林云強(qiáng)

摘 要：在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全問(wèn)題頻發(fā)，應(yīng)用防火墻網(wǎng)絡(luò)安全技術(shù)有利于網(wǎng)絡(luò)更好的運(yùn)行，保障網(wǎng)絡(luò)環(huán)境的安全。闡述了防火墻的概念和作用，簡(jiǎn)要分析了防火墻的具體架構(gòu)，從多方面說(shuō)明了防火墻背景下的網(wǎng)絡(luò)安全技術(shù)要點(diǎn)，并探討了應(yīng)用防火墻的網(wǎng)絡(luò)安全技術(shù)，以期為人們提供有價(jià)值的參考。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全技術(shù)；身份驗(yàn)證；路由器

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2015.16.136

1 防火墻

防火墻是指在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道隔離防御系統(tǒng)。應(yīng)用防火墻最主要的目的是通過(guò)對(duì)網(wǎng)絡(luò)入、出環(huán)節(jié)的控制，促使各環(huán)節(jié)經(jīng)過(guò)防火墻的檢查，從而有效預(yù)防網(wǎng)絡(luò)遭到外來(lái)因素的破壞和干擾，達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)不受非法訪問(wèn)的目的。

2 防火墻的功能

2.1 可提高網(wǎng)絡(luò)的安全性能

防火墻的應(yīng)用能大幅度提升內(nèi)部網(wǎng)絡(luò)的安全性能，降低安全風(fēng)險(xiǎn)。比如，防火墻可以迫使NFS的進(jìn)、出受網(wǎng)絡(luò)保護(hù)。此外，防火墻還能保護(hù)網(wǎng)絡(luò)免受路由的攻擊，抵擋各種不安全因素，并通知管理員。

2.2 強(qiáng)化網(wǎng)絡(luò)安全

執(zhí)行站點(diǎn)安全策略配備在防火墻內(nèi)部，相比于傳統(tǒng)的將安全問(wèn)題分散到不同主機(jī)上的方式，這種集中安全管理的防火墻更加經(jīng)濟(jì)、安全。

2.3 監(jiān)控網(wǎng)絡(luò)的訪問(wèn)和存取

防火墻能有效記錄各種網(wǎng)絡(luò)活動(dòng)，遇到可疑的網(wǎng)絡(luò)活動(dòng)時(shí)會(huì)報(bào)警，并為網(wǎng)絡(luò)管理員提供全面的信息，比如誰(shuí)在訪問(wèn)網(wǎng)絡(luò)、在網(wǎng)路上訪問(wèn)哪些信息。一旦防火墻監(jiān)控到可疑動(dòng)作，就會(huì)自動(dòng)報(bào)警，并提供攻擊和監(jiān)測(cè)的具體信息。

2.4 保護(hù)內(nèi)部信息不被泄露

通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)和劃分，可實(shí)現(xiàn)對(duì)內(nèi)部重點(diǎn)網(wǎng)絡(luò)的保護(hù)和隔離，降低了重點(diǎn)局部網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)局域網(wǎng)內(nèi)部的影響。應(yīng)用防火墻后，網(wǎng)絡(luò)具有了加密和身份驗(yàn)證功能，進(jìn)一步降低了網(wǎng)絡(luò)暴露在外的風(fēng)險(xiǎn)，從而保護(hù)內(nèi)部信息不被泄露。

3 防火墻架構(gòu)分析

完整的防火墻由代理服務(wù)器和屏蔽路由器組成。通過(guò)屏蔽路由器可有效預(yù)防IP欺騙性攻擊。該系統(tǒng)硬件成本比較低、架構(gòu)簡(jiǎn)單，但因缺乏用戶身份驗(yàn)證和管理投資，很難建立包過(guò)濾規(guī)則。現(xiàn)階段，越來(lái)越多的路由生產(chǎn)廠家開(kāi)始關(guān)注并開(kāi)發(fā)具有過(guò)濾規(guī)則的用戶界面，積極制訂用戶身份標(biāo)準(zhǔn)認(rèn)證協(xié)議。通過(guò)代理服務(wù)器能有效識(shí)別、屏蔽和拒絕非法請(qǐng)求。在該系統(tǒng)中，具有賬號(hào)管理、記錄日志、身份認(rèn)證功能，但如果想全面提升安全保障力度，則需要建立應(yīng)用層對(duì)應(yīng)網(wǎng)關(guān)，但其不易被系統(tǒng)接受。該系統(tǒng)的具體實(shí)現(xiàn)方案是以部署內(nèi)部防火墻和外部防火墻的方式實(shí)現(xiàn)的。部署防火墻可有效過(guò)濾各種信息，保護(hù)敏感數(shù)據(jù)不被破壞和偷竊。同時(shí)，還能詳細(xì)記錄有關(guān)事件的發(fā)生時(shí)間與操作行為。

