劉軍

摘要：防火墻通常被作為盾牌來(lái)保護(hù)計(jì)算機(jī)的安全運(yùn)行。防火墻主要用于互聯(lián)網(wǎng)絡(luò)，防止非法系統(tǒng)不允許的情況下可破壞或竊取訪問(wèn)者機(jī)器的私人信息。非法活動(dòng)在網(wǎng)絡(luò)中出現(xiàn)的頻率越來(lái)越高，防火墻安全保護(hù)技術(shù)已經(jīng)成為現(xiàn)代社會(huì)必不可少的信息保護(hù)措施。防火墻會(huì)存在不同的問(wèn)題，隨著發(fā)展階段的不同。文章對(duì)計(jì)算機(jī)防火墻的安全技術(shù)問(wèn)題進(jìn)行了討論。

關(guān)鍵詞：計(jì)算機(jī)防火墻；網(wǎng)絡(luò)安全保護(hù)；互聯(lián)網(wǎng)

計(jì)算機(jī)的網(wǎng)絡(luò)安全可以被定義為機(jī)密性、完整性和可用性。就保密性而言，只能訪問(wèn)授權(quán)信息；可用性指不減少計(jì)算機(jī)系統(tǒng)應(yīng)用內(nèi)存的情況下，仍然可以按照授權(quán)用戶的要求提供服務(wù)。防火墻系統(tǒng)可以決定哪些計(jì)算機(jī)可以請(qǐng)求訪問(wèn)內(nèi)部服務(wù)。來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)的信息必須通過(guò)防火墻，由防火墻判斷是否予以通行。數(shù)據(jù)通過(guò)防火墻，必須獲得授權(quán)碼或者是防火墻已經(jīng)授權(quán)的數(shù)據(jù)?！┓阑饓ο到y(tǒng)受到攻擊或被突破，其數(shù)據(jù)是迂回的，則不能提供任何防護(hù)。

1.計(jì)算機(jī)防火墻定義及作用

1.1計(jì)算機(jī)防火墻的定義

通俗來(lái)講，防火墻主要作用就是隔離開(kāi)受保護(hù)的網(wǎng)絡(luò)與不受保護(hù)的網(wǎng)絡(luò)，通過(guò)類似于安檢點(diǎn)的一種單一集中的安全檢查點(diǎn)，審查并過(guò)濾所有從因特網(wǎng)到受保護(hù)網(wǎng)絡(luò)的連接（反之亦然）。一些防火墻偏重于阻塞傳輸流量，而另一些防火墻則是允許傳輸流。這兩種機(jī)制看起來(lái)似乎自相矛盾，但這種機(jī)制恰恰反映了防火墻的早期設(shè)計(jì)思路，也給后續(xù)防火墻的設(shè)計(jì)改良提供了方向?？偟膩?lái)說(shuō)，防火墻可以被理解成簡(jiǎn)單的兩種機(jī)制，一種機(jī)制是輸電線路阻塞環(huán)流，另一個(gè)機(jī)制是允許傳輸流。因?yàn)榉雷o(hù)墻最初的設(shè)計(jì)理念總是信任內(nèi)部網(wǎng)絡(luò)和不信任外部網(wǎng)絡(luò)的，所以初始防火墻過(guò)濾的只是外部的交流信息，對(duì)于網(wǎng)絡(luò)用戶和內(nèi)部網(wǎng)絡(luò)的交流則不作要求。當(dāng)前防火墻過(guò)濾機(jī)制的變化，不僅從外部網(wǎng)絡(luò)通信連接過(guò)濾，連接請(qǐng)求從內(nèi)部網(wǎng)絡(luò)的用戶還需要過(guò)濾數(shù)據(jù)包，防火墻保護(hù)仍然遵守安全政策需求的溝通。

1.2防火墻的作用

防火墻，字面意思是確保網(wǎng)絡(luò)的安全。防火墻內(nèi)部存儲(chǔ)著大量的數(shù)據(jù)，這些數(shù)據(jù)可以提供系統(tǒng)反饋信息、允許程序運(yùn)行、需要返回的信息。防火墻只允許那些默認(rèn)允許應(yīng)用程序訪問(wèn)，其本身也起到避免黑客對(duì)系統(tǒng)造成損害的作用。下面簡(jiǎn)單介紹一些防火墻的功能。

