淺談網(wǎng)絡(luò)信息安全與防火墻

【摘要】隨著互聯(lián)網(wǎng)應(yīng)用的日益普及，網(wǎng)絡(luò)已成為主要的數(shù)據(jù)傳輸和信息交換平臺，防火墻技術(shù)則是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的一種重要手段。本文介紹防火墻的基本概念、常見的防火墻技術(shù)及其特點(diǎn)，同時(shí)分析了防火墻現(xiàn)階段作用和不足，總結(jié)出了提高防火墻技術(shù)，結(jié)合其他防范措施，才能最大程度保障網(wǎng)絡(luò)信息安全。

【關(guān)鍵詞】網(wǎng)絡(luò)信息安全；防火墻；計(jì)算機(jī)信息技術(shù)

1.引言

隨著互聯(lián)網(wǎng)技術(shù)時(shí)代加速到來，計(jì)算機(jī)信息技術(shù)廣泛應(yīng)用，信息共享已成為我們生活非常重要的一部分，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互連性、多樣性等特點(diǎn)，網(wǎng)絡(luò)安全問題已經(jīng)被越來越多的人所重視。網(wǎng)絡(luò)安全就是要保證網(wǎng)絡(luò)信息的安全，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)的系統(tǒng)安全和網(wǎng)絡(luò)的信息安全。具體地說，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，保證系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷?，F(xiàn)在網(wǎng)絡(luò)信息安全技術(shù)包括防火墻技術(shù)，防病毒技術(shù)等。而防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)中是最簡單、最關(guān)鍵、最有效的解決方法。

2.防火墻的概述

防火墻在網(wǎng)絡(luò)信息安全中起著重要作用，是在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)和一個(gè)被認(rèn)為不那么安全和可信的外部網(wǎng)之間提供的一個(gè)由軟件和硬件設(shè)備共同組成的安全防御工具，是由一個(gè)或一組實(shí)施訪問控制策略的系統(tǒng)。它在內(nèi)部網(wǎng)絡(luò)即專用網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和向外傳遞內(nèi)部信息，同時(shí)也防止這類網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)運(yùn)行遭到破壞。計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。他的工作原理是將你系統(tǒng)的每一個(gè)端口都隱藏起來，是黑客無法進(jìn)入，從而保證了系統(tǒng)安全。防火墻包括服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分構(gòu)成。

2.1包過濾防火墻

包過濾防火墻通常在路由器上實(shí)現(xiàn)，是最簡單的一種防火墻，它是一種通用、廉價(jià)、有效的安全手段，能很大程度地滿足安全要求。它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為。包過濾防火墻一般作用在網(wǎng)絡(luò)層（IP層），故也稱網(wǎng)絡(luò)層防火墻。是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。

防火墻根據(jù)預(yù)先定義的規(guī)則接受或拒絕IP數(shù)據(jù)包，信息包交換網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí)，路由器會讀取接收者的IP并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)后會在目的地重新組裝還原。

它的優(yōu)點(diǎn)就是配置簡單，對于用戶來說是透明的，不需要用戶名和密碼來登錄，速度快，效率高，而且易于維護(hù)。缺點(diǎn)是不能對所有的協(xié)議進(jìn)行過濾，缺少審計(jì)和報(bào)警機(jī)制。

2.2應(yīng)用代理型防火墻

代理防火墻又稱應(yīng)用層網(wǎng)管級防火墻，由代理服務(wù)器和過濾路由器組成，是目前教為流行的一種防火墻。它通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層的通信流。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由一臺專用服務(wù)器實(shí)現(xiàn)。代理服務(wù)器并不是將用戶的全部網(wǎng)絡(luò)服務(wù)請求提交給互聯(lián)網(wǎng)絡(luò)上的真正的服務(wù)器，因?yàn)榉?wù)器能依據(jù)安全規(guī)則和用戶的請求做出判斷是否代理執(zhí)行該請求，所以它能控制用戶的請求。有些請求可能會被否決，比如：FTP代理就可能拒絕用戶把文件往遠(yuǎn)程主機(jī)上送?；蛘咚辉试S用戶將某些特定的外部站點(diǎn)的文件下載。

