互聯(lián)網(wǎng)安全和防火墻技術(shù)探究

摘 要：互聯(lián)網(wǎng)的迅速發(fā)展為人們的生產(chǎn)生活帶來了極大的方便，但是由于缺乏互聯(lián)網(wǎng)安全意識(shí)和不正確的操作方式，導(dǎo)致越來越多的互聯(lián)網(wǎng)安全事件發(fā)生。本文針對(duì)目前互聯(lián)網(wǎng)發(fā)展中的一些安全問題，重點(diǎn)從防火墻的角度對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全進(jìn)行了探究和分析。

關(guān)鍵詞：計(jì)算機(jī)；防火墻；安全

中圖分類號(hào)：TP393.08

1 網(wǎng)絡(luò)安全

1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全介紹

計(jì)算機(jī)安全通常包括計(jì)算機(jī)硬件安全和計(jì)算機(jī)軟件安全。從技術(shù)的角度分析，計(jì)算機(jī)安全又可以分為計(jì)算機(jī)自身安全、計(jì)算機(jī)運(yùn)行環(huán)境安全和計(jì)算機(jī)信息安全三部分。

（1）常見的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅。服務(wù)器攻擊、黑客攻擊和計(jì)算機(jī)病毒通常被認(rèn)為是計(jì)算機(jī)網(wǎng)絡(luò)安全的三大主要威脅。首先，服務(wù)器攻擊它通常有多重方式，比較常見的比如通過“電子郵件炸彈”攻擊，讓用戶服務(wù)器短時(shí)間內(nèi)收到大量的郵件，導(dǎo)致用戶服務(wù)器癱瘓；其次，對(duì)于黑客襲擊，通常黑客通過各種比較隱蔽的方式和手段對(duì)用戶進(jìn)行攻擊，從而獲取用戶的賬號(hào)和密碼或者獲取各種非法數(shù)據(jù)；再次，對(duì)于計(jì)算機(jī)病毒，目前活性計(jì)算機(jī)病毒已經(jīng)達(dá)到將近20000種，計(jì)算機(jī)病毒通過入侵計(jì)算機(jī)網(wǎng)絡(luò)從而破壞計(jì)算機(jī)網(wǎng)絡(luò)安全。

（2）影響網(wǎng)絡(luò)安全的因素。影響網(wǎng)絡(luò)安全的因素可以分為兩方面，一是單機(jī)安全。影響計(jì)算機(jī)單機(jī)安全的因素是多方面的，比如計(jì)算機(jī)的型號(hào)、計(jì)算機(jī)的運(yùn)行環(huán)境、計(jì)算機(jī)的操作系統(tǒng)等；二是網(wǎng)絡(luò)安全，文件攜帶病毒、數(shù)據(jù)發(fā)送和接收以及節(jié)點(diǎn)等都是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素。

2 防火墻概述

2.1 防火墻的原理及分類

（1）包過濾防火墻。所謂包過濾防火墻通過對(duì)比接收到的數(shù)據(jù)包和預(yù)先設(shè)定的包過濾規(guī)則對(duì)比，進(jìn)而確定是否允許通過或者阻斷。該過濾防火墻的過濾規(guī)則是以通過對(duì)比網(wǎng)絡(luò)層IP包包頭信息來確定的。包過濾防火墻是在網(wǎng)絡(luò)層工作的。相比較而言，包過濾防火墻速度最快，對(duì)用戶而言比較透明，通過傳統(tǒng)的路由器就可以實(shí)現(xiàn)。

（2）應(yīng)用級(jí)代理防火墻。應(yīng)用級(jí)代理防火墻安全的實(shí)現(xiàn)是利用在OSI的最高層對(duì)每一個(gè)IP包進(jìn)行檢查實(shí)現(xiàn)的。代理技術(shù)不同于傳統(tǒng)的包過濾技術(shù)，代理技術(shù)是在應(yīng)用層上實(shí)現(xiàn)防火墻功能的，通過在防火墻處終止客戶連接從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

（3）代理服務(wù)型防火墻。代理服務(wù)型防火墻是在應(yīng)用網(wǎng)關(guān)技術(shù)存在不足和數(shù)據(jù)包過濾存在缺陷的情況下產(chǎn)生的。代理服務(wù)型防火墻的特征是通過把跨越防火墻的所有網(wǎng)絡(luò)通訊分為兩部分。通過兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)防火墻內(nèi)外部計(jì)算機(jī)系統(tǒng)應(yīng)用層之間的鏈接。外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路無法通過代理服務(wù)器。從而實(shí)現(xiàn)了代理型服務(wù)防火墻功能。

2.2 防火墻發(fā)展趨勢(shì)

面對(duì)新的網(wǎng)絡(luò)攻擊的出現(xiàn)和傳統(tǒng)防火墻的各種弊端，新的防火墻技術(shù)也應(yīng)運(yùn)而生。概括而言，主要體現(xiàn)在以下幾個(gè)方面：防火墻系統(tǒng)管理、防火墻體系結(jié)構(gòu)和包過濾技術(shù)。

