防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)中的應(yīng)用

摘 要：互聯(lián)網(wǎng)到今天已經(jīng)從基本信息共享向電子商務(wù)、網(wǎng)絡(luò)應(yīng)用等更為復(fù)雜的方向發(fā)展，隨著商業(yè)應(yīng)用的增加，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。其中也會涉及到是否構(gòu)成犯罪行為的問題。防火墻技術(shù)的引入給管理和提高網(wǎng)絡(luò)的安全性，提供了一個必要而便捷的方式。文中論述了防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)及其安全體系的構(gòu)成。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻技術(shù)；應(yīng)用

1 概述

“防火墻”的本意是指發(fā)生火災(zāi)時，用來防止火勢蔓延的一道障礙物，一般都修建在建筑物之間。由于網(wǎng)絡(luò)防火墻提供了與此類似的功能，所以人們采用防火墻這一術(shù)語來描述設(shè)置在計算機(jī)網(wǎng)絡(luò)之間的隔離裝置，可以隔離兩個或者多個網(wǎng)絡(luò)、限制網(wǎng)絡(luò)互訪，以保護(hù)網(wǎng)絡(luò)用戶的安全。防火墻通常位于用戶網(wǎng)絡(luò)系統(tǒng)的邊界處，通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過，實現(xiàn)對進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計和控制。

網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)（VPN）。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

2 防火墻中使用的主要技術(shù)

2.1 包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇

它依據(jù)系統(tǒng)內(nèi)事先設(shè)定好的篩選規(guī)則，檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口與TCP連接狀態(tài)等信息，并以此來確定是否允許數(shù)據(jù)包通過防火墻。包過濾的最大優(yōu)點是它對用戶是透明的，即不需要使用用戶名和密碼來登錄，不要應(yīng)用程序做任何改動。這使得防火墻速度快且易于維護(hù)。單純采用包過濾技術(shù)的防火墻產(chǎn)品價格低、易使用，但也存在著明顯的缺陷。由于采用這種產(chǎn)品時，允許在內(nèi)部和外部系統(tǒng)之間直接交換數(shù)據(jù)包，那么內(nèi)部網(wǎng)中的所有主機(jī)和路由器所允許的全部服務(wù)就都可能會成為攻擊目標(biāo)。這就意味著可以從外部網(wǎng)絡(luò)上直接訪問的主機(jī)要支持復(fù)雜的用戶認(rèn)證機(jī)制，并且網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)狀態(tài)，以確定是否受到攻擊。包過濾可能無法對網(wǎng)絡(luò)上流動的信息提供全面的控制，因為它僅能夠通過對數(shù)據(jù)包的分析而允許或拒絕某些特定服務(wù)，但不能很好地理解上下文環(huán)境/數(shù)據(jù)。作為判斷依據(jù)的規(guī)則表很容易變得龐大而復(fù)雜，如果包過濾功能在主機(jī)上實現(xiàn)，必然消耗較多的CPU時間，影響系統(tǒng)性能。所以，通常把包過濾功能作為第一道防線，目前經(jīng)常使用在路由器硬件中。

2.2 應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)的應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能

它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯。并在過濾的同時，對數(shù)據(jù)包進(jìn)行必要的登記、統(tǒng)計和分析，形成日志報告。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)有一個共同的特點，就是它們僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機(jī)系統(tǒng)就會建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解內(nèi)部網(wǎng)的結(jié)構(gòu)和運行狀態(tài)，這顯然有利于實施非法訪問和攻擊。

2.3 虛擬專用網(wǎng)技術(shù)（VPN）

虛擬專用網(wǎng)技術(shù)是通過一些公共網(wǎng)絡(luò)（如因特網(wǎng)）實現(xiàn)的具有授權(quán)檢查和加密技術(shù)的通信方式。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸?；诜阑饓Φ腣PN為了保證安全性，通常采用國際標(biāo)準(zhǔn)IPSEC作為加密、認(rèn)證的協(xié)議，加強對通信雙方身份的認(rèn)證，保證數(shù)據(jù)在加密、傳輸過程中的完整性?；贗nternet建立的VPN，可以保護(hù)網(wǎng)絡(luò)免受病毒感染，防止欺騙，防商業(yè)間諜，增強訪問控制，增強系統(tǒng)管理，加強認(rèn)證。

3 防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾。

3.1 防火墻為網(wǎng)絡(luò)系統(tǒng)的安全屏障

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

3.2 防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設(shè)計是否合理，這類問題一般用戶根本無從入手，只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對用戶來說，保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

3.3 管理與培訓(xùn)

管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

4 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。

國際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機(jī)保密模型”（BeuLapadula模型）的基礎(chǔ)上，指定了“可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn)

[1]黃健.對計算機(jī)網(wǎng)絡(luò)安全與防護(hù)的幾點思考[J].魅力中國，2008（2）.

[2]王應(yīng)強.淺談計算機(jī)網(wǎng)絡(luò)安全[J].中共鄭州市委黨校學(xué)報，2009（4）.