防火墻技術(shù)在計算機安全構(gòu)建中的應(yīng)用

張建強

摘要：計算機網(wǎng)絡(luò)給人們的生產(chǎn)生活帶來諸多便利，但網(wǎng)絡(luò)信息傳輸中也面臨泄漏、竊取風險，為保證網(wǎng)絡(luò)信息傳輸安全，人們研發(fā)并應(yīng)用各種安全技術(shù)，其中防火墻技術(shù)是杰出代表，應(yīng)用較為普遍。文章對防火墻類型及功能作簡單分析，探討其在計算機安全構(gòu)建中的應(yīng)用，以供參考。

關(guān)鍵詞：防火墻；技術(shù)；計算機安全

防火墻技術(shù)是由硬件與軟件組合而成的網(wǎng)絡(luò)訪問控制器，依據(jù)一定的安全規(guī)則對流過防火墻的網(wǎng)絡(luò)包進行控制，以保證網(wǎng)絡(luò)安全。目前防火墻由多種類型，構(gòu)建計算機網(wǎng)絡(luò)時可根據(jù)實際情況加以應(yīng)用。

1 防火墻類型

目前，防火墻類型較多，包括包過濾防護墻、狀態(tài)檢測防火墻、代理防火墻等，這些防火墻在維護計算機網(wǎng)絡(luò)安全中發(fā)揮重要作用防火墻的部署位置如圖l所示。其中包過濾防火墻充當“通信警察”的角色，依據(jù)防火墻規(guī)則表判斷接收或拒絕包，即，防火墻依據(jù)規(guī)則對每個包進行檢查，看是否相符，如均不相符則拒絕接收。另外，還可基于傳輸控制協(xié)議（ Transmission Control Protocol，TCP）或用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）的對數(shù)據(jù)包的端口號進行定義，確定是否建立特定連接。

狀態(tài)檢測防火墻在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上引入狀態(tài)檢測表，實現(xiàn)對訪問包的放行或攔截判斷。其包括TCP包與UDP包處理兩個方面。針對TCP包，如沒有建立相關(guān)規(guī)則處理外部連接請求，防火墻作丟棄處理。如內(nèi)部需要與外部主機通訊，防火墻對連接包進行注明，允許響應(yīng)便可進行包的傳輸，直到連接任務(wù)完成為止。針對UDP包，如傳入的包攜帶的協(xié)議與地址和傳出連接請求匹配，則允許通過，否則丟棄。

代理防火墻對進出的數(shù)據(jù)包進行檢查，利用自身網(wǎng)關(guān)復(fù)制傳遞信息，避免非受信與受信主機間直接通信。該類防火墻基于應(yīng)用層，不僅對一些復(fù)雜的訪問進行控制，而且還能做嚴格、精細的審核與注冊。代理防火墻的工作流程為：客戶機提出訪問服務(wù)器數(shù)據(jù)請求時，該請求首先發(fā)送至代理服務(wù)器，代理服務(wù)器根據(jù)請求向服務(wù)器索取相關(guān)數(shù)據(jù)后，再將數(shù)據(jù)傳輸給客戶機。代理防火墻避免內(nèi)外系統(tǒng)間的直接通信，降低外部入侵內(nèi)部網(wǎng)絡(luò)概率。

2 防火墻功能

基于計算機網(wǎng)絡(luò)安全需求，防火墻具備的功能較多，包括過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、審計與報警等。其中過濾是防火墻的基本功能，通過過濾判斷是否進行通信，降低訪問行為可能帶來的危險。例如，對統(tǒng)一資源定位符（Uniform Resource Locator， URL）過濾可限制內(nèi)網(wǎng)訪問某些站點或相關(guān)目錄等。

