基于防火墻的網(wǎng)絡(luò)安全策略

劉麗君

摘 要：社會(huì)的進(jìn)步以及計(jì)算機(jī)技術(shù)的快速發(fā)展，使互聯(lián)網(wǎng)走進(jìn)了千家萬戶。目前，互聯(lián)網(wǎng)已經(jīng)成為人們生活的一部分，為人們帶來了很大的便利，但是在享受這種便利的同時(shí)，人們還常常受到網(wǎng)絡(luò)上不安全因素的困擾。針對互聯(lián)網(wǎng)安全問題，文章以基于防火墻的網(wǎng)絡(luò)安全策略為主題，圍繞網(wǎng)絡(luò)安全問題、網(wǎng)絡(luò)安全特征、防火墻的特征和類型以及防火墻的具體應(yīng)用進(jìn)行簡單探討。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；安全策略；類型

互聯(lián)網(wǎng)技術(shù)在給人們帶來便利的同時(shí)，也給人們帶來了一些安全隱患，尤其是Internet的出現(xiàn)，更是加劇了安全隱患。自互聯(lián)網(wǎng)興起以來，世界各國均發(fā)生過互聯(lián)網(wǎng)黑客案件，世界上一半以上的計(jì)算機(jī)都曾遭受過黑客的攻擊，銀行、金融行業(yè)更甚，加強(qiáng)網(wǎng)絡(luò)安全是人們不容忽視的一個(gè)問題。網(wǎng)絡(luò)安全涉及到的內(nèi)容很多，也有很多安全技術(shù)，其中最常見的是防火墻技術(shù)，它為網(wǎng)絡(luò)安全帶來了保障，目前已經(jīng)得到了廣泛的推廣。

1 網(wǎng)絡(luò)安全策略與防火墻

1.1 網(wǎng)絡(luò)安全策略

目前，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分，人們在互聯(lián)網(wǎng)上進(jìn)行商品交易、郵件互傳、資金轉(zhuǎn)賬等活動(dòng)，如果網(wǎng)絡(luò)存在安全威脅，那么人們的財(cái)產(chǎn)以及一些個(gè)人信息也將會(huì)受到威脅，實(shí)施網(wǎng)絡(luò)安全策略，就是為了在一定程度上增強(qiáng)網(wǎng)絡(luò)的安全性，從而保護(hù)用戶的安全。常見的威脅網(wǎng)絡(luò)安全的因素體現(xiàn)在以下幾個(gè)方面，如操作系統(tǒng)自身漏洞、防火墻設(shè)置不當(dāng)、用戶的有意破壞等，針對這些問題，制定相關(guān)的網(wǎng)絡(luò)安全策略勢在必行[1]。

1.2 網(wǎng)絡(luò)安全特征

網(wǎng)絡(luò)安全是人們使用互聯(lián)網(wǎng)進(jìn)行活動(dòng)的前提、是最重要的保障。一個(gè)安全的網(wǎng)絡(luò)環(huán)境，應(yīng)該具備以下九個(gè)特征：一是要具有保密性，保證用戶的個(gè)人信息和資料不被泄露，所有的一切活動(dòng)都建立在授權(quán)的基礎(chǔ)上；二是要具有真實(shí)性，用戶在互聯(lián)網(wǎng)上進(jìn)行一些賬戶注冊時(shí)，要保證其信息是真實(shí)的，鑒別真?zhèn)伪闶钦鎸?shí)性需要解決的問題；三是要具有完整性，保證信息的完整，使其不受到惡意的破壞；四是要具有可靠性，在一定的時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)能夠完成預(yù)先設(shè)定的要求；五是要具有可用性，網(wǎng)絡(luò)信息在被授權(quán)的情況下，可以被用戶獲取并使用；六是具有非抵賴性，對網(wǎng)絡(luò)信息資源進(jìn)行操作的用戶，其真實(shí)性被確定，因此對于其的網(wǎng)絡(luò)行為不可抵賴；七是具有可控性，對于一些不良的網(wǎng)絡(luò)信息要進(jìn)行控制，使其不能在網(wǎng)絡(luò)上進(jìn)行傳播；八是具有授權(quán)功能，能授權(quán)給予某些特定用戶，使其具有訪問一些資源的權(quán)利；九是具有認(rèn)證功能，被授權(quán)的用戶，需要通過身份認(rèn)證才能行使權(quán)力。

