姚春

摘 要： 在當(dāng)今的科技水平下，對(duì)網(wǎng)絡(luò)安全進(jìn)行保障的一項(xiàng)關(guān)鍵措施就是防火墻技術(shù)。通過(guò)Internet防火墻可以杜絕未經(jīng)授權(quán)的非法用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，進(jìn)而使網(wǎng)絡(luò)中的重要信息免遭泄露和篡改，同時(shí)可使合法用戶順利地訪問(wèn)網(wǎng)絡(luò)中的信息。因此對(duì)于Internet防火墻的研究具有現(xiàn)實(shí)意義，可以在很大程度上改善網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞： Internet 防火墻技術(shù) 發(fā)展展望

隨著科技的發(fā)展，計(jì)算機(jī)已經(jīng)得到了越來(lái)越普遍的應(yīng)用，尤其是現(xiàn)今智能手機(jī)的普及，智能設(shè)備的應(yīng)用更是達(dá)到一個(gè)新的高峰。隨之而來(lái)的不僅是人們生活的方便，網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重。在我國(guó)，黑客入侵和病毒等的破壞帶給我國(guó)的經(jīng)濟(jì)損失也在不斷增加。怎樣保證網(wǎng)絡(luò)安全值得我們積極關(guān)注，我從Internet防火墻的角度提出自己的看法和見(jiàn)解。

1.防火墻技術(shù)淺析

1.1防火墻的概念

防火墻主要是指在不同網(wǎng)絡(luò)安全域之間或者是不同的網(wǎng)絡(luò)安全之間的一整套部件的組合。它是不同的網(wǎng)絡(luò)安全域或者網(wǎng)絡(luò)安全之間的唯一通路，可以根據(jù)企業(yè)的安全政策對(duì)出入網(wǎng)絡(luò)的信息流進(jìn)行控制，而且其本身也具有很強(qiáng)的抗攻擊能力。它是為信息安全提供基本服務(wù)，并且保證網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。從邏輯上來(lái)看，防火墻是一個(gè)限制器，分離器，同時(shí)是一個(gè)分析器，它可以有效地對(duì)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)進(jìn)行監(jiān)控，進(jìn)而保障內(nèi)網(wǎng)的安全。

1.2防火墻的主要功能

第一，包過(guò)濾。所謂包過(guò)濾即對(duì)互聯(lián)網(wǎng)數(shù)據(jù)的安全進(jìn)行保護(hù)的一種機(jī)制，利用包過(guò)濾，可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流出和流入進(jìn)行有效控制。包過(guò)濾主要由不同的安全規(guī)則構(gòu)成。第二，地址轉(zhuǎn)換。其可以分為兩種形式，分別是源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。通過(guò)源地址轉(zhuǎn)換可以將內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)隱藏及將外部網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)換以免遭外部網(wǎng)絡(luò)的惡意攻擊。第三，應(yīng)用代理和認(rèn)證。認(rèn)證就是對(duì)訪問(wèn)防火墻的訪問(wèn)者進(jìn)行身份確認(rèn)。代理即是指防火墻自身內(nèi)置的認(rèn)證數(shù)據(jù)庫(kù)。第四，路由和透明。所謂透明主要是指將防火墻的網(wǎng)管給隱蔽起來(lái)，進(jìn)而避免外來(lái)網(wǎng)絡(luò)的惡意攻擊，與此同時(shí)，還杜絕了外部沒(méi)有進(jìn)行授權(quán)的訪問(wèn)者對(duì)專(zhuān)用網(wǎng)絡(luò)的非法訪問(wèn)。另外，防火墻也提供路由方式，可以讓內(nèi)部的多個(gè)子網(wǎng)之間進(jìn)行安全訪問(wèn)。

2.防火墻技術(shù)的發(fā)展展望

防火墻技術(shù)的不斷發(fā)展已經(jīng)引起了個(gè)人和企業(yè)的極大關(guān)注，并且隨著網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，防火墻會(huì)向深度和廣度兩個(gè)方面繼續(xù)發(fā)展。怎樣讓防御既有深度又積極主動(dòng)，怎樣讓防火墻的網(wǎng)絡(luò)邊界防御力度更大，怎樣使防火墻的處理性能更好，怎樣使防火墻小型化、硬件化，改善其單獨(dú)抵御攻擊的能力，是以后網(wǎng)絡(luò)安全系統(tǒng)升級(jí)的重要方向。