所謂網(wǎng)絡(luò)地址轉(zhuǎn)換指防火墻對內(nèi)部主機IP地址進行翻譯，防止外部監(jiān)視器探測到主機IP，即，當網(wǎng)絡(luò)數(shù)據(jù)包進入防火墻時，系統(tǒng)會依據(jù)設(shè)置的NAT規(guī)則對數(shù)據(jù)包進行檢測，如符合某條規(guī)則，則基于規(guī)則轉(zhuǎn)換數(shù)據(jù)包，并建立一條NAT進程。如有包返回，則基于進程表做相關(guān)的處理。NAT模式包括端口地址轉(zhuǎn)換、動態(tài)地址池分配、靜態(tài)地址映射3種形式，其中端口地址轉(zhuǎn)換時，管理員可設(shè)置共有Internet地址負責轉(zhuǎn)換端口地址，用戶訪問會映射至IP池中的IP端口上；動態(tài)地址池分配指根據(jù)設(shè)置好的共有Internet地址，隨機將沒有使用的IP地址給用戶，用戶訪問結(jié)束便收回；靜態(tài)地址映射指在內(nèi)外IP地址間構(gòu)建一一對應(yīng)的靜態(tài)映射關(guān)系，外部人員訪問外網(wǎng)時，不需要與外網(wǎng)直接相連，保汪內(nèi)網(wǎng)的安全性。

3 防火墻應(yīng)用策略

在明確防火墻類型與功能的基礎(chǔ)上，如何結(jié)合企業(yè)業(yè)務(wù)特點，做好防火墻部署，充分發(fā)揮防火墻的防護作用，保證企業(yè)網(wǎng)絡(luò)的安全性，一直是人們研究的熱點。筆者結(jié)合自身工作實踐認為部署防火墻時應(yīng)認真落實以下內(nèi)容。

3.1 明確防火墻應(yīng)用步驟

為保證防火墻的合理部署，提高部署工作效率，應(yīng)用防火墻技術(shù)時應(yīng)結(jié)合受保護網(wǎng)絡(luò)的實際情況，明確部署步驟，把握部署工作要點，確保各細節(jié)考慮與落實到位。一般情況部署防火墻時可遵守以下步驟。

首先，認真分析企業(yè)網(wǎng)絡(luò)安全需求，將網(wǎng)絡(luò)劃分成若干、合理的區(qū)域。在區(qū)域之間設(shè)置訪問網(wǎng)絡(luò)的控制點。其次，認真分析各控制點可能發(fā)出的網(wǎng)絡(luò)訪問請求，制定對應(yīng)的邊界安全策略，基于此，確定應(yīng)用的防火墻技術(shù)以及防護結(jié)構(gòu)。再次，給防火墻配置相關(guān)的邊界安全策略，認真測試邊界安全策略，看運行是否正常，發(fā)現(xiàn)問題及時進行處理。最后，正式運行防火墻。同時，做好防火墻日常維護，保證防火墻防火性能的正常發(fā)揮。

3.2 遵守防火墻應(yīng)用原則

部署計算機防火墻時應(yīng)從設(shè)計、產(chǎn)品選取角度認真分析，遵守一定的原則。一方面，設(shè)計防火墻時應(yīng)保持設(shè)計的簡單性，保證防火墻運行效率的同時，便于后期的維護。同時，還應(yīng)安排事故計劃，結(jié)合以往經(jīng)驗，對防火墻運行中可能遇到的問題進行評估與論證，制定相關(guān)的預(yù)防策略，防止防火墻故障影響網(wǎng)絡(luò)的正常使用。另一方面，保證防火墻產(chǎn)品選取的合理性。當前防火墻產(chǎn)品較多，部署防火墻產(chǎn)品時應(yīng)綜合考慮防火墻基本功能、企業(yè)特殊需求以及用戶的訪問需求等。同時，認真考慮以下細則：防火墻產(chǎn)品應(yīng)有掛鉤程序或先進的認證手段，應(yīng)用的認證方法應(yīng)安全、先進；界面應(yīng)友好，方便編程以部署各種安全策略；為滿足用戶Gopher，超文本傳輸協(xié)議（ Hyper Text Transfer Protocol，HTTP），網(wǎng)絡(luò)新聞傳輸協(xié)議（Network News Transport Protocol，NNTP）需要，防火墻應(yīng)包含相關(guān)的代理服務(wù)程序，另外，具備精簡日志的能力等。

