網(wǎng)絡(luò)安全中防火墻技術(shù)的研究

崔嘉

[摘要]論文針對目前網(wǎng)絡(luò)發(fā)展的需要以及防火墻技術(shù)的重要性，描述了防火墻的原理和基本功能，并通過對防火墻技術(shù)的分析，增強了計算機網(wǎng)絡(luò)安全防護能力和防御能力。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；防火墻技術(shù)

1 引言

隨著社會的發(fā)展，計算機的應(yīng)用也越來越廣泛，網(wǎng)絡(luò)安全逐漸受到社會各界的廣泛關(guān)注。在計算機網(wǎng)絡(luò)安全中，防火墻技術(shù)是一個非常重要的手段，發(fā)揮著非常重要的作用。在計算機網(wǎng)絡(luò)安全方面，目前已經(jīng)提出了幾種技術(shù)保護手段，而防火墻技術(shù)就是其中較為典型的技術(shù)之一，不但安全保護效果好，還可以提供健康安全的營造運行環(huán)境，為網(wǎng)絡(luò)安全提供強大的技術(shù)支撐保障。

2 防火墻技術(shù)分析

2.1 防火墻的組成和基本技術(shù)

防火墻的組成主要包含四個部分，分別是服務(wù)訪問規(guī)則、驗證工具、網(wǎng)關(guān)、過濾器。防火墻基本技術(shù)包括包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。就包過濾技術(shù)而言，主要是選擇數(shù)據(jù)包，它按照系統(tǒng)預設(shè)的篩選規(guī)則，針對數(shù)據(jù)流中所有數(shù)據(jù)包進行深入的檢查，包括源地址、目的地址、TCP連接狀態(tài)等，從而對數(shù)據(jù)包進行判斷，確定其是否可以通過防火墻。包過濾技術(shù)的優(yōu)點是用戶無須登錄，也不需要改動應(yīng)用程序，對于用戶來說，它是透明的。包過濾技術(shù)的缺點是因為過濾器的緣故，在內(nèi)部系統(tǒng)與外部系統(tǒng)之間，可以直接進行數(shù)據(jù)包的交換，對于主機和路由器而言，其允許的所有服務(wù)，都將作為攻擊對象。一般情況下，包過濾技術(shù)僅僅是最外層的防線，當前通常被用于路由器中。應(yīng)用網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)應(yīng)用層上，建立兩種功能，即過濾、轉(zhuǎn)發(fā)。針對網(wǎng)絡(luò)服務(wù)協(xié)議，采用數(shù)據(jù)過濾邏輯，在過濾的過程中，統(tǒng)計數(shù)據(jù)包，并進行分析，從而形成報告。代理服務(wù)的含義是由于包過濾技術(shù)、應(yīng)網(wǎng)關(guān)技術(shù)具有一定的缺點，因此便引入了代理服務(wù)技術(shù)。

2.2 防火墻的基本功能

第一，過濾危險服務(wù)，只有經(jīng)過授權(quán)的服務(wù)，才可以通過防火墻。第二，針對訪問站點進行有效的控制，屏蔽非法用戶，并過濾特殊站點訪問，從而杜絕非法訪問。第三，集中安全保護。若在一個子網(wǎng)中，將軟件集中于防火墻，而非分散到主機，防火墻的保護作用會更加集中。第四，集中安全管理。針對企業(yè)內(nèi)部網(wǎng)，防火墻對其進行集中安全管理，而不需要在所有機器上設(shè)置安全措施。第五，提高保密性。防火墻能夠防止Finger和DNs域名服務(wù)，同時對服務(wù)信息進行封鎖。第六，日志記錄和統(tǒng)計。使用防火墻系統(tǒng)，可以對訪問站點進行記錄，并提供統(tǒng)計數(shù)據(jù)。第七，策略執(zhí)行。防火墻能夠制定安全策略并執(zhí)行。

2.3 非法攻擊防火墻的基本方法

防火墻可以有效地防范網(wǎng)絡(luò)安全，然而卻也有一定的局限性。防火墻無法防范的攻擊還有很多，比如不通過防火墻的攻擊、人為因素的攻擊等。

非法攻擊包括三種方式。

第一，通過子網(wǎng)進行攻擊。對于防火墻來說，此類網(wǎng)址已經(jīng)獲得了信任，因此這種方法更容易被攻擊者采用。

第二，攻擊和干擾互相配合。這種方法主要是在攻擊的過程中，確保防火墻的繁忙，使之忘卻應(yīng)當履行的防護職能。

第三，內(nèi)部攻擊。需要強調(diào)的是，在安裝防火墻之后，禁止隨意訪問，內(nèi)部人員就不能在空閑時期利用Teinet瀏覽郵件，因此便會引發(fā)個別人員的不滿。從而對防火墻進行攻擊，威脅網(wǎng)絡(luò)安全。

當前，黑客攻擊防火墻的方法有五種。

第一，IP地址欺騙。若要攻擊并突破防火墻，這種方法是最常見的，而且其它攻擊方法也是在這種方法的基礎(chǔ)上發(fā)展起來的。黑客通過假冒的IP地址，偽造并冒充成內(nèi)部數(shù)據(jù)分組，這種攻擊方法極具危險性。

