淺談防火墻在網(wǎng)絡(luò)安全中應(yīng)用

劉清毅

（陜西廣播電視大學(xué)資源建設(shè)與現(xiàn)代教育技術(shù)中心,陜西西安,710068)

隨著互聯(lián)網(wǎng)的不斷創(chuàng)新以及云計(jì)算和虛擬化技術(shù)的不斷演進(jìn)，傳統(tǒng)單一的網(wǎng)絡(luò)技術(shù)方案發(fā)生了變化，從技術(shù)的發(fā)展路線到市場(chǎng)應(yīng)用逐漸分化為數(shù)據(jù)中心網(wǎng)絡(luò)和傳統(tǒng)基礎(chǔ)網(wǎng)絡(luò)?；诤?jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享。系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全問(wèn)題，應(yīng)該像每家每戶(hù)的防火防盜問(wèn)題一樣，做到防范于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。而防火墻就是指將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)分開(kāi)，實(shí)際上就是一種隔離技術(shù)，對(duì)兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地保護(hù)你的網(wǎng)絡(luò)不受黑客的攻擊。

防病毒軟件主要負(fù)責(zé)電腦內(nèi)部的問(wèn)題不同，防火墻的任務(wù)，更多的是處理來(lái)自網(wǎng)絡(luò)外面的威脅。防火墻就像邊界衛(wèi)士一樣，每時(shí)刻要面對(duì)黑客的入侵。在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet 與Intranet 之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4 個(gè)部分組成，防火墻分為軟件防火墻和硬件防火墻兩種。

軟件防火墻是安裝在個(gè)人計(jì)算機(jī)平臺(tái)的軟件產(chǎn)品，它通過(guò)在操作系統(tǒng)底層工作來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。單獨(dú)使用軟件系統(tǒng)來(lái)完成防火墻功能，將軟件部署在系統(tǒng)主機(jī)上，其安全性較硬件防火墻差，同時(shí)占用系統(tǒng)資源，在一定程度上影響系統(tǒng)性能。其一般用于單機(jī)系統(tǒng)或是極少數(shù)的個(gè)人計(jì)算機(jī)，很少用于計(jì)算機(jī)網(wǎng)絡(luò)中，由于本身的工作原理造成了它不具備內(nèi)網(wǎng)具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對(duì)具體的IP 和MAC 做上網(wǎng)控制等，其主要的功能在于對(duì)外。一般可以是包過(guò)濾機(jī)制。包過(guò)濾過(guò)濾規(guī)則簡(jiǎn)單，只能檢查到第三層網(wǎng)絡(luò)層，只對(duì)源或目的IP 做檢查，防火墻的能力遠(yuǎn)不及狀態(tài)檢測(cè)防火墻，連最基本的黑客攻擊手法IP 偽裝都無(wú)法解決，并且要對(duì)所經(jīng)過(guò)的所有數(shù)據(jù)包做檢查，所以速度比較慢，因此很少用于計(jì)算機(jī)網(wǎng)絡(luò)中。

硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU 的負(fù)擔(dān)，使路由更穩(wěn)定，是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。它的安全和穩(wěn)定，直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。硬件防火墻作為企業(yè)安全的屏障所起的作用是巨大的，正是因?yàn)榉阑饓Τ绦蚝瓦^(guò)濾規(guī)則的硬件化芯片化，所以硬件防火墻在處理并發(fā)數(shù)和連接數(shù)比較多的情況下優(yōu)勢(shì)更加明顯，平時(shí)出現(xiàn)問(wèn)題的機(jī)率也比較低。一方面可以阻止來(lái)自因特網(wǎng)的、對(duì)受保護(hù)網(wǎng)絡(luò)的未授權(quán)訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)用戶(hù)對(duì)因特網(wǎng)進(jìn)行Web 訪問(wèn)或收發(fā)E-mail 等。防火墻也可以作為一個(gè)訪問(wèn)因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)的特定主機(jī)可以訪問(wèn)因特網(wǎng)?，F(xiàn)在，許多防火墻同時(shí)還具有一些其它特點(diǎn)，如進(jìn)行身份鑒別、對(duì)信息進(jìn)行安全（加密）處理。防火墻不單用于控制因特網(wǎng)連接，也可以用來(lái)在組織網(wǎng)絡(luò)內(nèi)部保護(hù)大型機(jī)和重要的資源（如數(shù)據(jù)）。對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)都必須經(jīng)過(guò)防火墻的過(guò)濾，即使網(wǎng)絡(luò)內(nèi)部用戶(hù)要訪問(wèn)受保護(hù)的數(shù)據(jù)，也要經(jīng)過(guò)防火墻。

美國(guó)國(guó)家網(wǎng)絡(luò)安全聯(lián)盟推薦，通過(guò)物理方式斷開(kāi)互聯(lián)網(wǎng)連接是保護(hù)計(jì)算機(jī)最安全的辦法。硬件防火墻能夠絲毫不影響網(wǎng)絡(luò)服務(wù)和使用，實(shí)現(xiàn)無(wú)縫自動(dòng)斷網(wǎng)和重連接，最有效地保護(hù)計(jì)算機(jī)的安全。IP 地址被保護(hù)和隱藏起來(lái)，不顯示給外界，任何攻擊、偵查、廣告或惡意軟件更改都接觸不到它。據(jù)統(tǒng)計(jì)，有超過(guò)30%的網(wǎng)絡(luò)流量是惡意攻擊帶來(lái)的，平均每臺(tái)計(jì)算機(jī)每小時(shí)會(huì)被第三方掃描7 到10 次。硬件防火墻可將計(jì)算機(jī)的65536 個(gè)端口全部封鎖監(jiān)控。對(duì)于活躍的網(wǎng)絡(luò)連接，封鎖所有的端口或切入點(diǎn)是保護(hù)計(jì)算機(jī)至關(guān)重要的方式