（1）過(guò)濾風(fēng)險(xiǎn)服務(wù)和非法用戶，限制外來(lái)數(shù)據(jù)訪問(wèn)進(jìn)入內(nèi)部網(wǎng)絡(luò)；（2）防止內(nèi)部用戶入侵國(guó)防網(wǎng)絡(luò)設(shè)施；（3）只允許特定用戶訪問(wèn)特定的網(wǎng)絡(luò)站點(diǎn)；（4）為網(wǎng)絡(luò)安全監(jiān)測(cè)提供了方便；（5）防火墻的位置可以用來(lái)記錄計(jì)算機(jī)程序?qū)W(wǎng)絡(luò)的訪問(wèn)；（6）可以用作部署NAT網(wǎng)絡(luò)；（7）用于網(wǎng)絡(luò)地址的位置變換，使用NAT技術(shù)，將有限的動(dòng)態(tài)或靜態(tài)IP地址與內(nèi)部IP地址相對(duì)應(yīng)，以節(jié)省地址空間。

2.計(jì)算機(jī)防火墻的分類和結(jié)構(gòu)

2.1計(jì)算機(jī)防火墻的分類

當(dāng)今時(shí)代網(wǎng)絡(luò)通信取得了飛速發(fā)展，網(wǎng)絡(luò)訪問(wèn)信息基礎(chǔ)設(shè)施得以不斷增加，防火墻技術(shù)也在不斷發(fā)展。目前防火墻的精細(xì)分類和基礎(chǔ)功能都已經(jīng)趨于完善。其中內(nèi)部網(wǎng)絡(luò)防火墻技術(shù)按照不同的方式和預(yù)防側(cè)重點(diǎn)可分為多種類型，包括過(guò)濾防火墻、應(yīng)用代理防火墻和監(jiān)控狀態(tài)防火墻，雙主機(jī)主機(jī)防火墻和主機(jī)防火墻過(guò)濾類型等等。包過(guò)濾防火墻功能應(yīng)用在網(wǎng)絡(luò)層，主要是檢查每個(gè)數(shù)據(jù)包的數(shù)據(jù)流，根據(jù)數(shù)據(jù)包的源地址、目的地址和端口來(lái)判斷是否允許數(shù)據(jù)包通過(guò)。

（1）應(yīng)用程序在應(yīng)用程序?qū)哟矸?wù)器，其特點(diǎn)是完全“切斷”網(wǎng)絡(luò)流量，每個(gè)應(yīng)用程序服務(wù)編制通過(guò)特殊的代理，實(shí)現(xiàn)監(jiān)控、過(guò)濾、記錄和報(bào)告的功能流的應(yīng)用程序?qū)印?/p>

（2）狀態(tài)監(jiān)視器是使用一個(gè)網(wǎng)關(guān)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全戰(zhàn)略的軟件引擎，收集的數(shù)據(jù)在每一層要通過(guò)網(wǎng)絡(luò)通信實(shí)現(xiàn)監(jiān)控，一旦某次訪問(wèn)違反安全規(guī)則，安全報(bào)警系統(tǒng)將拒絕此次訪問(wèn)，錄入系統(tǒng)警報(bào)當(dāng)前網(wǎng)絡(luò)狀態(tài)。

（3）雙主機(jī)主機(jī)防火墻和主機(jī)過(guò)濾防火墻所提供的是堡壘主機(jī)相應(yīng)的代理服務(wù)。雙主機(jī)主機(jī)防火墻通常是通過(guò)堡壘主機(jī)作為網(wǎng)關(guān)，網(wǎng)關(guān)防火墻軟件并運(yùn)行，保證網(wǎng)絡(luò)通信，必須通過(guò)堡壘主機(jī)。防火墻和主機(jī)過(guò)濾器將連接路由器和外聯(lián)網(wǎng)，并安裝堡壘內(nèi)部，使堡壘機(jī)外部網(wǎng)只有節(jié)點(diǎn)，確保內(nèi)部網(wǎng)絡(luò)從未經(jīng)授權(quán)的用戶。

（4）復(fù)合防火墻，將信息包過(guò)濾和代理服務(wù)有效地結(jié)合在一起，形成新的防火墻，主機(jī)名為堡壘主機(jī)，負(fù)責(zé)提供代理服務(wù)。

2.2計(jì)算機(jī)防火墻的結(jié)構(gòu)

目前計(jì)算機(jī)常用的幾種典型的防火墻系統(tǒng)通常采用以下結(jié)構(gòu)：

（1）包過(guò)濾網(wǎng)關(guān)式防火墻。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息過(guò)濾器，它有兩個(gè)網(wǎng)絡(luò)接口，分別連接內(nèi)部和外部網(wǎng)絡(luò)，內(nèi)部局域網(wǎng)（Local Area Network，LAN）和外部互聯(lián)網(wǎng)直接通信，并能夠完成兩個(gè)網(wǎng)卡之間的IP數(shù)據(jù)包轉(zhuǎn)發(fā)常見(jiàn)的路由功能，包過(guò)濾的過(guò)濾函數(shù)根據(jù)本地安全策略，確定哪些是可以通過(guò)網(wǎng)絡(luò)接口的數(shù)據(jù)包，哪些數(shù)據(jù)包將被禁止，也就是說(shuō)，信息包過(guò)濾網(wǎng)關(guān)相當(dāng)于一個(gè)靜態(tài)流量監(jiān)控功能的路由器。這是包過(guò)濾防火墻的基本結(jié)構(gòu)，包過(guò)濾防火墻價(jià)格低廉，人氣很高，使用方便，但配置不當(dāng)可能會(huì)導(dǎo)致防火墻網(wǎng)關(guān)機(jī)器和攻擊數(shù)據(jù)包在允許范圍內(nèi)的服務(wù)和系統(tǒng)出現(xiàn)故障，等等。

