構(gòu)建物聯(lián)網(wǎng)的網(wǎng)絡(luò)防火墻安全體系

寧啟智

摘要：智能時代再也不是科幻片中人們向往的場景，而是真真切切出現(xiàn)在我們的生活中。互聯(lián)網(wǎng)和物聯(lián)網(wǎng)已經(jīng)悄然改變著我們普通人的生活。但是，很多人對互聯(lián)網(wǎng)的安全問題不夠明確，安全意識也很淡薄，那么對將來物聯(lián)網(wǎng)的安全問題更是會忽視，那么后果是相當(dāng)嚴(yán)重的。在很多人看來，如果網(wǎng)暫時斷了，不會對我們的生活造成太大的影響，郵件或者聊天記錄也會時時保存。但是，如果物聯(lián)網(wǎng)或者智能電網(wǎng)被攻破，那么不僅會危及國家安全，人民的生命財產(chǎn)也會相當(dāng)危險，這不得不說是一種筆危害個人生命還要危險的行為。

關(guān)鍵詞：物聯(lián)網(wǎng)；防火墻；安全體系架構(gòu)

【中圖分類號】TP393.08【文獻(xiàn)標(biāo)識碼】A【文章編號】2236-1879（2017）12-0306-02

物聯(lián)網(wǎng)現(xiàn)在就像人們不可或缺的依靠，正在一步步走進(jìn)各行各業(yè)，而物聯(lián)網(wǎng)被攻擊的可能性也在一點一點地增加。那么物聯(lián)網(wǎng)的安全如何來保障呢？筆者就如何構(gòu)建物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻來提高物聯(lián)網(wǎng)的安全指數(shù)進(jìn)行討論。

1為什么要構(gòu)建物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻

物聯(lián)網(wǎng)的安全關(guān)系到國家安全和人民生命財產(chǎn)安全，所以設(shè)置和構(gòu)建強有力的網(wǎng)絡(luò)防火墻是物聯(lián)網(wǎng)工作的重中之重。將能夠加強ACL的裝置設(shè)置在不同網(wǎng)間，裝置以組合的形式存在。其作用就是對網(wǎng)絡(luò)進(jìn)行保護(hù)，在可信任的企業(yè)內(nèi)網(wǎng)和信任度低的公網(wǎng)中構(gòu)建防火墻，通過鏈接或者是可靠檢驗對外來者進(jìn)行檢驗，從而保護(hù)網(wǎng)絡(luò)不受到危害。

物聯(lián)網(wǎng)防火墻就像是一個網(wǎng)絡(luò)警察，將所有的不規(guī)范行為進(jìn)行屏蔽或者修改，將整個網(wǎng)絡(luò)的安全策略，無條件地執(zhí)行下去。構(gòu)建物聯(lián)網(wǎng)防火墻還有一個很重要的作用就是防止單網(wǎng)段傳播錯誤信息。防火墻能對很多網(wǎng)段同時監(jiān)控，如果發(fā)現(xiàn)問題，迅速將該網(wǎng)段隔離，并將網(wǎng)絡(luò)中的錯誤代碼和錯誤活動內(nèi)容進(jìn)行記錄和信息采集。物聯(lián)網(wǎng)防火墻將錯誤信息記錄，也能將潛在的危險屏蔽掉，從而保障物聯(lián)網(wǎng)的安全指數(shù)。在物聯(lián)網(wǎng)防火墻上設(shè)置監(jiān)控點，就像長城上的了望塔一樣，一發(fā)現(xiàn)危險，立刻限制訪客進(jìn)入，還可以將訪客驅(qū)逐，令其繞行。在物聯(lián)網(wǎng)上安裝限制器，分離器，分析器等等裝置，能很好的完成防火墻任務(wù)，保護(hù)物聯(lián)網(wǎng)的安全。

2如何構(gòu)建物聯(lián)網(wǎng)的防火墻安全體系

物聯(lián)網(wǎng)防火墻安全體系架構(gòu)有很多種類，每一種都有自己的特長和不足，我們在選擇安全體系架構(gòu)種類的時候，一定要根據(jù)自己的需要，綜合考慮各種因素，爭取最優(yōu)化運用。物聯(lián)網(wǎng)防火墻安全體系架構(gòu)基本上可以分成五種類型，下面筆者就逐一講解。

2.1主機型過濾架構(gòu)的優(yōu)缺點：

由于主機型過濾架構(gòu)的運行機制是由過濾Router和運行網(wǎng)關(guān)型的軟堡壘構(gòu)成，攻擊者需要先滲透處于內(nèi)網(wǎng)和外網(wǎng)之間的過濾Router，再攻破只與內(nèi)網(wǎng)連接的軟堡壘，才能達(dá)到目的。主機型過濾架構(gòu)從某種意義上是兩個不同類型的屏障在共同保護(hù)內(nèi)部網(wǎng)絡(luò)，可以快速有效的實現(xiàn)代理任務(wù)和交互認(rèn)證，對內(nèi)網(wǎng)進(jìn)行有效控制。由于過濾主機成為網(wǎng)絡(luò)安全的“單失效點”，會被黑客集中攻擊，因此也是網(wǎng)絡(luò)中最需要防護(hù)的節(jié)點。主機型過濾架構(gòu)具備相對低成本、易操作、易維護(hù)、安全性好等特點，被很多需要安全網(wǎng)絡(luò)的環(huán)境所采用。

