基于防火墻的網(wǎng)絡(luò)安全技術(shù)的幾點(diǎn)探討

張朝日

摘 要：通過對防火墻的網(wǎng)絡(luò)安全技術(shù)與防火墻的基本類型進(jìn)行分析，研究了網(wǎng)絡(luò)防火墻選擇和架構(gòu)的基本原則，對網(wǎng)絡(luò)防火墻的設(shè)計(jì)與架構(gòu)提出了相應(yīng)的建議，為企業(yè)網(wǎng)絡(luò)安全的管理提供建議。

【關(guān)鍵詞】防火墻 網(wǎng)絡(luò)安全 信息處理

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是大數(shù)據(jù)時(shí)代的到來，大量的信息資源和數(shù)據(jù)處理都是通過網(wǎng)絡(luò)進(jìn)行傳遞和存儲(chǔ)的，由于網(wǎng)絡(luò)中的數(shù)據(jù)量每天都在以幾何級數(shù)在增加，網(wǎng)絡(luò)信息的安全成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵問題，也是網(wǎng)絡(luò)安全首要解決的問題，防火墻作為計(jì)算機(jī)網(wǎng)絡(luò)安全重要組成部分，是解決網(wǎng)絡(luò)信息安全的重要組成部分。

1 防火墻的基本類型

1.1 包過濾防火墻（IP Filting Firewall）

主要是采用包過濾（Packet Filter）的方式，依據(jù)事先設(shè)置好的過濾邏輯，對數(shù)據(jù)包的源地址、目標(biāo)地地址等數(shù)據(jù)進(jìn)行監(jiān)測，對網(wǎng)絡(luò)層中的數(shù)據(jù)包進(jìn)行有選擇性的判斷，然后在監(jiān)測數(shù)據(jù)包制定的接口是否允許這些信息通過。例如有一些惡意的小Java程序以及電子郵件的病毒，都能夠通過防火墻進(jìn)行過濾。

1.2 代理服務(wù)器（Proxy Server）

主要功能是設(shè)置在網(wǎng)絡(luò)上的防火墻網(wǎng)關(guān)，它用于高速緩存，對用戶經(jīng)常訪問的網(wǎng)絡(luò)站點(diǎn)內(nèi)容進(jìn)行過濾，方便下一位用戶在訪問下一個(gè)站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)的獲取數(shù)據(jù)，提高用戶獲取信息的效率。

1.3 狀態(tài)監(jiān)視技術(shù)（Stateful Inspection）

在信息傳輸?shù)倪^程中，通過防火墻技術(shù)對每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端、類型等信息進(jìn)行監(jiān)測分析，根據(jù)事先設(shè)定的要求，采用“會(huì)話過濾”（Session Filteeing）功能，為一個(gè)數(shù)據(jù)的傳輸建立一個(gè)回話過程，防火墻會(huì)自動(dòng)的對每一個(gè)數(shù)據(jù)包進(jìn)行監(jiān)測，對數(shù)據(jù)包的信息進(jìn)行保護(hù)。例如可以運(yùn)用該技術(shù)過濾掉FTP連接中的PUT命令，避免網(wǎng)絡(luò)內(nèi)部信息的外泄。

2 防火墻的選擇

2.1 網(wǎng)絡(luò)安全體系設(shè)計(jì)的原則

2.1.1 安全性與便捷性

在實(shí)際應(yīng)用的過程中，網(wǎng)絡(luò)的便捷性與方便性往往會(huì)因?yàn)椴捎冒踩胧┒档?，原因就是防火墻要對每一個(gè)數(shù)據(jù)包進(jìn)行掃描，影響數(shù)據(jù)處理的速度。防火墻從安裝、配置到系統(tǒng)調(diào)整等功能，都在一個(gè)GUI界面上完成，使得防火墻的應(yīng)用十分方便，同時(shí)由于防火墻的透明設(shè)置也有利于網(wǎng)絡(luò)的內(nèi)部用戶，不必增加額外任何配置就能夠設(shè)置完成。

2.1.2 安全性與性能

網(wǎng)絡(luò)的安全措施是靠網(wǎng)絡(luò)資源來完成的，一般情況下，這些安全措施主要占有的是主機(jī)CPU和內(nèi)存、網(wǎng)絡(luò)帶寬，在數(shù)據(jù)傳輸?shù)倪^程中還需要對數(shù)據(jù)包進(jìn)行掃描，這些都會(huì)導(dǎo)致網(wǎng)絡(luò)的整體性能下降，造成網(wǎng)速過慢的情況，防火墻具有獨(dú)特的狀態(tài)包過濾技術(shù)，能夠自動(dòng)的、快速的在網(wǎng)絡(luò)安全與網(wǎng)速之間找到平衡點(diǎn)。

2.1.3 安全性與成本

采用專門的網(wǎng)絡(luò)安全措施，需要購買相應(yīng)的軟件、硬件措施，這樣會(huì)額外的增加網(wǎng)絡(luò)安全的成本，增加系統(tǒng)的額外開支。采用軟件型的防火墻，成本使用低廉，安裝方便，而且軟件型防火墻有共享版本或者免費(fèi)的版本，經(jīng)過規(guī)劃定制之后，系統(tǒng)的內(nèi)部安全性就可以由企業(yè)內(nèi)部的工作人員來完成。

