關(guān)于防火墻技術(shù)在計算機(jī)安全構(gòu)建中的應(yīng)用研究

曾柯

綿陽中學(xué)實驗學(xué)校2014級21班

?

關(guān)于防火墻技術(shù)在計算機(jī)安全構(gòu)建中的應(yīng)用研究

曾柯

綿陽中學(xué)實驗學(xué)校2014級21班

近些年，計算機(jī)越來越普及，其應(yīng)用價值不斷提升，在現(xiàn)代社會發(fā)展進(jìn)程中發(fā)揮了舉足輕重的作用。然而，頻頻發(fā)生的計算機(jī)安全問題嚴(yán)重制約了計算機(jī)的發(fā)展與應(yīng)用價值的發(fā)揮。本文簡要闡述了防火墻的概念、分類及其在計算機(jī)安全構(gòu)建中的應(yīng)用，并在此基礎(chǔ)上探討了如何部署防火墻，以期為相關(guān)領(lǐng)域的研究提供理論參考。

防火墻技術(shù) 計算機(jī)安全 構(gòu)建策略

1　防火墻概述

1.1防火墻定義

防火墻是計算機(jī)安全體系中十分重要的防護(hù)設(shè)備之一，其可將外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)隔離開來，可在一定安全策略下檢查兩個及兩個以上的網(wǎng)絡(luò)之間所傳輸?shù)倪B接方式和數(shù)據(jù)包，進(jìn)而可依據(jù)網(wǎng)絡(luò)之間數(shù)據(jù)傳輸安全性的判定結(jié)果來決定一些通信是否允許進(jìn)行傳輸。經(jīng)過防火墻同意的信息和數(shù)據(jù)將會進(jìn)入乙方網(wǎng)絡(luò)，未經(jīng)防火墻同意的信息和數(shù)據(jù)則會被拒之門外。受防火墻保護(hù)的網(wǎng)絡(luò)稱之為私有網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)。合格的防火墻應(yīng)具備以下五個方面的特點：其一是防火墻自身不會受到各類病毒、木馬程序的影響；其二是防火墻便于用戶管理；其三是外部網(wǎng)絡(luò)傳送數(shù)據(jù)至內(nèi)部網(wǎng)絡(luò)時需通過防火墻；其四是只有合法的授權(quán)數(shù)據(jù)才能通過防火墻；其五是防火墻技術(shù)對高新科技的運用。

1.2防火墻的分類

目前，防火墻的類型主要有代理服務(wù)型防火墻、包過濾防火墻與復(fù)合型防火墻。

1.2.1代理服務(wù)型防火墻

代理服務(wù)型防火墻主要由客戶程序段、服務(wù)器端程序等構(gòu)成，其中間節(jié)點與客戶端程序及外部服務(wù)器均處于相連狀態(tài)，內(nèi)外網(wǎng)之間的直接連接并不存在。代理服務(wù)型防火墻可向用戶提供審計、日記等服務(wù)功能。

1.2.2包過濾防火墻

包過濾防火墻通常安置于路由器中，其在篩選目標(biāo)地址、IP源地址時需以IP信息包為基礎(chǔ)，在數(shù)據(jù)過濾中可確保計算機(jī)安全。包過濾防火墻具有簡單易行、靈活有效等優(yōu)勢，但同時也存在有難以有效防控“假冒IP”、防御作用僅能在網(wǎng)絡(luò)層與傳輸層實現(xiàn)、無法防御網(wǎng)絡(luò)內(nèi)部攻擊威脅等缺陷。

1.2.3復(fù)合型防火墻

作為新一代防火墻技術(shù)，復(fù)合型防火墻集和了智能IP識別技術(shù)，高效分組識別應(yīng)用、協(xié)議等目的可得到實現(xiàn)，對應(yīng)用的訪問控制也可得到進(jìn)一步強(qiáng)化。智能IP識別技術(shù)的運用不僅摒棄了傳統(tǒng)復(fù)合型防火墻技術(shù)，還創(chuàng)新性地采用了特有快速搜索算法、零拷貝流分析等新技術(shù)。復(fù)合型防火墻在計算機(jī)安全構(gòu)建中的運用有助于實現(xiàn)內(nèi)容過濾、病毒防御的整合，更可對隱蔽的網(wǎng)絡(luò)信息安全實現(xiàn)有效防控。

2　防火墻技術(shù)在計算機(jī)安全構(gòu)建中的應(yīng)用

2.1防火墻技術(shù)的作用

2.1.1為計算機(jī)網(wǎng)絡(luò)安全提供屏障

防火墻的應(yīng)用對計算機(jī)內(nèi)部網(wǎng)絡(luò)安全性的提升及計算機(jī)與網(wǎng)絡(luò)所面臨風(fēng)險的降低有著重要作用。只有經(jīng)過嚴(yán)格選擇的應(yīng)用協(xié)議才能被防火墻允許通過，這一特性保障了計算機(jī)的網(wǎng)絡(luò)環(huán)境安全。此外，防火墻在網(wǎng)絡(luò)連接狀態(tài)下可有效避免網(wǎng)絡(luò)受到基于路由的各類攻擊，且其在發(fā)現(xiàn)攻擊或拒絕攻擊等狀況下均會及時通知防火墻的管理員。

2.1.2強(qiáng)化網(wǎng)絡(luò)安全策略

防火墻技術(shù)還可配置一些加密、口令、身份驗證等安全應(yīng)用，以防火墻為主、集中安全管理的配置方案可得到實現(xiàn)。較之其他將安全問題分散在各個主機(jī)上的網(wǎng)絡(luò)安全策略相比，防火墻技術(shù)更加堅固與經(jīng)濟(jì)。