2.1未來(lái)防火墻關(guān)鍵技術(shù)的展望

2.1.1實(shí)現(xiàn)高速檢測(cè)的防火墻

通過(guò)對(duì)微碼編程的網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)進(jìn)行應(yīng)用，不但可以及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)，而且對(duì)IPV6有很好的兼容性，還可以集成很多硬件協(xié)處理單元，進(jìn)而使高速檢測(cè)變得切實(shí)可行和方便。如果將其硬件化，則不僅會(huì)大大改善防火墻的執(zhí)行速度，而且可降低由防火墻引起的網(wǎng)絡(luò)延時(shí)?，F(xiàn)今基于ACL算法的防火墻，因?yàn)閼?yīng)用協(xié)議不斷增加的限制，不能很好地對(duì)應(yīng)用層進(jìn)行高速檢測(cè)。

2.2.2信息單向流入的防火墻

因?yàn)榫W(wǎng)絡(luò)的不斷普及，其需求也日漸增加，防火墻也慢慢朝著硬件化和專(zhuān)業(yè)化的趨勢(shì)發(fā)展。所謂單向防火墻即指信息的單向流動(dòng)，數(shù)據(jù)只能從外網(wǎng)流入到內(nèi)網(wǎng)，而不能由內(nèi)網(wǎng)流到外網(wǎng)，進(jìn)而達(dá)到保密的效果。

2.2.3有效防范黑客、病毒的攻擊

因?yàn)镮P/TCP協(xié)議中漏洞的存在，防火墻很難對(duì)服務(wù)類(lèi)的攻擊進(jìn)行防御。比如說(shuō)序列號(hào)預(yù)測(cè)及IP欺騙，已經(jīng)成為防火墻較難防御種類(lèi)的一部分。但是如果在防火墻中嵌入智能芯片，則可以有效地對(duì)惡意數(shù)據(jù)流量進(jìn)行識(shí)別，并且阻斷惡意病毒和數(shù)據(jù)的攻擊。

2.2.4區(qū)域聯(lián)防技術(shù)

隨著網(wǎng)絡(luò)非法技術(shù)的不斷升級(jí)和發(fā)展，防火墻主機(jī)面臨的安全威脅越來(lái)越大，由此對(duì)防火墻的系統(tǒng)結(jié)構(gòu)進(jìn)行升級(jí)是一件緊迫而必要的事。新型防火墻需要將個(gè)人計(jì)算機(jī)型防火墻和主機(jī)型防火墻相結(jié)合，并提取傳統(tǒng)防火墻中的優(yōu)勢(shì)，全方位地對(duì)防火墻的防衛(wèi)結(jié)構(gòu)進(jìn)行優(yōu)化。其主要目的在于將各區(qū)域聯(lián)合起來(lái)，通過(guò)聯(lián)防來(lái)抵御網(wǎng)絡(luò)的攻擊行為。各個(gè)終端需要都需要設(shè)置一定的防護(hù)功能，并通過(guò)彼此之間的相互防衛(wèi)，保證網(wǎng)絡(luò)的信息安全。

2.2.5深度檢測(cè)

隨著專(zhuān)門(mén)針對(duì)于應(yīng)用層的WEB的攻擊越來(lái)越多，導(dǎo)致?tīng)顟B(tài)檢測(cè)的防火墻的有效性越來(lái)越低。所謂深度檢測(cè)防火墻，即將應(yīng)用防火墻技術(shù)和狀態(tài)檢測(cè)相結(jié)合，對(duì)應(yīng)用程序的流量進(jìn)行綜合處理，使其對(duì)數(shù)據(jù)流量能夠迅速完成網(wǎng)絡(luò)層級(jí)別的檢測(cè)。深度檢測(cè)的特征主要包括協(xié)議的一致性、應(yīng)用層的加密或者是解密、雙向負(fù)載檢測(cè)等。

3.結(jié)語(yǔ)

當(dāng)今，防火墻技術(shù)已經(jīng)得到個(gè)人和企業(yè)的廣泛關(guān)注，隨著因特網(wǎng)技術(shù)的快速更新?lián)Q代，也要求防火墻技術(shù)進(jìn)行不斷升級(jí)。只有對(duì)過(guò)去和現(xiàn)今防火墻所面臨的問(wèn)題進(jìn)行全面總結(jié)和分析，才可以更好地把握住網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，進(jìn)而深入而全面地改善防火墻技術(shù)，更好地保障個(gè)人和企業(yè)的信息安全，為大眾謀福利。

參考文獻(xiàn)：

[1]林曉東，楊義先，馬嚴(yán)等.Internet防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信學(xué)報(bào)，1998，19（1）.

[2]張曉林.Internet防火墻[J].現(xiàn)代制造技術(shù)與裝備，2013（1）：62-64.

[3]黃黎寧.Internet防火墻系統(tǒng)的設(shè)計(jì)[J].大觀周刊，2012（17）：131-132.

[4]宋駿飛.Internet防火墻的設(shè)計(jì)與實(shí)現(xiàn)[D].南京理工大學(xué)，2011.DOI：10.7666/d.y1919547.