第二，IP分段攻擊。處理方法一般選擇對IP數(shù)據(jù)進行分組分段，只支持最大的IP分段長度，在發(fā)送之后，并不立刻組裝單個分段，而是將其路由至目的地，將其集中于原始IP分組，除IP頭外，對于每個分組來說，包含的所有內(nèi)容就是一個ID號、一個分段補償值。由此便可以清晰的識別各分段，對于每個被分段的分組來說，能夠?qū)Ψ阑饓ο到y(tǒng)的安全造成極大的威脅。

第三，TCP序號攻擊。若要繞過防火墻系統(tǒng)，TCP序號攻擊是最有效的，同時也是最危險的。利用Internet中安全漏洞，能夠欺騙安全系統(tǒng)。這種攻擊方法基于三步握手序列。它假設(shè)IP地址欺騙能夠?qū)⒓僭斓腎P分組送入內(nèi)部系統(tǒng)。

第四，計算機病毒攻擊。計算機病毒，可以視之為一種將自身復制為更大程序的代碼段，在程序運行之初，它便開始執(zhí)行，通過將病毒復制，并對其它程序造成影響。病毒能夠經(jīng)過防火墻，駐留于E-mail消息內(nèi)。

第五，特洛伊木馬攻擊。特洛伊木馬：在合法程序內(nèi)隱藏，并偽裝預定功能，然而，通常用于繞過安全屏障，如防火墻。除此之外，還有很多攻擊方法，比如IP隧道攻擊、前綴掃描攻擊、報文攻擊等。

4 使用防火墻的幾點考慮

整體防護。在網(wǎng)絡(luò)安全理論體系中，有一項木桶理論，其含義是木桶盛水量不在于其本身的高度。而在于構(gòu)成木桶最短木條的高度。這在網(wǎng)絡(luò)安全的含義是，若要確保網(wǎng)絡(luò)安全，最重要的是對最薄弱之處的保護。所以對于防火墻技術(shù)，應(yīng)該綜合運用，防御技術(shù)做到密切配合，實現(xiàn)聯(lián)防聯(lián)動，彌補各個技術(shù)的不足之處，唯有如此，才可以確保網(wǎng)絡(luò)安全，做到整體防護。

防火墻的評估。對于當前防火墻而言，通常集眾多功能于一身，對于其功能和性能的評估，通常選擇獨立評價，測試方法也是相互對立的，功能測試注重的是功能的多少，而性能測試注重的是應(yīng)用性能，然而，這些都無法完全彰顯防火墻實際性能。經(jīng)過測試之后，經(jīng)常會出現(xiàn)性能很高，然而在實踐過程中，表現(xiàn)的性能很低，這也是當前防火墻技術(shù)面臨的主要問題之一。所以防火墻的評估，應(yīng)當使性能和功能相結(jié)合，才可以最大程度地評價出防火墻的真實性能，確保評估有效性，從而充分發(fā)揮防火墻的作用。

性價比問題。通常來說，防火墻的使用者大多是大客戶，管理成本會很高。因此企業(yè)應(yīng)該做到的是根據(jù)企業(yè)需求，結(jié)合風險評估，正確判斷防火墻的安全防范能力，預估企業(yè)可承受的風險范圍，從而制定出科學的解決方案。對于高端的防火墻產(chǎn)品來說，其價格可能極高，其建設(shè)期也會很長，而對于低端產(chǎn)品來說，可能是免費的。因此應(yīng)該充分重視防火墻的性價比問題，并考慮維護費用。

管理決定安全。不管是傳統(tǒng)防火墻，還是當代智能防火墻，若要確保網(wǎng)絡(luò)安全，都離不開人的參與，然而由于網(wǎng)絡(luò)管理員的能力和素質(zhì)參差不齊，并非都能滿足職業(yè)要求，因此管理也是網(wǎng)絡(luò)安全的重要環(huán)節(jié)。各種規(guī)則構(gòu)成了防火墻的靈魂，同時也是管理的最難之處，一旦出現(xiàn)錯誤配置。則難以確保網(wǎng)絡(luò)安全。而且若規(guī)則順序發(fā)生改變，也會對網(wǎng)絡(luò)安全造成影響，因此規(guī)則越多，那么檢查和驗證的難度也會越大。所以，從業(yè)人員的專業(yè)能力、管理制度都決定著防火墻的管理效能的實現(xiàn)。

5 結(jié)束語

由于計算機的應(yīng)用日益普遍，關(guān)于計算機網(wǎng)絡(luò)安全受到社會的高度重視，安全保護技術(shù)越來越多，本文針對防火墻技術(shù)進行分析，其原理是信息隔離，在交換信息時，形成防護屏障，不僅能夠屏蔽掉危險信息，而且還可以強化計算機網(wǎng)絡(luò)安全防護能力，增加防御能力。在計算機網(wǎng)絡(luò)安全中，防火墻技術(shù)能夠發(fā)揮出監(jiān)督和跟蹤作用，確保訪問信息的明確。