（2）雙孔式網(wǎng)關(guān)防火墻。它是一種替換式的網(wǎng)關(guān)防火墻過(guò)濾裝置，它與包過(guò)濾式網(wǎng)關(guān)防火墻都是防火墻網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防護(hù)裝置。同樣有兩個(gè)網(wǎng)絡(luò)接口，連接到內(nèi)部和外部的網(wǎng)絡(luò)。不同的是，雙孔式網(wǎng)關(guān)防火墻禁止IP轉(zhuǎn)發(fā)功能，使內(nèi)部和外部網(wǎng)絡(luò)IP數(shù)據(jù)流完全阻塞，通過(guò)提供代理服務(wù)網(wǎng)關(guān)功能的實(shí)現(xiàn)。因?yàn)橹挥幸粋€(gè)特定類型的協(xié)議可以請(qǐng)求代理服務(wù)處理，所以雙孔式網(wǎng)關(guān)防火墻意識(shí)到“默認(rèn)拒絕”的安全策略，具有很高的安全性。雙孔式網(wǎng)關(guān)防火墻是一個(gè)典型的應(yīng)用代理防火墻，它完全“切斷”內(nèi)部和外部的網(wǎng)絡(luò)流量，達(dá)到更高層次的安全控制，這是類型應(yīng)用代理防火墻的特點(diǎn)類型的包過(guò)濾防火墻。

這兩個(gè)防火墻有一個(gè)共同點(diǎn)：都是通過(guò)防火墻與主機(jī)防火墻。如果突破防火墻主機(jī)，局域網(wǎng)絡(luò)安全防御就被攻破了o

3.計(jì)算機(jī)防火墻技術(shù)應(yīng)用

對(duì)于軟件防火墻，公司經(jīng)常使用微軟IsAserVer軟件。防火墻市場(chǎng)使用反響是很好的，但通過(guò)狀態(tài)包過(guò)濾和鏈接，會(huì)讓企業(yè)遭受新的攻擊。信息包過(guò)濾允許保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和應(yīng)用程序和電路為其服務(wù)，如果狀態(tài)濾波器動(dòng)態(tài)端口需要打開(kāi)，與這些端口通信的數(shù)據(jù)端口最終將被關(guān)閉，需要將鏈路層安全動(dòng)態(tài)信息包過(guò)濾，以保證安全性和易用性。同時(shí)通過(guò)防火墻還可以了解到其主要是記錄和報(bào)告活動(dòng)。使用這個(gè)記錄和報(bào)告不僅可以簡(jiǎn)化用戶，搜索用戶組，也可以簡(jiǎn)化服務(wù)器，簡(jiǎn)化網(wǎng)絡(luò)信息搜索，其通過(guò)使用接口、向?qū)?、模板和相?yīng)的管理工具可以直接為用戶提供服務(wù)。

4.計(jì)算機(jī)防火墻的發(fā)展趨勢(shì)分析

未來(lái)階段的計(jì)算機(jī)系統(tǒng)有集中管理的發(fā)展趨勢(shì)，其中最常用的是分層分布式安全管理的安全體系結(jié)構(gòu)，它具有以下優(yōu)點(diǎn)：管理結(jié)構(gòu)可以降低管理成本，提高網(wǎng)絡(luò)的安全性；集中管理系統(tǒng)對(duì)傳統(tǒng)電腦的反應(yīng)速度要求更高。這種類型的管理系統(tǒng)，可以提供一個(gè)良好的日志分析功能和審計(jì)功能，可以調(diào)整安全策略，合理降低網(wǎng)絡(luò)安全威脅。

5.結(jié)語(yǔ)

防火墻技術(shù)是網(wǎng)絡(luò)安全的關(guān)鍵，在互聯(lián)網(wǎng)的發(fā)展和內(nèi)部網(wǎng)絡(luò)中，扮演著關(guān)鍵的角色。防火墻技術(shù)的發(fā)展是網(wǎng)絡(luò)安全的重要組成部分，用戶可以根據(jù)內(nèi)部網(wǎng)絡(luò)需求建立自己的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)防火墻系統(tǒng)，從而實(shí)現(xiàn)對(duì)經(jīng)濟(jì)的防護(hù)功能。