吳佳鋒

摘 要：防火墻作為提高網(wǎng)絡(luò)安全性的主要措施之一，在日益發(fā)展的信息技術(shù)和網(wǎng)絡(luò)技術(shù)背景下，將面臨更大的挑戰(zhàn)，因此，還需要對其作進(jìn)一步研究。對網(wǎng)絡(luò)防火墻作的作用進(jìn)行了分析，并對其關(guān)鍵技術(shù)進(jìn)行了簡要探討。

關(guān)鍵詞：網(wǎng)絡(luò)安全；嵌入式防火墻；黑客；訪問記錄

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.06.135

在計算機網(wǎng)絡(luò)應(yīng)用效率不斷提高的背景下，其中的安全問題也面臨著更大的挑戰(zhàn)。防火墻是提高網(wǎng)絡(luò)環(huán)境安全性的主要方式之一，要想合法、有效和完整地保證計算機網(wǎng)絡(luò)安全，就需要進(jìn)一步研究其關(guān)鍵技術(shù)。因此，我們應(yīng)結(jié)合網(wǎng)絡(luò)安全需求，不斷優(yōu)化和完善，爭取進(jìn)一步提高防火墻的保護作用。

1 網(wǎng)絡(luò)防火墻作用分析

1.1 提高網(wǎng)絡(luò)的安全性

防火墻可有效限制非法用戶的入侵行為，比如，網(wǎng)絡(luò)破壞者或黑客等進(jìn)入網(wǎng)絡(luò)內(nèi)部時，可禁止安全脆弱性服務(wù)和未授權(quán)的通信進(jìn)出網(wǎng)絡(luò)，從而通過此種方式避免來自網(wǎng)絡(luò)的安全威脅。

1.2 限制暴露用戶點

采用防火墻可實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的劃分，對網(wǎng)絡(luò)中的網(wǎng)段進(jìn)行隔離，避免對一個網(wǎng)段造成影響的安全威脅利用整個網(wǎng)絡(luò)傳播，從而對局部重點或敏感網(wǎng)絡(luò)安全問題進(jìn)行限制，最終確保全局網(wǎng)絡(luò)的正常運行。此外，防火墻還可以保護一個網(wǎng)段不受到來自其他網(wǎng)段的攻擊，通過用戶身份認(rèn)證的方式保證用戶的合法性，即防火墻以事先確定的安全檢查策略為基礎(chǔ)，確定內(nèi)部用戶可享有的服務(wù)權(quán)限。

1.3 網(wǎng)絡(luò)訪問記錄和監(jiān)控

所有在單一網(wǎng)絡(luò)接入點進(jìn)出的信息都必須經(jīng)過防火墻，因此，防火墻可以對網(wǎng)絡(luò)存取和訪問的各類信息進(jìn)行收集并記錄，且防火墻還可以對網(wǎng)絡(luò)運行環(huán)境進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)安全威脅，則會及時報警。

1.4 網(wǎng)絡(luò)地址轉(zhuǎn)化

網(wǎng)絡(luò)防火墻可作為部署NAT的邏輯地址，在一定程度上緩解地址空間短缺問題，同時，還能消除結(jié)構(gòu)在變換ISP時產(chǎn)生的重新編址問題。

2 網(wǎng)絡(luò)防火墻關(guān)鍵技術(shù)分析

2.1 數(shù)據(jù)包過濾技術(shù)

包過濾技術(shù)，即在網(wǎng)絡(luò)環(huán)境中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行選擇性通過處理。其中，數(shù)據(jù)包的選擇依據(jù)為系統(tǒng)內(nèi)設(shè)置的過濾原則，對于滿足過濾規(guī)則的數(shù)據(jù)包可執(zhí)行轉(zhuǎn)發(fā)或丟棄處理；對于未滿足過濾原則的數(shù)據(jù)包則進(jìn)行刪除處理。此項技術(shù)的主要目的是對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行控制和操作，以過濾原則為基礎(chǔ)，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾，并選擇相應(yīng)方式進(jìn)行處理。此外，包過濾技術(shù)還可以分析并監(jiān)控整個信息系統(tǒng)的運行狀態(tài)和會話，保證整個網(wǎng)絡(luò)運行環(huán)境的安全性；可控制站點與站點、網(wǎng)絡(luò)與網(wǎng)絡(luò)和站點與網(wǎng)絡(luò)之間的相互訪問，但不可以對傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行控制。