代理服務(wù)器型防火墻的優(yōu)點(diǎn)是在網(wǎng)絡(luò)連接建立之前可以對用戶身份進(jìn)行認(rèn)證，在代理軟件中可以設(shè)置對用戶進(jìn)行身份驗(yàn)證，這樣確保只有合法用戶才能對網(wǎng)絡(luò)資源進(jìn)行訪問；代理服務(wù)可對于不同的主機(jī)、用戶及應(yīng)用程序執(zhí)行不同的安全規(guī)則，而不對所有對象執(zhí)行同一標(biāo)準(zhǔn)，安全機(jī)制具有靈活性。應(yīng)用代理服務(wù)型防火墻的缺點(diǎn)是所有內(nèi)部網(wǎng)絡(luò)的主機(jī)可以訪問的所有信息都需通過代理服務(wù)器主機(jī)才能獲得，所以有時(shí)在服務(wù)器端需進(jìn)行較為復(fù)雜的配置因此會造成使用上的不便。同過濾防火相比，服務(wù)器的性能和網(wǎng)絡(luò)性能有所下降。

2.3監(jiān)測防火墻

監(jiān)測防火墻在提高安全防范能力同時(shí)也改進(jìn)了流量處理速度。它摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等有限幾個(gè)參數(shù)，不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會話，并利用狀態(tài)表跟蹤每一個(gè)會話狀態(tài)，因此提供了完整的對傳輸層的控制能力。由于監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。它通過對數(shù)據(jù)的抽取來實(shí)現(xiàn)對網(wǎng)絡(luò)中各個(gè)層次進(jìn)行監(jiān)測的目的。

3.防火墻現(xiàn)階段作用和不足

3.1防火墻現(xiàn)階段作用

防火墻是控制對網(wǎng)絡(luò)系統(tǒng)訪問非常流行的方法?，F(xiàn)階段一般的防火墻都可以實(shí)現(xiàn)：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問特殊站點(diǎn)；四是為監(jiān)視網(wǎng)絡(luò)安全提供方便，可以過濾掉不安全服務(wù)和非法用戶，監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨(dú)立的網(wǎng)絡(luò)。

3.2防火墻的不足

防火墻也有不足之處，它有許多在網(wǎng)上不能防范的攻擊。如下：

第一，防火墻不能有效地防范像病毒這類東西的入侵。對病毒十分憂慮的機(jī)構(gòu)應(yīng)當(dāng)在整個(gè)機(jī)構(gòu)范圍內(nèi)采取病毒控制措施。不要試圖將病毒擋在防火墻之外，而是保證每個(gè)脆弱的桌面系統(tǒng)都安裝上病毒掃描軟件，只要一引導(dǎo)計(jì)算機(jī)就對病毒進(jìn)行掃描。

第二，如果是通過防火墻以外的其它途徑的攻擊時(shí)防火墻無法防范。例如，在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥出存在（如通過MODEM撥號），內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP連接進(jìn)入Internet。這就為從后門攻擊創(chuàng)造了極大的可能。

第三，防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上。但一旦執(zhí)行就開成攻擊。如一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。

第四，防火墻對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊，不具備防范作用，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅。如通過社會工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機(jī)器主動對攻擊者連接，將瞬間破壞象鐵壁一樣的防火墻。

4.總結(jié)

防火墻已經(jīng)在網(wǎng)絡(luò)上得到了廣泛的應(yīng)用，客觀的講，防火墻并不是解決網(wǎng)絡(luò)安全問題的萬能藥方，而只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分，合理的配置防火墻，是確保我們網(wǎng)絡(luò)安全的首要選項(xiàng)，保證網(wǎng)絡(luò)之間的連接安全，不會在連接端口出現(xiàn)安全漏洞。隨著互聯(lián)網(wǎng)基礎(chǔ)技術(shù)的發(fā)展，也要求防火墻技術(shù)不斷更新。只有對過去和現(xiàn)在防火墻系統(tǒng)面臨的問題作充分的了解和總結(jié)，才能更高的把握住網(wǎng)絡(luò)安全的趨勢，從而全面、深度的提高防火墻技術(shù)，更好的維護(hù)網(wǎng)絡(luò)信息的安全。另外還要定期檢查病毒，及時(shí)安裝各種補(bǔ)丁程序，定期備份等從多方面進(jìn)行保護(hù)，才能確保最大程度的保障網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)

[1]李濤.網(wǎng)絡(luò)安全概論.電子工業(yè)出版社，2004.

[2]黎連業(yè).張維.防火墻及其應(yīng)用技術(shù).清華大學(xué)出版社，2005.