3.3 做好防火墻規(guī)則設(shè)置

防火前各種功能的實現(xiàn)，需要管理員設(shè)置相關(guān)規(guī)則，防火墻依據(jù)設(shè)置的規(guī)則，對數(shù)據(jù)包進行判斷，確定允許訪問還是拒絕訪問，因此，防火墻安全規(guī)則設(shè)置是否合理直接影響防火墻安全作用的發(fā)揮。防火墻設(shè)置內(nèi)容較多，包括賬號口令設(shè)置、訪問控制設(shè)置。地址轉(zhuǎn)換設(shè)置、日志管理設(shè)置等。以CISCO PIX防火墻為例，對NAT功能進行設(shè)置。

內(nèi)網(wǎng)地址向外網(wǎng)地址的轉(zhuǎn)換：

Nat （inside）1 192.168.1.0 255.255.255.0

Global （outside）1 10.1.1.1 10.1.1.4

內(nèi)網(wǎng)地址向外網(wǎng)地址的映射：

Static （inside， outside） 10.1.1.5 192.168.0.1

Static （inside， outside） tcp 10.1.1.5 8080 192.168.1.1 80

NAT 0的作用設(shè)置

Access-Iist net permit ip 192.168.0.0 255.255.255.0any

Nat （inside）0 access-list net

另外，防火墻安全策略設(shè)置完成后，為避免因考慮不全面而出現(xiàn)問題，應(yīng)做好防火墻運行調(diào)試，保證防火墻各種訪問控制策略，無異常、穩(wěn)定運行。

3.4 加強防火墻安全管理

企業(yè)部署好防火墻后，并非萬事大吉，還應(yīng)做好防火墻運行中各種不良問題的預(yù)防工作，保證防火墻防火性能的正常發(fā)揮，具體應(yīng)認真落實以下工作內(nèi)容。

首先，做好防火墻運行監(jiān)視。為及時發(fā)現(xiàn)異常，處理非法訪問與攻擊行為，管理員應(yīng)切實履行自身管理職責，定期登錄防火墻查看訪問日志，研究與分析發(fā)生攻擊行為的IP地址，及時進行封堵，防止攻擊的進一步加劇。其次，做好相關(guān)工作優(yōu)化。為提高工作效率，防火墻管理人員可將防火墻日志統(tǒng)一傳輸至日志收集服務(wù)器上，方便、系統(tǒng)的對防火墻訪問情況進行研究、分析。同時，做好防火墻配置策略、日志文件的定期備份。最后，做好防火墻系統(tǒng)維護。為防止非法分子利用防火墻系統(tǒng)漏洞攻擊企業(yè)內(nèi)網(wǎng)，針對硬件防火墻，管理員應(yīng)定期登錄防火墻設(shè)備生產(chǎn)廠家官網(wǎng)，了解安全公告，及時下載與修補防火墻系統(tǒng)漏洞。針對軟件防火墻管理員應(yīng)將防火墻的自動更新功能打開，使其能及時下載、安裝廠家發(fā)布的補丁。

4 結(jié)語

防火墻技術(shù)在保證網(wǎng)絡(luò)安全上發(fā)揮重要作用，隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，防火墻防護性能較之間有很大提升，出現(xiàn)很多類型、功能強大的防火墻產(chǎn)品，應(yīng)用中企業(yè)應(yīng)結(jié)合自身實際，做好規(guī)劃研究，保證所用防火墻產(chǎn)品的合理性。本研究得出以下結(jié)論：

（1）當前防火墻類型較多，包括過濾防護墻、狀態(tài)檢測防火墻、代理防火墻等，究竟選用何種類型的防火墻，需要企業(yè)根據(jù)自身業(yè)務(wù)特點加以確定。另外，為提高內(nèi)外安全性可綜合采用多種防火墻技術(shù)。

（2）部署防火墻時，應(yīng)在明確防火墻功能的基礎(chǔ)上進行，保證軟硬件設(shè)置的合理性，促進防火墻防護作用的充分發(fā)揮。目前防火墻產(chǎn)品的功能有過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT.審計與報警等，企業(yè)設(shè)置防火墻功能時，應(yīng)根據(jù)自己業(yè)務(wù)運用相關(guān)功能。

（3）企業(yè)部署防火墻時不能盲目，明確防火墻部署步驟，遵守一定的部署原則，做好安全策略規(guī)則設(shè)置，同時，還應(yīng)認真落實防火墻運行期間的維護工作。