1.3 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全技術(shù)的一種，它的防護(hù)效果最佳，已經(jīng)受到越來越多的重視。防火墻是一個(gè)硬件和軟件結(jié)合的系統(tǒng)，它處在專用網(wǎng)絡(luò)和共用網(wǎng)絡(luò)之間，為內(nèi)部網(wǎng)絡(luò)構(gòu)筑了一層保護(hù)墻，保護(hù)內(nèi)部網(wǎng)絡(luò)的用戶不受到網(wǎng)絡(luò)安全威脅，因此被稱為防火墻。每一臺聯(lián)網(wǎng)的計(jì)算機(jī)都應(yīng)該設(shè)有防火墻，只有通過防火墻，用戶才可以進(jìn)行數(shù)據(jù)傳輸，即安全的數(shù)據(jù)通過防火墻傳輸出去，而存在隱患的數(shù)據(jù)被攔截。黑客在進(jìn)行網(wǎng)絡(luò)入侵時(shí)，只有先通過防火墻，才能得到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。因此，加強(qiáng)防火墻技術(shù)對網(wǎng)絡(luò)安全具有十分重要的意義。

2 防火墻的常見類型

2.1 包過濾型防火墻

包過濾型防火墻是最基礎(chǔ)的防火墻技術(shù)，其在網(wǎng)絡(luò)分包傳輸技術(shù)的基礎(chǔ)上產(chǎn)生，工作原理比較簡單。通常情況下，數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候，都是通過“包”的形式進(jìn)行傳輸，即將需要傳輸?shù)臄?shù)據(jù)信息分割成一個(gè)個(gè)的數(shù)據(jù)包，以數(shù)據(jù)包的形式進(jìn)行傳輸。數(shù)據(jù)包在通過防火墻的時(shí)候，防火墻會(huì)對數(shù)據(jù)包內(nèi)所含有的源信息進(jìn)行判斷，如果發(fā)現(xiàn)安全隱患，那么該數(shù)據(jù)包將會(huì)被攔截。該類型的防火墻簡單實(shí)用，成本較低，但是安全系數(shù)不夠高，只能在一定程度上保護(hù)網(wǎng)絡(luò)的安全性，在面對一些高危險(xiǎn)病毒的時(shí)候，該類型防火墻往往會(huì)識別不出來，導(dǎo)致網(wǎng)絡(luò)安全受到威脅。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻

網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有IP地址的用戶以及其網(wǎng)絡(luò)中的任何一臺電腦訪問因特網(wǎng)，且在內(nèi)部網(wǎng)絡(luò)進(jìn)行外部訪問時(shí)，防火墻將會(huì)將訪問外部的源地址和源端口偽裝成另一個(gè)源地址和源端口，使用偽裝之后的地址與外部網(wǎng)絡(luò)進(jìn)行連接，從而對用戶的真實(shí)的IP地址起到保護(hù)的作用。當(dāng)外部的網(wǎng)絡(luò)要對內(nèi)部的網(wǎng)絡(luò)進(jìn)行訪問的時(shí)候，防火墻會(huì)根據(jù)偽裝時(shí)設(shè)定的信息來對訪問進(jìn)行判斷，當(dāng)訪問符合預(yù)先設(shè)定的規(guī)則時(shí)，訪問將會(huì)被允許，否則將會(huì)被拒絕。網(wǎng)絡(luò)地址轉(zhuǎn)換型的防火墻是不需要用戶進(jìn)行特定設(shè)置的，用戶在使用會(huì)聯(lián)網(wǎng)的過程中，該類型防火墻將會(huì)自動(dòng)起到保護(hù)作用。

