防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性研究

◆權(quán) 園

?

防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性研究

◆權(quán) 園

(通信站 北京 100000)

在信息時代下，互聯(lián)網(wǎng)與計算機已經(jīng)融入現(xiàn)實生活中的各個領(lǐng)域，并為人們的生活與工作帶來了很多的便利，但由于互聯(lián)網(wǎng)本身具有開放性的特點，各種各樣的網(wǎng)絡(luò)安全問題隨之產(chǎn)生，而防火墻技術(shù)作為保護計算機網(wǎng)絡(luò)安全的有效技術(shù)措施，其重要性自然也就變得越來越高。為此，本文對現(xiàn)代社會網(wǎng)絡(luò)安全防護中防火墻技術(shù)的常見類型進行了分析，并對其在網(wǎng)絡(luò)安全防御體系中的有效運用展開了探討。

防火墻技術(shù)；網(wǎng)絡(luò)安全；數(shù)據(jù)

0 引言

防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，這種技術(shù)能夠在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立起一道“防火墻”，以阻擋來自外部網(wǎng)絡(luò)的非法訪問和不安全的數(shù)據(jù)傳遞，保護本地系統(tǒng)和網(wǎng)絡(luò)免受各種網(wǎng)絡(luò)安全威脅，是目前網(wǎng)絡(luò)安全防范工作中最為常見的網(wǎng)絡(luò)安全技術(shù)之一。因此，對于防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性的研究是非常具有現(xiàn)實意義的。

1 防火墻技術(shù)的常見類型

（1）包過濾型防火墻

在各類防火墻技術(shù)中，包過濾型防火墻是最早被作為網(wǎng)絡(luò)安全保護措施使用的一種防火墻技術(shù)，這一技術(shù)最開始只能夠作用于網(wǎng)絡(luò)層，因此被稱為靜態(tài)過濾技術(shù)，后來隨著技術(shù)的不斷發(fā)展，傳輸層也被納入包過濾型防火墻的工作范圍之內(nèi)，成為現(xiàn)在的動態(tài)過濾技術(shù)。簡單來說，包過濾型防火墻實際上就是對數(shù)據(jù)層與網(wǎng)絡(luò)層內(nèi)進出的數(shù)據(jù)進行分析與比對，判斷數(shù)據(jù)包與防火墻過濾規(guī)則相匹配，一旦發(fā)現(xiàn)有不匹配的數(shù)據(jù)包，就執(zhí)行預(yù)先設(shè)定的阻止命令，將數(shù)據(jù)包丟棄。此外，目前市面上普遍使用的動態(tài)包過濾型防火墻還會對已經(jīng)發(fā)送的數(shù)據(jù)包進行跟蹤檢測，一旦發(fā)現(xiàn)其對系統(tǒng)產(chǎn)生威脅，就可以直接對現(xiàn)有的防火墻過濾規(guī)則進行補充或修改。包過濾型防火墻具有安全性較高、成本低、容易實現(xiàn)等優(yōu)勢，但同時由于整個過濾工作是建立在防火墻過濾規(guī)則的基礎(chǔ)上進行的，因此往往存在一些沖突與漏洞，在判斷數(shù)據(jù)包威脅的準確性上也不夠高，缺點也是十分明顯的[1]。

（2）應(yīng)用代理型防火墻

應(yīng)用代理型防火墻的出現(xiàn)晚于包過濾型防火墻，主要是為了對包過濾型防火墻的缺陷進行彌補，因此這一技術(shù)相比于包過濾型防火墻在網(wǎng)絡(luò)安全防護上更為全面。應(yīng)用代理型防火墻以小型代理服務(wù)器的形式存在，這個代理服務(wù)器中被嵌入了應(yīng)用協(xié)議分析技術(shù)，能夠進行有效的數(shù)據(jù)過濾檢測，同時由于這種技術(shù)以應(yīng)用層作為工作范圍，因此能夠?qū)?shù)據(jù)報的最終形式進行過濾檢測，檢測形式更加高級、全面，除了能夠?qū)?shù)據(jù)層所獲取的信息進行分析判斷外，還能夠?qū)崿F(xiàn)對可能危害的分辨。此外，由于應(yīng)用代理型防火墻采用了代理服務(wù)器，因此所有的內(nèi)外部網(wǎng)絡(luò)通信不僅需要由代理服務(wù)器進行審核，還會由代理服務(wù)器進行連接，這很好杜絕了內(nèi)部網(wǎng)絡(luò)被數(shù)據(jù)驅(qū)動滲透的可能，實現(xiàn)了更加完善的網(wǎng)絡(luò)安全防護。但需要注意的是，應(yīng)用代理型防火墻在使用代理服務(wù)器建立連接時，代理程序需要一定時間來完成進程，從而造成一定的延遲，一旦需要進行大量的數(shù)據(jù)交換時，數(shù)據(jù)流量就會超越代理服務(wù)器的限度，從而使網(wǎng)絡(luò)癱瘓的概率大大增加，而這一缺陷也使得應(yīng)用代理型防火墻的應(yīng)用范圍受到了很大的限制。