4 網(wǎng)絡(luò)安全技術(shù)要點(diǎn)分析

應(yīng)用防火墻能提高內(nèi)部網(wǎng)絡(luò)的安全性，但并不意味著能做到萬(wàn)無(wú)一失。深入分析防火墻的原理和實(shí)現(xiàn)方式后，筆者總結(jié)了以下技術(shù)要點(diǎn)。

4.1 合理選擇防火墻

作為一種對(duì)于網(wǎng)絡(luò)完全有效的防護(hù)方式，防火墻有多種實(shí)現(xiàn)方式。在合理選擇防火墻前，需要全面進(jìn)行風(fēng)險(xiǎn)分析、需求分析，進(jìn)一步制訂安全防范策略，從而有針對(duì)性地選擇防護(hù)方式，盡可能地保持安全政策與防護(hù)方式的統(tǒng)一性。

4.2 準(zhǔn)確評(píng)估防火墻失效問(wèn)題

在評(píng)價(jià)防火墻安全性和性能的過(guò)程中，需要查看防火墻運(yùn)行是否正常、能否阻擋非法訪問(wèn)或惡意攻擊；如果防火墻被攻破，則其狀態(tài)是怎樣的。按照一定的級(jí)別劃分，防火墻失效有4種情況：①在沒(méi)有被攻破時(shí)能正常工作；②在受到傷害時(shí)可以重新啟動(dòng)，并恢復(fù)至之前的工作界面；③禁止和關(guān)閉所有通行數(shù)據(jù)；④關(guān)閉且允許數(shù)據(jù)繼續(xù)通行。

第一種和第二種狀態(tài)比較理想，第四種狀態(tài)最不安全。在選擇防火墻的過(guò)程中，需要驗(yàn)證并準(zhǔn)確評(píng)估其失效狀態(tài)。

4.3 防火墻的動(dòng)態(tài)維護(hù)

在安裝防火墻和防火墻投入使用后，需對(duì)其運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)性維護(hù)，維護(hù)和跟蹤其發(fā)展動(dòng)態(tài)，時(shí)刻觀察動(dòng)態(tài)并與之保持聯(lián)系。一旦發(fā)現(xiàn)安全漏洞，則會(huì)積極推出補(bǔ)救措施，并及時(shí)更新防火墻。

4.4 可靠規(guī)則集的制訂

可靠規(guī)則集的制訂是使防火墻安全、有效的關(guān)鍵性步驟。如果防火墻的規(guī)則集不正確，則再?gòu)?qiáng)大的防火墻也起不到任何作用。

4.4.1 制訂安全性策略

應(yīng)由上級(jí)管理人員制訂安全防范策略，使防火墻成為實(shí)施安全防范策略的工具。在制訂規(guī)則集前，必須全面掌握安全策略，建設(shè)以下3方面的內(nèi)容：①內(nèi)部員工訪問(wèn)網(wǎng)絡(luò)不受限制；②外部用戶能使用Email服務(wù)器和Web服務(wù)器；③管理員能遠(yuǎn)程訪問(wèn)系統(tǒng)。從實(shí)際情況看，大部分部門(mén)的安全策略要遠(yuǎn)遠(yuǎn)超過(guò)上述內(nèi)容。

4.4.2 積極構(gòu)建安全體系

在將一項(xiàng)安全策略轉(zhuǎn)化成技術(shù)的過(guò)程中，內(nèi)部員工訪問(wèn)網(wǎng)絡(luò)不受限制是比較容易實(shí)現(xiàn)的，這是因?yàn)閮?nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)信息都允許在網(wǎng)絡(luò)中傳輸。對(duì)于外部用戶能使用Email服務(wù)器和Web服務(wù)器，需要建立Email服務(wù)器和Web服務(wù)器，這是因?yàn)樗腥硕寄茉L問(wèn)Email服務(wù)器和Web服務(wù)器，因此，不能信任所有人。鑒于此，可以將Email服務(wù)器和Web服務(wù)器放到DMZ中去實(shí)現(xiàn)，DMZ是一個(gè)孤立的網(wǎng)絡(luò)，經(jīng)常存放不被信任的系統(tǒng)。該網(wǎng)絡(luò)中的系統(tǒng)無(wú)法連接、啟動(dòng)內(nèi)部網(wǎng)絡(luò)。對(duì)于管理員遠(yuǎn)程訪問(wèn)系統(tǒng)而言，可通過(guò)加密服務(wù)的方式進(jìn)行。筆者建議在這一過(guò)程中加入DNS，雖然上述安全策略中未陳述此項(xiàng)內(nèi)容，但在實(shí)際運(yùn)營(yíng)過(guò)程中需積極提供該服務(wù)。