2.3 代理型防火墻

代理型防火墻又稱為代理服務(wù)器，其保護(hù)作用要高于包過濾型防火墻。代理服務(wù)器置于客戶機(jī)和服務(wù)器之間，主要用于阻擋兩者進(jìn)行數(shù)據(jù)交流。對于客戶機(jī)來說，代理服務(wù)器可以看為一臺真正的服務(wù)器，而對于服務(wù)器來說，代理服務(wù)器又是一臺真正的客戶機(jī)。代理服務(wù)器的工作原理是，用戶必須通過代理服務(wù)器才能從服務(wù)器上獲取所需要的數(shù)據(jù)，代理服務(wù)器在這里扮演著橋梁的角色，代理服務(wù)器作為用戶與服務(wù)器之間的橋梁，向服務(wù)器傳達(dá)用戶的需求，服務(wù)器將所需數(shù)據(jù)傳輸給代理服務(wù)器，最后由代理服務(wù)器將數(shù)據(jù)傳輸給用戶。在網(wǎng)絡(luò)中，外部服務(wù)器和內(nèi)部服務(wù)器之間是不連通的，因此內(nèi)部數(shù)據(jù)在通過代理服務(wù)器進(jìn)行傳輸時(shí)可以免受外部網(wǎng)絡(luò)的侵害。代理型服務(wù)器的安全性能高，但是設(shè)置過程復(fù)雜，系統(tǒng)管理不易。

2.4 監(jiān)測型防火墻

監(jiān)測型防火墻是近年來新開發(fā)的一門防火墻技術(shù)，該類型的防火墻能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)實(shí)現(xiàn)隨時(shí)隨地的監(jiān)測，且該類型防火墻的分布十分廣泛，帶有分布式的探測器，其防護(hù)效果極高[2]。監(jiān)測型防火墻在一定程度上超出了傳統(tǒng)的防火墻的定義，其性能優(yōu)于其他類型的防火墻，但是由于該類型防火墻的實(shí)現(xiàn)成本比較昂貴，因此該類型的防火墻還沒得到廣泛的應(yīng)用和推廣。目前，考慮到成本等多方面因素，用戶可以選擇性地設(shè)置防火墻，在滿足安全需要的同時(shí)對成本進(jìn)行控制。

3 防火墻技術(shù)的具體應(yīng)用

3.1 內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務(wù)器的入口處，通過對外部的訪問者進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，而處于內(nèi)部網(wǎng)絡(luò)的用戶，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶可以訪問規(guī)劃內(nèi)的路徑?？偟膩碚f，內(nèi)網(wǎng)中的防火墻主要起到以下兩個(gè)作用：一是認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程的特點(diǎn)，只有在約束的情況下，通過相關(guān)認(rèn)證才能進(jìn)行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。

3.2 外網(wǎng)中的防火墻技術(shù)

應(yīng)用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進(jìn)入內(nèi)網(wǎng)。針對外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ淖饔孟?，內(nèi)網(wǎng)對于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

4 結(jié)束語

在信息化的今天，網(wǎng)絡(luò)安全具有十分重要的意義，防火墻技術(shù)作為保護(hù)網(wǎng)絡(luò)安全的屏障，已經(jīng)受到越來越多的重視。文章對網(wǎng)絡(luò)安全進(jìn)行了介紹，隨后重點(diǎn)分析了幾種類型的防火墻以及防火墻的具體應(yīng)用。通過以上分析可知，防火墻技術(shù)在保護(hù)網(wǎng)絡(luò)完全方面具有很大的優(yōu)勢，但是該技術(shù)也不是一勞永逸的，網(wǎng)絡(luò)在發(fā)展，新的安全隱患也在不斷產(chǎn)生，因此，對于防火墻技術(shù)的研究也是不能中斷的。發(fā)展防火墻技術(shù)，保護(hù)網(wǎng)絡(luò)安全，是相關(guān)工作人員不斷追求的目標(biāo)。

參考文獻(xiàn)

[1]李敏.試析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊，2011（7）：24-26.

[2]賈筱景.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].達(dá)縣師范高等?？茖W(xué)校學(xué)報(bào)，2011（2）：37-39.