2.2過濾型Router架構(gòu)的優(yōu)缺點：

這種架構(gòu)可以視作是對Router進(jìn)行安全功能附加，它針對由Router轉(zhuǎn)發(fā)的包進(jìn)行操作者要求的更嚴(yán)格檢查。無論對于機器還是操作者，Router的工作都是可查詢的。因此這種架構(gòu)更加透明，價格甚至比主機過濾架構(gòu)更加便宜，對網(wǎng)絡(luò)造成的延遲極小，當(dāng)然也更容易遭到破壞，并且維護(hù)相對困難。過濾路由也是“單失效點”，所不同的是，失效后相當(dāng)于安全的“大門”完全敞開，而我們要求失效點出現(xiàn)問題后，“大門”是關(guān)閉的，也就是說這種架構(gòu)不符合當(dāng)下要求的“安全失效”模態(tài)，正因為這樣，過濾路由架構(gòu)推廣受到了相當(dāng)大的局限。

2.3子網(wǎng)型過濾架構(gòu)的優(yōu)缺點：

這是主機型過濾架構(gòu)的加強版本，通過兩個過濾路由在內(nèi)外網(wǎng)之間構(gòu)建子網(wǎng)，甚至還可以在子網(wǎng)中構(gòu)建堡壘主機，也就是說所有數(shù)據(jù)都需要經(jīng)過子網(wǎng)的過濾和轉(zhuǎn)發(fā)，這使得數(shù)據(jù)更加安全，并且這種結(jié)構(gòu)破壞起來比較困難。因為外部的攻擊要繞過兩層路由和堡壘主機再進(jìn)行發(fā)現(xiàn)操作，想要在此過程中不切斷網(wǎng)絡(luò)或觸發(fā)鎖死和警報，已經(jīng)非常困難，如果網(wǎng)絡(luò)設(shè)置了更加嚴(yán)苛的訪問要求，則破壞變得更加困難。

2.4吊帶型架構(gòu)優(yōu)缺點：

這其實可以看做一種特殊的子網(wǎng)過濾型架構(gòu)，區(qū)別是將連接外網(wǎng)的過濾路由以及子網(wǎng)外置，將其構(gòu)建于本網(wǎng)周界或者直接尋找具有代理及Authentication服務(wù)的第三方Geteway，然后再經(jīng)過本網(wǎng)路由的過濾與內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸。目前來看，這是最安全的架構(gòu)模式了。

2.5雙宿主型主機架構(gòu)優(yōu)缺點：

這種架構(gòu)用一臺具備雙網(wǎng)卡的Host代替Router，兩個Interface分別負(fù)責(zé)與內(nèi)外網(wǎng)的通訊，用戶可通過向雙宿主機注冊或者代理的形式實現(xiàn)與外界通訊的網(wǎng)絡(luò)功能。主機的可控制安全范圍大于路由器，因此雙宿主機架構(gòu)相較于路由器的包過濾可以進(jìn)行更多的安全設(shè)置，但是雙宿主機本身極易受到攻擊，并且在一些層的服務(wù)上還是受到限制。

從安全性到提供服務(wù)的能力綜合來看，功能從弱到強依次是：過濾型Router、雙宿主型Host、主機過濾型、子網(wǎng)過濾型、吊帶型，在實際的選擇和使用過程中還需根據(jù)實際的安全級別要求、通訊服務(wù)要求以及預(yù)算等進(jìn)行合理安排。

3如何做好物聯(lián)網(wǎng)的網(wǎng)絡(luò)防火墻的創(chuàng)建工作

首先應(yīng)將所有有關(guān)安全的策略變成對應(yīng)的安全體系架構(gòu)。其次，公共內(nèi)網(wǎng)的數(shù)據(jù)即使是公司內(nèi)部員工訪問，也要建立安全級別確認(rèn)和密碼登陸系統(tǒng)。再其次，規(guī)則集合的落實是選擇好素材以后，首要做的事情。比如，添加鎖定，允許訪問郵件等等。最后，建立好規(guī)則集合以后，要對其進(jìn)行有針對性的檢測，檢測其能否進(jìn)行安全工作，防止發(fā)生犯錯。

總而言之，物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻的構(gòu)建，其作用是顯而易見的。我們只有按照安全要求和安全準(zhǔn)則去構(gòu)建防火墻，才能保證防火墻的安全性，從而保障國家信息安全和人民財產(chǎn)安全。

參考文獻(xiàn)

[1]張毅，唐紅.物聯(lián)網(wǎng)綜述[J].數(shù)字通信，2010（4）.

[2]王慧強.物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)及其應(yīng)用研究[J].大慶師范學(xué)報，2012（6）.