李淑靜

【摘要】 隨著信息時(shí)代的到來，計(jì)算機(jī)技術(shù)的和信息技術(shù)以其廣泛的滲透力和親和力，再方方面面影響著世界的發(fā)展。例如，E-mail，電子商務(wù)，信息平臺(tái)等等。網(wǎng)絡(luò)的開發(fā)和利用雖然給人們帶來方便，但也給網(wǎng)絡(luò)安全方面帶來了困擾。網(wǎng)絡(luò)安全這個(gè)問題成為當(dāng)前的一個(gè)研究熱點(diǎn)。而目前解決網(wǎng)絡(luò)安全問題的最普遍的方法就是采取防火墻技術(shù)。

【關(guān)鍵詞】 防火墻 網(wǎng)絡(luò)安全 計(jì)算機(jī)

構(gòu)建防火墻最常用于防范網(wǎng)絡(luò)攻擊的手段和先決條件。但在網(wǎng)絡(luò)技術(shù)飛=飛速發(fā)展的現(xiàn)代，僅用目前的防火墻技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，這是因?yàn)椋捍蠖鄶?shù)防火墻產(chǎn)品對應(yīng)用層的保護(hù)能力不夠，沒有實(shí)現(xiàn)真正的內(nèi)容過濾；防火墻在阻止某些來自一方的襲擊也起不到?jīng)Q定性作用。因此，即使應(yīng)用了防火墻軟件就足夠安全的想法是不現(xiàn)實(shí)的。

一、防火墻技術(shù)概述

1.1防火墻的基礎(chǔ)功能

（1）允許一切訪問，除非明令禁止的服務(wù)。在該項(xiàng)準(zhǔn)則基礎(chǔ)上，防火墻轉(zhuǎn)發(fā)所有信息流通過該系統(tǒng)，防火墻全面的攔截了并且一項(xiàng)接著一項(xiàng)逐次屏蔽有害的服務(wù)，該項(xiàng)準(zhǔn)則以其靈活多變強(qiáng)大能力適應(yīng)了應(yīng)用環(huán)境，但是隨著網(wǎng)絡(luò)時(shí)代的到來，伴隨著網(wǎng)絡(luò)產(chǎn)生的服務(wù)的增加，管理人員的工作量大大提升，而且在受保護(hù)的網(wǎng)絡(luò)范圍內(nèi)持續(xù)增大時(shí)，難以提供可靠的安全性。（2）拒絕一切訪問，除非得到明令許可的服務(wù)?；A(chǔ)該項(xiàng)準(zhǔn)則的基礎(chǔ)上，防火墻系統(tǒng)封鎖了一切所有通過該系統(tǒng)的信息流，拒絕未作定義的服務(wù)，只對認(rèn)可的希望開發(fā)的服務(wù)逐步開啟。防火墻安全性大大增加，但是給企業(yè)的使用造成了困惑。在這兩項(xiàng)準(zhǔn)則下，防火墻可實(shí)現(xiàn)IP地點(diǎn)、端口、用戶時(shí)間、用戶賬戶等多種方式的提供和訪問控制對象的多種定義方式。未經(jīng)授權(quán)的被限制的IP訪問可受信任的信息資源內(nèi)容，將認(rèn)證口令和安全機(jī)制的防火墻相結(jié)合還可實(shí)現(xiàn)對用戶訪問的權(quán)限的控制?；趦?yōu)先級的網(wǎng)絡(luò)防火墻可保證服務(wù)的正常運(yùn)行。訪問可連接地日志記錄和DNS服務(wù)等。抵御Dos/Ddos攻擊。抗IP碎屑包攻擊、路由源頭攻擊，防止UDP、TCP等端口的掃描，CCMP/RMB/ SYN/DNS等多重攻擊。

1.2防火墻關(guān)鍵技術(shù)的實(shí)現(xiàn)