（3）狀態(tài)監(jiān)視型防火墻

狀態(tài)監(jiān)視型防火墻是在動態(tài)包過濾型防火墻的基礎(chǔ)上建立起來的，主要是通過狀態(tài)監(jiān)視模塊對數(shù)據(jù)包的相關(guān)數(shù)據(jù)進行抽取，從而實現(xiàn)分層次的網(wǎng)絡(luò)通信監(jiān)控，另外，狀態(tài)監(jiān)控技術(shù)同樣需要防火墻過濾規(guī)則進行配合，這一點與包過濾型防火墻十分相似[2]。之所以說狀態(tài)監(jiān)視型防火墻是建立在動態(tài)包過濾型防火墻的基礎(chǔ)上，不僅是因為這一技術(shù)使用了防火墻過濾規(guī)則，更重要的是狀態(tài)監(jiān)控技術(shù)同樣會分析數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議、地址、端口以及類型等多方面的信息。而與包過濾型防火墻不同的是，狀態(tài)監(jiān)控技術(shù)在此基礎(chǔ)上添加了會話過濾功能。這一功能能夠在內(nèi)外部網(wǎng)絡(luò)建立通信連接的同時，主動構(gòu)造會話狀態(tài)，并將前文提到的數(shù)據(jù)包的一系列信息納入會話狀態(tài)中來，這樣就可以將之后的數(shù)據(jù)傳輸與會話狀態(tài)中的信息進行比對，從而實現(xiàn)多種信息的全面監(jiān)控?？偟膩碚f，狀態(tài)監(jiān)控技術(shù)相較于其他兩種防火墻技術(shù)沒有明顯的缺陷，是目前較為先進的技術(shù)，但由于實現(xiàn)技術(shù)十分復(fù)雜，因此在現(xiàn)階段尚未得到廣泛應(yīng)用。

2 防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中的有效運用

（1）防火墻技術(shù)在訪問策略方面的應(yīng)用

在對防火強技術(shù)的應(yīng)用中，在訪問策略中的應(yīng)用是最為核心的內(nèi)容之一，主要是對網(wǎng)絡(luò)資源的訪問權(quán)與使用權(quán)進行限制，以免遭到非法使用與非法訪問，造成不必要的損失，而訪問策略的制定則離不開防火墻技術(shù)。首先，防火墻技術(shù)需要對當前網(wǎng)絡(luò)的運行信息進行劃分并分析安全價值。其次，要對網(wǎng)絡(luò)運行的個性地址進行詳細的了解，進而網(wǎng)絡(luò)運行的特點進行準確判斷，并以此為基礎(chǔ)做出明確、合理的安全保護規(guī)劃。最后還要將訪問策略的活動信息記錄下來，形成能夠自主調(diào)節(jié)的策略表對防火墻技術(shù)的網(wǎng)絡(luò)安全保護行為進行規(guī)范，提高網(wǎng)絡(luò)安全保護效率。

（2）防火墻技術(shù)在數(shù)據(jù)安全方面的應(yīng)用

數(shù)據(jù)是網(wǎng)絡(luò)資源中最為主要的一種形式，如個人財務(wù)數(shù)據(jù)、密碼信息、各單位的財務(wù)信息，科研機構(gòu)院校的實驗數(shù)據(jù)等在網(wǎng)絡(luò)信息時代下通常都會以數(shù)據(jù)的形式儲存在計算機中，因而對于數(shù)據(jù)安全的保護也成為防火墻技術(shù)應(yīng)用的重要內(nèi)容。需要明確的是，數(shù)據(jù)存儲并不等于數(shù)據(jù)得到了防火墻的保護，目前通過防火墻技術(shù)對數(shù)據(jù)安全的防護有很多，但大多處于初級階段，總體上不夠成熟、完善，其中較為有效的有數(shù)據(jù)庫攻擊特征阻斷防護、撞庫防護、數(shù)據(jù)庫虛擬補丁等。

