同時，設(shè)定防火墻也無法實現(xiàn)畢其功于一役，設(shè)定安全管理人員完成防火墻設(shè)定之后造成不能放松管理，應(yīng)該時時具有居安思危的意識，努力把其他的一些安全防御技術(shù)與防火墻配合使用，以增強(qiáng)網(wǎng)絡(luò)信息的安全性，使網(wǎng)絡(luò)用戶能更加放心地享用網(wǎng)絡(luò)資源。

參考文獻(xiàn)：

[1]王穎.論目前計算機(jī)網(wǎng)絡(luò)安全所面臨的威脅及防范措施[J].消費電子.

[2]史長瓊，吳丹，肖瑞強(qiáng).能抵抗拒絕服務(wù)攻擊且高效的RFID安全認(rèn)證協(xié)議[J].計算機(jī)工程與應(yīng)用.

作者單位：湖北工業(yè)大學(xué)，武漢 430068