硬件防火墻支持敏感文件類(lèi)型過(guò)濾，能夠?qū)W(wǎng)絡(luò)各關(guān)鍵部位的防火墻設(shè)備進(jìn)行統(tǒng)一集中管理，提供對(duì)防火墻設(shè)備的實(shí)時(shí)監(jiān)控、安全事件分析、配置文件與系統(tǒng)文件的統(tǒng)一管理等，支持對(duì)防火墻的系統(tǒng)日志、域間訪問(wèn)控制日志、攻擊日志、NAT 日志、流量日志等的收集與報(bào)告分析。防火墻管理系統(tǒng)提供對(duì)整網(wǎng)安全事件的實(shí)時(shí)監(jiān)控，集中采集并顯示各種DDos 攻擊、用戶(hù)訪問(wèn)控制等事件，實(shí)時(shí)顯示近期安全事件狀態(tài)，并提供基于攻擊事件、源地址和目的地址等的Top N 列表，為用戶(hù)提供當(dāng)前網(wǎng)絡(luò)安全事件的概覽信息，幫助管理員直觀的了解最新安全狀況，易于實(shí)時(shí)監(jiān)控正在發(fā)生的安全事件，對(duì)安全威脅做出快速排查，保障整網(wǎng)的安全性。提供安全區(qū)域劃分、靜態(tài)/動(dòng)態(tài)黑名單功能、MAC 和IP綁定、訪問(wèn)控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測(cè)過(guò)濾、虛擬防火墻、VLAN 透?jìng)鞯裙δ堋Ｄ軌蚍烙鵄RP欺騙、TCP 報(bào)文標(biāo)志位不合法、Large ICMP 報(bào)文、SYN flood、DNS flood、地址掃描和端口掃描等多種惡意攻擊。通過(guò)對(duì)安全事件的深入分析和總結(jié)，利于管理員直接了解網(wǎng)絡(luò)中的攻擊行為與活動(dòng)，為未來(lái)網(wǎng)絡(luò)非法攻擊、非法訪問(wèn)進(jìn)行嚴(yán)格界定，利于對(duì)網(wǎng)絡(luò)安全狀況做出預(yù)測(cè)，提升安全管理員在整網(wǎng)安全管理的預(yù)見(jiàn)力，以便有針對(duì)性地部署安全策略。防火墻管理系統(tǒng)可從異常流量日志、黑名單日志、NTA 日志、域間訪問(wèn)控制日志、MPLS 日志、SSL VPN 日志、系統(tǒng)操作日志等多方面來(lái)對(duì)網(wǎng)絡(luò)安全事件進(jìn)行跟蹤與分析，直觀了解安全事件的來(lái)源、目的地等的行為狀況，詳細(xì)記錄攻擊事件、異常流量、非法訪問(wèn)、非法系統(tǒng)操作等，幫助管理員了解到網(wǎng)絡(luò)攻擊、異常流量狀況，并對(duì)用戶(hù)操作進(jìn)行跟蹤，便于事后審計(jì)和追蹤。

硬件防火墻還能實(shí)現(xiàn)全面的流量管理：支持多種種應(yīng)用協(xié)議的識(shí)別，能精確檢測(cè)迅雷、QQ、MSN、股票軟件等應(yīng)用程序，提供基于用戶(hù)基于應(yīng)用的限速、阻斷等多種控制方式，保障網(wǎng)絡(luò)核心業(yè)務(wù)正常運(yùn)行海量網(wǎng)站過(guò)濾：URL 庫(kù)高達(dá)6500 萬(wàn)條，搜索引擎關(guān)鍵字過(guò)濾、頁(yè)面關(guān)鍵字過(guò)濾，強(qiáng)大的反垃圾郵件能力：保護(hù)企業(yè)郵件服務(wù)器安全；根據(jù)郵件正文、標(biāo)題、關(guān)鍵字、附件屬性來(lái)控制的郵件行為，避免郵件泄密和不安全因素的引入。細(xì)致的行為審計(jì)：可對(duì)各種P2P/IM、網(wǎng)絡(luò)游戲、郵件和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實(shí)現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理。

[1] 劉浩；王超；；淺析防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J]；硅谷；2011 年14 期

[2] 商慶偉；；防火墻在網(wǎng)絡(luò)安全中的應(yīng)用研究[J]；電腦知識(shí)與技術(shù)；2011 年29 期

[3] 劉琳；；淺談防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]；華南金融電腦；2009 年12 期

[4] 陳林；王洪艷；付磊；；淺析局域網(wǎng)的數(shù)據(jù)傳輸及安全策略[J]；電腦與電信；2010 年05 期

[5] 韓彬；；防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J]；科技資訊；2010 年01 期