（1）防火墻包過濾技術(shù)發(fā)展趨勢(shì)。1）安全策略功能。安全策略功能是指一些防火墻廠商或者企業(yè)把AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證和服務(wù)引用到防火墻中，從而增加用戶角色監(jiān)管，增加系統(tǒng)安全防護(hù)措施。在無線網(wǎng)絡(luò)中，該功能作用尤為突出，具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證；2）多級(jí)過濾技術(shù)。多級(jí)過濾技術(shù)是指通過采用多個(gè)級(jí)別的過濾措施并結(jié)合鑒別手段從而實(shí)現(xiàn)防火墻的過濾。多級(jí)過濾技術(shù)通常分為三級(jí)：應(yīng)用網(wǎng)關(guān)級(jí)、傳輸級(jí)和分組過濾級(jí)。其中應(yīng)用網(wǎng)關(guān)級(jí)是通過使用SMTP和FTP協(xié)議等來達(dá)到對(duì)互聯(lián)網(wǎng)進(jìn)行監(jiān)控和檢測(cè)的目的。和其他級(jí)別的過濾技術(shù)相比，應(yīng)用網(wǎng)關(guān)級(jí)的過濾技術(shù)是一種比較綜合型的技術(shù)，在功能上更加全面；傳輸級(jí)是在依據(jù)過濾規(guī)則的基礎(chǔ)上對(duì)所有禁止入和出的有害數(shù)據(jù)和協(xié)議進(jìn)行過濾，一些有害數(shù)據(jù)比如圣誕樹包、nuke包等；分組過濾級(jí)通過對(duì)假的IP源地址換個(gè)路由分組進(jìn)行過濾來實(shí)現(xiàn)相應(yīng)安全；3）功能擴(kuò)展。功能擴(kuò)展是指對(duì)防火墻增加新的功能，比如VPN網(wǎng)絡(luò)、AAA或者PKI等。通過擴(kuò)展功能，不但提高了防火墻的功能，而且提高了系統(tǒng)的集成性。當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

（2）防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)。隨著網(wǎng)絡(luò)各種應(yīng)用的增加和人們對(duì)網(wǎng)絡(luò)速度要求的提升，防火墻必須要能夠提升處理速度從而滿足人們的需要。未來幾年，多媒體應(yīng)用會(huì)越來越普及，它對(duì)數(shù)據(jù)經(jīng)過防火墻帶來的延遲有較高的要求，也就是減少幀緩沖時(shí)間，這就要求必須提高防火墻的處理速度。為此，一些防火墻制造商開發(fā)了基于網(wǎng)絡(luò)處理器的防火墻和基于ASIC的防火墻，從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

相比較于以硬件為基礎(chǔ)的ASIC防火墻，基于網(wǎng)絡(luò)處理器的防火墻更多的要依靠軟件實(shí)現(xiàn)的。因此具有更高的靈活性。而基于ASIC的防火墻由于采用了專門的硬件處理網(wǎng)絡(luò)。因此，在性能上更加由于前者。但是由于ASIC防火墻由于以純硬件為基礎(chǔ)，很難實(shí)現(xiàn)編程功能，這就大大降低了其靈活性。很難滿足防火墻快速發(fā)展的要求。一個(gè)比較合理的解決方法是通過增加ASIC芯片的可編程性，從而提高其與其他人間的兼容性。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。

（3）防火墻的系統(tǒng)管理發(fā)展趨勢(shì)。從目前發(fā)展來看，未來防火墻系統(tǒng)管理發(fā)展主要有三大趨勢(shì)：網(wǎng)絡(luò)安全產(chǎn)品將更加系統(tǒng)化，防火墻的自動(dòng)日志分析功能和審計(jì)功能將更加強(qiáng)大。在安全結(jié)構(gòu)和網(wǎng)絡(luò)安全層次上，將實(shí)現(xiàn)分層安全結(jié)構(gòu)和分布式管理以及集中式管理結(jié)合的方式。

通過上面對(duì)防火墻發(fā)展技術(shù)的分析，隨著黑客入侵技術(shù)的提升和用戶對(duì)網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)速度和質(zhì)量要求的提升，防火墻的發(fā)展也有了更高的要求。未來發(fā)展中，防火墻技術(shù)必須要能更加智能化，更加主動(dòng)。只有這樣，才能真正既滿足人們對(duì)網(wǎng)絡(luò)安全方面的需要，又能給用戶帶來更好的用戶體驗(yàn)。

3 結(jié)束語

隨著互聯(lián)網(wǎng)發(fā)展和人們對(duì)網(wǎng)絡(luò)的依賴的加深，計(jì)算機(jī)網(wǎng)絡(luò)安全問題顯得尤為重要，本文重點(diǎn)從計(jì)算機(jī)網(wǎng)絡(luò)安全威脅、影響計(jì)算機(jī)網(wǎng)絡(luò)安全因素以及防火墻基本原理進(jìn)行了分析，并對(duì)目前防火墻發(fā)展技術(shù)現(xiàn)狀進(jìn)行了分析，對(duì)未來防火墻發(fā)展趨勢(shì)進(jìn)行了展望。

參考文獻(xiàn)：

[1]張威，潘小鳳.防火墻與入侵檢測(cè)技術(shù)探討[J].南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008（02）.

[2]王磊.圖書館網(wǎng)絡(luò)系統(tǒng)安全性分析[J].林區(qū)教學(xué)，2011（02）.

[3]孔素然.防火墻技術(shù)在校園網(wǎng)中的應(yīng)用[J].大學(xué)時(shí)代（B版），2006（07）.

[4]王春.防火墻技術(shù)的研究[J].新課程（中學(xué)），2010（08）.

[5]張新剛，劉妍.淺析防火墻技術(shù)及其在高校校園網(wǎng)中的應(yīng)用[J].教育信息化，2006（09）.

[6]顧晟.基于防火墻技術(shù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估體系構(gòu)建策略[J].廊坊師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2010（03）.

[7]鄭錚.試論家庭網(wǎng)絡(luò)安全相關(guān)技術(shù)[J].科教新報(bào)（教育科研），2011（24）.

[8]羅瑩，陳瓅.網(wǎng)絡(luò)安全主流技術(shù)淺談[J].宜春學(xué)院學(xué)報(bào)，2007（02）.

作者單位：北京富葉豐凱市場(chǎng)顧問有限公司，北京 100015