包過濾技術(shù)實現(xiàn)的基礎(chǔ)為過濾路由器，它是一種硬件設(shè)備，可以對普通路由器進(jìn)行功能性擴展，以及PC機安裝相應(yīng)軟件，比如常見的通過修改Linux內(nèi)核，即可以讓Linux主機具備包過濾功能。包過濾防護墻一般安裝在路由器、服務(wù)器或雙宿網(wǎng)關(guān)等位置，從而起到相應(yīng)的防護作用。

2.2 分布式防火墻技術(shù)

分布式防護墻技術(shù)是一種新型的防火墻體系結(jié)構(gòu)，主要包括主機防護墻、網(wǎng)絡(luò)防火墻和中心管理三個部分。其中，主機防火墻的主要作用為充當(dāng)網(wǎng)絡(luò)服務(wù)器和保護桌面系統(tǒng)，主機的物理位置可以選在企業(yè)網(wǎng)內(nèi)或外；一般需要將網(wǎng)絡(luò)防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、內(nèi)網(wǎng)與子網(wǎng)之間，主要支持內(nèi)網(wǎng)可能存在的IP和非IP協(xié)議；中心管理是分布式防火墻技術(shù)的核心部分，主要起到收集、匯總?cè)罩竞桶踩呗苑职l(fā)的作用，并將防火墻安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中作用于各主機。這種防護技術(shù)可以實現(xiàn)對網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部各節(jié)點和各子網(wǎng)之間的安全防護，具有錯層次、多協(xié)議和內(nèi)外綜合防護的優(yōu)點。

2.3 嵌入式防火墻技術(shù)

嵌入式防火墻即內(nèi)嵌于路由器或交換機的防火墻，現(xiàn)在其已經(jīng)成為部分路由器的標(biāo)準(zhǔn)配置。在安裝時，用戶可以購買防火墻模塊，并將其安裝到已有的交換機或路由器中即可。這種防火墻技術(shù)可作用于網(wǎng)絡(luò)中的每一臺PC、服務(wù)器或筆記本。分布于整個網(wǎng)絡(luò)的嵌入式防火墻可使用戶更加方便地訪問信息，且用戶所具有的各項網(wǎng)絡(luò)資源不會被暴露在非法入侵者面前。此外，嵌入式防火墻分布結(jié)構(gòu)還可以避免因系統(tǒng)中一臺端點被入侵，進(jìn)而影響整個網(wǎng)絡(luò)的情況發(fā)生，同時，還可以以身份驗證的方式確保用戶的合法身份，允許其進(jìn)入具備限制訪問權(quán)限的計算機系統(tǒng)中，從而保證非法用戶無法進(jìn)入系統(tǒng)。

可以將嵌入式防火墻技術(shù)具有的安全防范功能進(jìn)一步延伸到邊緣防火墻范圍之外，甚至可以分布到網(wǎng)絡(luò)的各個終端，即使是攻擊者通過了防火墻的防護，并取得了運行防火墻主機的控制權(quán)，也無法對其他主機進(jìn)行攻擊。

3 結(jié)束語

防火墻是維護網(wǎng)路系統(tǒng)安全運行的重要方式之一，現(xiàn)已經(jīng)被廣泛應(yīng)用于計算機防護中。在計算機網(wǎng)絡(luò)技術(shù)和信息技術(shù)快速發(fā)展的背景下，網(wǎng)絡(luò)運行安全面臨著更大的挑戰(zhàn)。因此，我們需要對所有的防火墻技術(shù)進(jìn)行分析，并在現(xiàn)有基礎(chǔ)上，對各項新型技術(shù)進(jìn)行研究，從而不斷提高防火墻的安全防護效果。

參考文獻(xiàn)

[1]鄭偉.基于防火墻的網(wǎng)絡(luò)安全技術(shù)的研究[D].長春：吉林大學(xué)，2012.

〔編輯：張思楠〕