2.1.4 安全性與可擴(kuò)展性

防火墻對系統(tǒng)的安全進(jìn)行防護(hù)雖然比較簡單，但并不是說系統(tǒng)的就是比較相對的安全，這就要求系統(tǒng)能夠具有良好的可擴(kuò)展性。例如在防火墻的規(guī)則集中，除系統(tǒng)管理員外，阻塞外界所有的人員訪問防火墻，運(yùn)行用戶用過Internet和內(nèi)部網(wǎng)絡(luò)訪問Web服務(wù)器。

2.2 防火墻選擇的原則

在對防火墻產(chǎn)品進(jìn)行選擇時(shí)，不僅要能夠滿足企業(yè)的網(wǎng)絡(luò)安全防護(hù)的需要，同時(shí)還要求防火墻具能夠做到多層防護(hù)的功能。

2.2.1 訪問控制

設(shè)定必要的網(wǎng)絡(luò)接入防護(hù)措施，根據(jù)企業(yè)的需要建立特定的訪問控制體系，將網(wǎng)絡(luò)攻擊者在達(dá)到客戶端之前進(jìn)行阻止.

2.2.2 攻擊監(jiān)控

在防火墻內(nèi)設(shè)置網(wǎng)段，建立網(wǎng)絡(luò)攻擊監(jiān)控體系，對網(wǎng)絡(luò)通訊信息進(jìn)行監(jiān)控，發(fā)現(xiàn)存在病毒攻擊時(shí)，能夠主動(dòng)出擊，進(jìn)行防御.

2.2.3 加密通信

對通訊信息進(jìn)行加密，保證網(wǎng)絡(luò)通訊的核心信息的安全，使得攻擊者不能修改通訊的敏感信息。

2.2.4 身份認(rèn)證

建設(shè)防火墻身份認(rèn)證，有效的阻止病毒的攻擊.

2.2.5 多層防御

在攻擊者突破防火墻時(shí)，主動(dòng)關(guān)閉網(wǎng)絡(luò).

2.2.6 隱藏內(nèi)部信息

使得網(wǎng)絡(luò)攻擊者得不到網(wǎng)絡(luò)內(nèi)部的基本信息.

2.2.7 安全監(jiān)控中心

運(yùn)用防火墻技術(shù)為網(wǎng)絡(luò)管理提供安全管理體系，及時(shí)的對網(wǎng)絡(luò)進(jìn)行監(jiān)控管理。

從網(wǎng)絡(luò)的安全因素進(jìn)行分析，防火墻技術(shù)對網(wǎng)絡(luò)的安全提供首層保護(hù)措施，就需要對網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)、種類、時(shí)間、對象等因素進(jìn)行控制，然后通過防火墻對各個(gè)要素進(jìn)行監(jiān)控，這樣就會(huì)不可避免的消耗網(wǎng)絡(luò)的資源或者限制資源的有效利用，因此，采用防火墻技術(shù)往往會(huì)對網(wǎng)絡(luò)的服務(wù)、網(wǎng)速、性能等方面產(chǎn)生影響。同樣，網(wǎng)絡(luò)的安全往往還需要其他的軟硬件設(shè)備投入，無形中會(huì)增加企業(yè)的開支。因此，網(wǎng)絡(luò)安全的保障是需要進(jìn)行一定的投入，需要對網(wǎng)絡(luò)安全性能進(jìn)行有效的設(shè)計(jì)和管理。

3 防火墻的架構(gòu)

防火墻系統(tǒng)的基本結(jié)構(gòu)一般由屏蔽路由器和代理服務(wù)器組成，共同實(shí)現(xiàn)對網(wǎng)絡(luò)信息安全的保護(hù)。屏蔽路由器的功能是防止IP欺騙攻擊，剔除網(wǎng)絡(luò)中模仿IP地址攻擊的病毒，它結(jié)構(gòu)簡單，成本較低，缺點(diǎn)是建立過濾規(guī)則比較困難。目前，一些商家已經(jīng)開發(fā)出相應(yīng)的過濾規(guī)則，以及用戶身份的登陸協(xié)議，保證用戶遠(yuǎn)程登陸的安全等。代理服務(wù)器主要是屏蔽一些用戶的非法請求，對用戶的身份認(rèn)證、日志記錄和用戶的賬戶管理等功能容易實(shí)現(xiàn)。新一代的防火墻甚至可以阻止內(nèi)部人員故意破壞數(shù)據(jù)，同時(shí)也能夠?qū)⒎阑饓υO(shè)置在網(wǎng)絡(luò)之前，減少外來網(wǎng)絡(luò)的攻擊。防護(hù)墻建立一個(gè)可靠的規(guī)則集，并將所有的規(guī)則集中在一起，切斷默認(rèn)防火墻的不必要的服務(wù)，網(wǎng)絡(luò)內(nèi)部的人可以通過防火墻訪問外網(wǎng)，然后，添加鎖定規(guī)則，拒絕規(guī)則外的任何防火墻訪問，除系統(tǒng)管理員外，任何人都不能訪問防火墻。

4 小結(jié)

防火墻的核心思想是保證網(wǎng)絡(luò)的安全，在具體的應(yīng)用中需要根據(jù)具體的情況設(shè)計(jì)網(wǎng)絡(luò)防火墻，應(yīng)該重點(diǎn)的考慮防火墻的架構(gòu)、應(yīng)用和具體的實(shí)現(xiàn)情況，然后根據(jù)防火墻的應(yīng)用設(shè)計(jì)不同網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]阮燦華.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].福建電腦，2014（06）.

[2]劉益洪，陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信技術(shù)，2015（04）.

作者單位

山東海警第一支隊(duì)機(jī)要信息化科 山東省威海市 264200