4.4.3 規(guī)則次序的制訂

規(guī)則次序的制訂非常重要。不同的規(guī)則次序排列相同的規(guī)則時(shí)，可能會(huì)徹底改變防火墻的運(yùn)行情況。比如，大部分防火墻按照順序?qū)?shù)據(jù)包進(jìn)行檢查，收到第一個(gè)數(shù)據(jù)包與第一條規(guī)則相對(duì)應(yīng)，收到第二個(gè)數(shù)據(jù)包與第二條規(guī)則相對(duì)應(yīng)，以此類(lèi)推。如果檢查到匹配選項(xiàng)，則會(huì)停止檢查；如果沒(méi)有找到匹配規(guī)則，則會(huì)拒絕該數(shù)據(jù)包。一般而言，比較特殊的規(guī)則應(yīng)放在前面，比較普通的規(guī)則應(yīng)放在后面。這樣的方式能有效避免防火墻的錯(cuò)誤配置。

4.4.4 落實(shí)規(guī)則集

一旦確認(rèn)了規(guī)則次數(shù)和安全防范策略，就要落實(shí)每條規(guī)則。在實(shí)際落實(shí)過(guò)程中，需要注意以下8個(gè)關(guān)鍵點(diǎn)：①切斷不必要的防火墻默認(rèn)服務(wù)；②內(nèi)部網(wǎng)絡(luò)的所有人都能出網(wǎng)，任何服務(wù)都被允許，與安全策略規(guī)定吻合；③增添鎖定規(guī)則，除管理員之外，其他人員都不能訪問(wèn)防火墻；④丟棄不匹配的數(shù)據(jù)包，且不記錄；⑤允許網(wǎng)絡(luò)用戶訪問(wèn)DNS，允許內(nèi)部用戶和網(wǎng)絡(luò)用戶依照郵件傳遞協(xié)議訪問(wèn)郵件服務(wù)器，允許內(nèi)部POP訪問(wèn)；不允許內(nèi)部用戶公開(kāi)訪問(wèn)DMZ；⑥拒絕、警告、記錄DMZ與內(nèi)部用戶之間的通話；⑦管理員能通過(guò)加密方式訪問(wèn)內(nèi)部網(wǎng)絡(luò)；⑧將最常用規(guī)則盡可能地放到規(guī)則集上部，進(jìn)一步提升防火墻的安全性能。

4.4.5 更換控制

合理制訂各項(xiàng)規(guī)則后，需標(biāo)注詳細(xì)、經(jīng)常更新這些規(guī)則。詳細(xì)的標(biāo)注能更好地指導(dǎo)人們認(rèn)識(shí)規(guī)則的具體內(nèi)容，全面掌握規(guī)則后，出現(xiàn)的錯(cuò)誤配置概率會(huì)更低。如果一個(gè)機(jī)構(gòu)設(shè)有多重防火墻，則在修改規(guī)則的過(guò)程中需要標(biāo)記清楚更改人員的姓名、更改原因和更改時(shí)間。

4.4.6 強(qiáng)化審計(jì)工作

完成規(guī)則集的制訂后，下一個(gè)重要環(huán)節(jié)是檢測(cè)。需要注意的是，建立有效防火墻的關(guān)鍵在于建立簡(jiǎn)單的規(guī)則集，錯(cuò)誤配置是網(wǎng)絡(luò)的最大敵人。因此，應(yīng)盡可能確保規(guī)則集的簡(jiǎn)短和簡(jiǎn)潔。簡(jiǎn)單的規(guī)則集理解和掌握起來(lái)比較容易。筆者建議，規(guī)則集應(yīng)在30條以內(nèi)，如果1個(gè)規(guī)則集超過(guò)50條，則必將會(huì)失敗。規(guī)則集越簡(jiǎn)單，出現(xiàn)錯(cuò)誤配置的概率就越小，所以，簡(jiǎn)單的規(guī)則集無(wú)形之中提高了安全性能。

5 結(jié)束語(yǔ)

綜上所述，認(rèn)真研究并應(yīng)用以防火墻為基礎(chǔ)的網(wǎng)絡(luò)安全技術(shù)有著重要的意義。本文從防火墻的概念、作用和具體架構(gòu)的角度，從合理選擇防火墻的策略、準(zhǔn)確評(píng)估防火墻失效的方法、動(dòng)態(tài)維護(hù)防護(hù)墻的措施和可靠規(guī)則集的制訂四方面進(jìn)行了討論，詳細(xì)說(shuō)明了應(yīng)用防火墻網(wǎng)絡(luò)安全技術(shù)的要點(diǎn)，值得相關(guān)方面參考和借鑒。

參考文獻(xiàn)

[1]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].安徽教育學(xué)院學(xué)報(bào)，2011（02）.

[2]張曉芳.基于防火墻屏蔽技術(shù)的網(wǎng)絡(luò)安全初探[J].無(wú)線互聯(lián)科技，2012（07）.

〔編輯：張思楠〕

Abstract： In the Internet era， network security problems are frequent； the application of firewall network security technology is conducive to the operation of the network better， to protect the security of the network environment. The concept and function of firewall is introduced. The specific architecture of firewall is briefly analyzed the concept and function of firewall is discussed in the paper， from many aspects illustrates the firewall under the background of network security techniques， and discusses the application of firewall network security technology， in order to provide valuable reference to the people.

Key words： firewall； network security technology； authentication； router