張亞威 徐其崗

摘要：隨著計算機網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，防火墻技術(shù)是近年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它實際上是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問,也可以使用它阻止保密信息從受保護網(wǎng)絡(luò)上被非法輸出。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；外部網(wǎng)絡(luò)；內(nèi)部網(wǎng)絡(luò)1概念

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

2防火墻的作用

⑴自然是撐起網(wǎng)路的保護傘。防火墻都會制定自己的規(guī)則，凡是符合規(guī)則的一律放行，不符合規(guī)則的一律禁止，當然這些規(guī)則可以由網(wǎng)路管理員來自己制定，但是某些防火墻或許只能使用內(nèi)置規(guī)則。

⑵強化網(wǎng)絡(luò)安全策略，本來網(wǎng)絡(luò)安全問題是由各個安全軟件獨立處理，而防火墻可以有效的把所有安全軟件配置在防火墻上，以防火墻為中心統(tǒng)一調(diào)用。防火墻的集中安全管理更經(jīng)濟，更安全。

⑶防火墻還有一個重要的功能就是防止信息外泄，隱私應該是每個上網(wǎng)用戶最關(guān)心的問題，現(xiàn)在正是隱私泄露的敏感時期，因此更受到用戶的關(guān)心，而防火墻可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，使本機的域名和IP地址不會被外界所了解，能有效的阻止信息外泄。

3防火墻的基本分類

⑴包過濾防火墻。第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質(zhì)上，包過濾防火墻是多址的，表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。

⑵狀態(tài)/動態(tài)檢測防火墻。狀態(tài)/動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術(shù)來做到這點的。

⑶應用程序代理防火墻。應用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。

⑷個人防火墻?，F(xiàn)在網(wǎng)絡(luò)上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

4防火墻的局限性

⑴防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。

⑵防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。

⑶防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。

⑷防火墻不能防止利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊。一旦防火墻準許某些標準網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進行的攻擊。

5發(fā)展趨勢

⑴高性能的防火墻需求。高性能防火墻是未來發(fā)展的趨勢，突破高性能的極限就是對防火墻硬件結(jié)構(gòu)的調(diào)整。而對于高端防火墻的技術(shù)實現(xiàn)，現(xiàn)今主要分為三種方式：基于通用處理器的工控機架構(gòu)、基于NP技術(shù)、基于ASIC芯片技術(shù)。

⑵管理接口和SOC的整合。如果把信息安全技術(shù)看做是一個整體行為的話，那么面對防火墻未來的發(fā)展趨勢，管理接口和SOC整合也必須考慮在內(nèi)，畢竟安全是一個整體，而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運營工作的推行，SOC做為一種安全管理的解決方案已經(jīng)得到大力推廣。

⑶抗DoS能力。從近年來網(wǎng)絡(luò)惡性攻擊事件情況分析來看，解決DoS攻擊也是防火墻必須要考慮的問題了。做為網(wǎng)絡(luò)的邊界設(shè)備，一旦發(fā)生爭用帶寬和大流量攻擊事件后，往往最先失去抵抗能力的就是發(fā)生在這里。而提高防火墻抗擊DoS能力的技術(shù)問題，也在纏繞著廣大防火墻廠商。在新型技術(shù)不斷更新的今天，各個廠家已經(jīng)把矛頭指向了解決DoS問題上來。

⑷對入侵行為的智能切斷。安全是一個動態(tài)的過程，而對于入侵行為的預見和智能切斷，做為邊界安全設(shè)備的防火墻來說，也是未來發(fā)展的一大課題。從IPS的出發(fā)角度考慮，未來防火墻必須具備這項功能，因為客戶不可能為了僅僅一個邊界安全而去花兩份錢。那么，具備對入侵行為智能切斷的一個整合型、多功能的防火墻，將是市場的需求。

[參考文獻]

[1]王鐵方,李濤.蜜網(wǎng)與防火墻及入侵檢測的無縫結(jié)合的研究與實現(xiàn)[J]. 四川師范大學學報(自然科學版),2005,(01).

[2]高曉蓉.基于Linux的防火墻[J].揚州職業(yè)大學學報,2003,(04).

[3]鐘建偉.基于防火墻與入侵檢測技術(shù)的網(wǎng)絡(luò)安全策略[J].武漢科技學院學報,2004,(04).