1）數(shù)據(jù)包傳送技術(shù)。在網(wǎng)絡(luò)信息傳播中，一般單位是數(shù)據(jù)包，數(shù)據(jù)包中的信息主要包括IP源地址、內(nèi)部協(xié)議、IP目的地址、ICMP消息類型、TCP/UDP目標(biāo)端口及數(shù)據(jù)包收發(fā)接口等。這些數(shù)據(jù)包在網(wǎng)絡(luò)中會(huì)通過不同路徑傳輸?shù)侥康牡?，到達(dá)目的地后又重新封裝成原來樣子。2）包過濾技術(shù)。包過濾技術(shù)主要是建立在數(shù)據(jù)包傳送基礎(chǔ)上來實(shí)現(xiàn)的，通過利用路由器對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行監(jiān)視和過濾，拒絕發(fā)送可疑的數(shù)據(jù)包，作為連接數(shù)據(jù)發(fā)接端口的橋梁，IP過濾功能也被加入到路由器當(dāng)中。3）代理技術(shù)。代理技術(shù)主要依托于代理服務(wù)設(shè)備來實(shí)現(xiàn)，其類似于應(yīng)用程序，通過封鎖數(shù)據(jù)包，達(dá)到類似防火墻技術(shù)應(yīng)用的效果。4）地址翻譯技術(shù)。地址翻譯技術(shù)主要是將IP數(shù)據(jù)中的IP地址轉(zhuǎn)化為另一個(gè)地址的過程，此種方式能夠減緩IP地址可用空間的枯竭。地址翻譯技術(shù)主要分為靜態(tài)地址轉(zhuǎn)換和動(dòng)態(tài)地址轉(zhuǎn)換兩種。

二、防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

1、在安全網(wǎng)絡(luò)中防火墻的具體作用。防火墻的產(chǎn)生是不希望通過非法途徑取的授權(quán)進(jìn)入被保護(hù)的網(wǎng)絡(luò)。防火墻的作用不僅僅是防止從各種端口中辨認(rèn)判斷從內(nèi)部安全網(wǎng)絡(luò)中的具體的計(jì)算機(jī)數(shù)據(jù)是否有害，還盡可能多的將有害數(shù)據(jù)清除，從而從根本上達(dá)到最開始的網(wǎng)絡(luò)安全系統(tǒng)保護(hù)。防火的一個(gè)重要作用是當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)軟件受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。從而達(dá)到以下目的：1）組織入侵者和黑客接近你的設(shè)施資料。2）限定訪問特殊的站點(diǎn)。3）監(jiān)視網(wǎng)絡(luò)Internet的安全提供便利。4）過濾非法用戶和不安全用戶的服務(wù)，限制用戶進(jìn)入網(wǎng)絡(luò)內(nèi)部。

2、辦公網(wǎng)絡(luò)安全措施。在辦公網(wǎng)中，根據(jù)不同的網(wǎng)絡(luò)功能可劃分出四個(gè)子模塊：核心爐石模塊、用戶子傳說模塊、DMZ模塊和Internet接入模塊。用戶的主要提供PC終端的模塊接入，DMZ模塊則包含了需要對外提供服務(wù)的服務(wù)器，連接辦公網(wǎng)所有的核心模塊組件了所有的子模塊和生產(chǎn)網(wǎng)模塊的接入。

3、生產(chǎn)網(wǎng)安全措施。在生產(chǎn)網(wǎng)絡(luò)中，是由和核心區(qū)、Extrant區(qū)、管理區(qū)、生產(chǎn)區(qū)四個(gè)區(qū)域組成的。其核心是核心交換區(qū)，主要功能是連接不同的告訴轉(zhuǎn)發(fā)數(shù)據(jù)和不同的功能區(qū)。因?yàn)檫@個(gè)區(qū)域?qū)δ承┓矫娴囊筇貏e高。在核心交換區(qū)機(jī)上通常選用三層高性能交換機(jī)，而且要避免使用可能那些導(dǎo)致處理速度變慢的訪問列表定義。生產(chǎn)區(qū)主要提供各種辦公網(wǎng)絡(luò)的系統(tǒng)接入，Extranet區(qū)只要是實(shí)現(xiàn)Internet業(yè)務(wù)外聯(lián)和業(yè)務(wù)的外聯(lián)，管理區(qū)則成為整個(gè)區(qū)域的核心，其服務(wù)器負(fù)責(zé)管理各種IT服務(wù)和多重管理功能。

結(jié)束語：未來的防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的正常安全有效的運(yùn)行、用戶數(shù)據(jù)的絕對安全和應(yīng)用程序的進(jìn)一步安全。此外，網(wǎng)絡(luò)的防火墻產(chǎn)品還將Wed頁面超高速緩存、運(yùn)轉(zhuǎn)和帶寬管理等前沿就技術(shù)相結(jié)合，與防火墻技術(shù)系統(tǒng)的結(jié)合起來，形成更加高效、穩(wěn)定。持久的安全的網(wǎng)絡(luò)安全保障系統(tǒng)。

參 考 文 獻(xiàn)

[1] 中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R] .中國互聯(lián)網(wǎng)絡(luò)信息中心，2014，01

[2] 段海新.CERNET 校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡(luò)，2015，03