2.1.3對網(wǎng)絡(luò)訪問與存取進(jìn)行審計監(jiān)控

防火墻往往會以日志記錄的形式記錄下防火墻的數(shù)據(jù)，同時還可將網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)提供給用戶。一旦有危險性的數(shù)據(jù)通過防火墻，防火墻可發(fā)出警報并向管理員提供網(wǎng)絡(luò)是否受到了攻擊和檢測的詳細(xì)情況，這對分析計算機(jī)和網(wǎng)絡(luò)所面臨的威脅具有十分重要的參考價值。此外，防火墻還可通過劃分內(nèi)部網(wǎng)絡(luò)實現(xiàn)內(nèi)部網(wǎng)絡(luò)中的重點網(wǎng)段隔離，網(wǎng)絡(luò)攻擊對整個網(wǎng)絡(luò)所造成的影響可大大降低。

2.2防火墻的部署措施

針對各類網(wǎng)絡(luò)攻擊與威脅，防火墻可及時作出防御與相應(yīng)，攻擊行為可被隔絕在計算機(jī)網(wǎng)，計算機(jī)所面臨的風(fēng)險隨之可得到降低。因此，防火墻需放置在不可信任與可信任網(wǎng)絡(luò)之間，其是計算機(jī)與不可信任網(wǎng)絡(luò)連接的唯一紐帶?？茖W(xué)合理地部署防火墻可有效實現(xiàn)對內(nèi)部網(wǎng)絡(luò)安全性的保護(hù)。

2.2.1防火墻的選用

除前文所述三種防火墻類型外，目前還出現(xiàn)了一種狀態(tài)監(jiān)測型防火墻，其安全性能顯著高于代理服務(wù)型防火墻與包過濾性防火墻，但其耗費成本較高，管理也具有較大難度，因而只有對安全性要求特別高的單位或個人才會使用監(jiān)測型防火墻。在選用防火墻時，我們需從用戶需求、安全技術(shù)成本及系統(tǒng)成本等因素加以綜合考慮。

2.2.2防火墻的部署

為了有效阻止外部網(wǎng)絡(luò)的入侵，技術(shù)人員首先需在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)接口處進(jìn)行防火墻安裝；有些單位具有較大的內(nèi)部網(wǎng)絡(luò)規(guī)模，且具有VLAN（虛擬局域網(wǎng)），此時需在每個虛擬局域網(wǎng)之間設(shè)置防火墻；通過公網(wǎng)進(jìn)行連接的各個分支機(jī)構(gòu)與總部之間也需設(shè)置防火墻。

2.2.3防火墻的部署原則

在部署防火墻時需堅持無論是外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)的連接處，只要具有出現(xiàn)惡意入侵與攻擊的可能性就應(yīng)進(jìn)行防火墻安裝的原則。負(fù)責(zé)整個內(nèi)部網(wǎng)絡(luò)中數(shù)據(jù)轉(zhuǎn)發(fā)以及與DMZ區(qū)域內(nèi)的關(guān)鍵應(yīng)用連接的核心路由器或核心交換機(jī)屬于網(wǎng)絡(luò)的重要核心區(qū)域。作為網(wǎng)絡(luò)風(fēng)險最為集中的區(qū)域，DMZ區(qū)域是網(wǎng)絡(luò)安全維護(hù)中最為關(guān)鍵的區(qū)域，因而在設(shè)置防火墻過程中既需保證對訪問的審核與安全性，還需保證DMZ區(qū)內(nèi)關(guān)鍵應(yīng)用的友好性與可用性。換言之，在部署防火墻時，我們不僅需重視網(wǎng)絡(luò)的邊界，還需重視諸如DMZ的關(guān)鍵區(qū)域。關(guān)鍵區(qū)域的防火墻面對內(nèi)部網(wǎng)絡(luò)用戶，保護(hù)重要資源與服務(wù)的訪問控制、完善安全日志的收集是在關(guān)鍵區(qū)域部署防火墻的根本目的。對于邊界防火墻，其不僅需提供出戰(zhàn)控制、NAT服務(wù)的授權(quán)，同時還需防御諸如入侵、滲透等在內(nèi)的外來威脅。在部署防火墻時，技術(shù)人員需將各類防御職能分派給兩種防火墻，分派依據(jù)為防火墻所提供的應(yīng)用以及網(wǎng)絡(luò)的結(jié)構(gòu)，前文所提及的DMZ區(qū)域是內(nèi)部防火墻的保護(hù)重點，提供監(jiān)測與警告是其主要作用。

3　結(jié)束語

防火墻技術(shù)可為計算機(jī)網(wǎng)絡(luò)安全提供保障，可強(qiáng)化網(wǎng)絡(luò)安全策略，同時還可對網(wǎng)絡(luò)訪問與存取進(jìn)行審計監(jiān)控，因而其部署在計算機(jī)安全構(gòu)建中十分有必要。技術(shù)人員在部署防火墻技術(shù)時，不僅需考慮不同防火墻類型的性能，還需考慮部署的成本與經(jīng)濟(jì)效益。

［1］ 杭同喜.淺談計算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)［J］.電腦知識與技術(shù)，2016，16：54-55

［2］ 張雯，李婧.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用［J］.科技展望，2016，24：4

［3］ 馬利，梁紅杰.計算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究［J］.電腦知識與技術(shù)，2014，16：3743-3745