王志丹

本文介紹了防火墻的概念、主要技術(shù)、相關(guān)的校園網(wǎng)應(yīng)用，分析了防火墻技術(shù)在Internet安全上的重要作用，并提出其優(yōu)點(diǎn)和不足之處。防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，在網(wǎng)絡(luò)安全中具有舉足輕重的地位，使用一個(gè)安全、穩(wěn)定、可靠的防火墻是非常重要的。

【關(guān)鍵詞】網(wǎng)絡(luò) 防火墻 安全

隨著計(jì)算機(jī)的應(yīng)用由單機(jī)發(fā)展到網(wǎng)絡(luò)，網(wǎng)絡(luò)面臨著大量的安全威脅，其安全問題日益嚴(yán)重，日益成為廣泛關(guān)注的焦點(diǎn)。大家紛紛為自己的內(nèi)部網(wǎng)絡(luò)“筑墻”，防病毒與防黑客成為確保信息系統(tǒng)安全的基本手段。

1 防火墻的基本概念

防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，所有從因特網(wǎng)流入或流向因特網(wǎng)的信息按照此策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。防火墻加強(qiáng)了網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

2 目前的防火墻主要有以下三種技術(shù)

2.1 包過濾技術(shù)

這種防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包，無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，也無法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。

2.2 代理技術(shù)

代理服務(wù)軟件運(yùn)行在一臺(tái)主機(jī)上構(gòu)成代理服務(wù)器，負(fù)責(zé)截獲客戶的請(qǐng)求，并且根據(jù)它的安全規(guī)則來決定這個(gè)請(qǐng)求是否允許。如果允許的話，這個(gè)請(qǐng)求才傳給真正的防火墻。狀態(tài)檢測(cè)技術(shù)：

狀態(tài)監(jiān)控防火墻的安全性能特別好，它使用的軟件引擎在網(wǎng)關(guān)來執(zhí)行網(wǎng)絡(luò)安全策略，監(jiān)控模塊。不影響網(wǎng)絡(luò)的安全，正常工作的前提下，提取相應(yīng)的數(shù)據(jù)存儲(chǔ)、更新狀態(tài)數(shù)據(jù)及上下文信息、監(jiān)控通信層。

3 防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著學(xué)院網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，校園網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡(luò)的安全也就越來越嚴(yán)竣。

3.1 校園網(wǎng)防火墻部署

防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：

（1）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。

（2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。

（3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP 地址和以C地址的對(duì)應(yīng)表，防止IP地址被盜用。

（4）在局域網(wǎng)的入口架設(shè)千兆防火墻，并實(shí)現(xiàn)VNP的功能，在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障，VPN保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。

（5）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

（6）允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。

3.2 校園網(wǎng)防火墻配置

默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：

（1）拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。

（2）允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。

4 防火墻技術(shù)優(yōu)點(diǎn)、缺點(diǎn)

4.1 使用防火墻系統(tǒng)的優(yōu)點(diǎn)

（1）可以對(duì)網(wǎng)絡(luò)安全進(jìn)行集中控制和管理。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上，在結(jié)構(gòu)上形成了一個(gè)控制中心，大大加強(qiáng)了網(wǎng)絡(luò)安全，并簡(jiǎn)化了網(wǎng)絡(luò)管理。

（2）由于防火墻在結(jié)構(gòu)上的特殊位置，使其方便地提供了監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用及預(yù)警。

（3）為解決IP的地址危機(jī)提供了可行方案。由于Internet的日益發(fā)展及其IP地址空間的有限，使得用戶無法獲得足夠的注冊(cè)IP地址。防火墻系統(tǒng)則正處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置，NAT有助于緩和IP地址空間的不足，并使得一個(gè)結(jié)構(gòu)改變Internet服務(wù)提供商時(shí)而不必重新編址。

（4）防火墻系統(tǒng)可以作為Internet信息服務(wù)器的安裝地點(diǎn)，對(duì)外發(fā)布信息。防火墻可作為企業(yè)向外部用戶發(fā)布信息的中心聯(lián)絡(luò)點(diǎn)。防火墻可以配置允許外部用戶訪問這些服務(wù)器，而又禁止外部未授權(quán)的用戶對(duì)內(nèi)部網(wǎng)絡(luò)上的其它系統(tǒng)資源進(jìn)行訪問。

4.2 防火墻的缺點(diǎn)

（1）防火墻不能防范不經(jīng)由防火墻的攻擊。例如：如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制地向外撥號(hào)。一些用戶可以形成與Internet的直接連接，從而繞過防火墻，造成一個(gè)潛在的后門攻擊渠道，所以應(yīng)該保證內(nèi)部網(wǎng)與外部網(wǎng)之間通道的唯一性。

（2）防火墻不能防止感染了病毒的軟件或文件的傳輸.這只能在每臺(tái)主機(jī)上裝反病毒的實(shí)時(shí)監(jiān)控軟件。

（3）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。所以對(duì)于來歷不明的數(shù)據(jù)要先進(jìn)行殺毒或者程序編碼辨證，以防止帶有后門程序。

5 結(jié)束語

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)、國(guó)防和教育等方面的重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性將變得十分重要。

參考文獻(xiàn)

[1]陳柏良，嚴(yán)國(guó)輝編著.電子商務(wù)[M].北京：北京理工大學(xué)出版社，2011.

[2]吳秀梅主編，畢燁，王見，傅嘉偉編著.防火墻及應(yīng)用教程[M].北京：清華大學(xué)出版社，2010.

[3]榮海迅.防火墻技術(shù)及其發(fā)展趨勢(shì)剖析[J].淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008（03）.

[4]閻慧等著.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.

[5]陳翔，高可用.強(qiáng)管理的新一代防火墻[J].計(jì)算機(jī)世界，2006.

[6]魏利華.網(wǎng)絡(luò)安全：防火墻技術(shù)研究[J]. 淮陰工業(yè)學(xué)院學(xué)報(bào)，2003（10）.

[7]郝玉潔，常征.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報(bào)（社科版），2002（01）.

作者單位

麗江師范高等?？茖W(xué)校 云南省麗江市 674100endprint