（3）防火墻技術(shù)在日志監(jiān)控方面的應(yīng)用

日志監(jiān)控主要是指對防火墻技術(shù)在攔截外部網(wǎng)絡(luò)入侵時產(chǎn)生的保護日志進行監(jiān)控，保護日志雖然不會對網(wǎng)絡(luò)安全產(chǎn)生直接的影響，但用戶卻可以對保護日志中的信息進行分析，了解被攔截信息的具體情況，從而得到錯誤攔截率、攔截頻率等數(shù)據(jù)，找到攔截策略中的不出之處，進而通過重新設(shè)置來加以改進[3]。在防火墻應(yīng)用中，保護日志會記錄大量的攔截信息，這些信息并非全部具有分析價值，因此采集部分具有價值的關(guān)鍵日志即可，如系統(tǒng)警告等，而對于流量信息則可以選擇性的采集。此外，在面對病毒問題時，用戶往往會在清除病毒后建立新的攔截策略，這時就可以通過對流量信息的檢測來確定攔截策略的有效性。

（4）防火墻技術(shù)在安全配置方面的應(yīng)用

防火墻技術(shù)中的安全配置實際上就是對網(wǎng)絡(luò)的模塊化管理，系統(tǒng)會對內(nèi)部網(wǎng)絡(luò)安全的性質(zhì)進行分析，并根據(jù)網(wǎng)絡(luò)重要性的不同將防范區(qū)域分為不同的級別，對于網(wǎng)絡(luò)安全級別高的模塊會進行重點管理與保護，而對于網(wǎng)絡(luò)安全級別較低的模塊則會適當降低保護程度。從具體上來看，就是對重點保護的網(wǎng)絡(luò)模塊利用防火墻技術(shù)進行隔離，將其與其他不重要的網(wǎng)絡(luò)模塊分割開來，這樣不同網(wǎng)絡(luò)安全級別的網(wǎng)絡(luò)模塊間同樣可以共同組成內(nèi)部局域網(wǎng)，但由于重點保護的網(wǎng)絡(luò)模塊受到了防火墻技術(shù)的保護，因此受到外部網(wǎng)絡(luò)入侵攻擊的可能性大大降低，內(nèi)部網(wǎng)絡(luò)的安全性也因此大大提升。

（5）防火墻技術(shù)應(yīng)用需要注意的問題

經(jīng)過數(shù)十年來的發(fā)展，當前的防火墻技術(shù)雖然已經(jīng)比較成熟，但部分弊端仍然未能得到有效解決，因此在基于防火墻技術(shù)的網(wǎng)絡(luò)安全防御體系建設(shè)中，仍然需要對這些問題加以注意。首先，防火墻能夠?qū)?jīng)過網(wǎng)絡(luò)邊界的信息進行過濾與檢測，但對于不經(jīng)過網(wǎng)絡(luò)邊界的數(shù)據(jù)信息卻毫無作用，而這也將會成為網(wǎng)絡(luò)安全防御體系的漏洞，因此，網(wǎng)絡(luò)安全防御體系還需利用其他技術(shù)，對內(nèi)部網(wǎng)絡(luò)安全問題、內(nèi)部通過撥號網(wǎng)絡(luò)直接與外網(wǎng)連接等情況進行有效防范。其次，防火墻本身在設(shè)計上同樣有可能存在漏洞，而這些漏洞則會給不法分子的網(wǎng)絡(luò)入侵提供可乘之機，因此在對硬件或軟件防火墻進行應(yīng)用時，必須要對其設(shè)計合理性進行檢測，以免其存在嚴重的設(shè)計漏洞。

3 結(jié)束語

總而言之，計算機網(wǎng)絡(luò)安全問題在現(xiàn)代社會已經(jīng)得到了高度重視，而各種類型的防火墻技術(shù)也在網(wǎng)絡(luò)安全防御體系中得到了廣泛應(yīng)用，但要想為網(wǎng)絡(luò)安全提供切實保障，還需要在未來對防火墻技術(shù)的進行更加深入研究與創(chuàng)新，從而使其能夠在網(wǎng)絡(luò)安全防御體系中發(fā)揮出更大的作用。

[1]張雪.防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019(02)：14+49.

[2]喬巧.計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用探究[J].企業(yè)科技與發(fā)展，2019(02)：178-179.

[3]徐晨莉.淺析防火墻技術(shù)在計算機安全構(gòu)建中的應(yīng)用[J].電腦知識與技術(shù)，2018，14(07)：39-40.