何曉敏

[摘 要]隨著越來越重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運行基礎(chǔ)，用戶面臨的威脅形形色色，各類網(wǎng)絡(luò)安全問題日益突出。尤其是黑客、計算機病毒對網(wǎng)絡(luò)安全的危害，使得人們不得不重視防火墻技術(shù)。防火墻是一種行之有效的網(wǎng)絡(luò)安全機制，是在網(wǎng)絡(luò)的內(nèi)部與外部之間實施安全防范的系統(tǒng)安全。只有了解了現(xiàn)有防火墻的安全特征，才能完善安全防范手段，實現(xiàn)下一代防火墻的安全使用。根據(jù)互聯(lián)網(wǎng)目前的系統(tǒng)管理現(xiàn)狀，本文就針對下一代防火墻的安全特征進行分析，探討其未來發(fā)展趨勢。

[關(guān)鍵詞]下一代防火墻；安全特征；發(fā)展趨勢

中圖分類號：TM215 文獻標(biāo)識碼：A 文章編號：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導(dǎo)下，互聯(lián)網(wǎng)的飛速發(fā)展給人們的生活帶來便捷，人們對互聯(lián)網(wǎng)的依賴程度加大。但是，近年來計算機網(wǎng)絡(luò)面臨的威脅越來越多的人為攻擊事件，數(shù)量劇烈上升趨勢。人們的利益受到威脅，對互聯(lián)網(wǎng)的放火墻安全性能產(chǎn)生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭取解決下一代互聯(lián)網(wǎng)的安全威脅。

1.研究防火墻安全特征

1.1 互聯(lián)網(wǎng)面對的安全威脅

自莫里斯蠕蟲病毒出現(xiàn)以來，病毒的數(shù)量呈爆炸式增長，安全漏洞數(shù)量增長較快，系統(tǒng)或軟件的嚴(yán)重級別漏洞增多。同時，黑客等網(wǎng)絡(luò)不法分子通過網(wǎng)絡(luò)技術(shù)，攻破用戶防火墻，帶來安全威脅。對于銀行系統(tǒng)、商業(yè)系統(tǒng)、政府和軍事領(lǐng)域而言，這些比較敏感的系統(tǒng)和部門對公共通信網(wǎng)絡(luò)中存儲與傳輸?shù)臄?shù)據(jù)安全問題尤為關(guān)注。目前，最常見的安全問題是網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷、計算機病毒、身份信息竊取、網(wǎng)絡(luò)釣魚詐騙及分布式拒絕服務(wù)。其中計算機病毒并不獨立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯(lián)網(wǎng)金融的發(fā)展，人們的身份信息與銀行資產(chǎn)很容易被黑客侵入，個人和企業(yè)的信息輕而易舉被竊取，造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術(shù)標(biāo)準(zhǔn)

在2005、2006年，防火墻標(biāo)準(zhǔn)進行了重新編制，只針對包過濾和應(yīng)用級防火墻技術(shù)，其中代理服務(wù)器要求和并列到應(yīng)用級防火墻技術(shù)中進行描述。先后形成了《GB/T20010—2005信息安全技術(shù)包過濾防火墻評估準(zhǔn)則》。GB/T20281—2006標(biāo)準(zhǔn)則吸收了原來國家標(biāo)準(zhǔn)的所有重要內(nèi)容。該標(biāo)準(zhǔn)將防火墻通用技術(shù)要求分為功能、性能、安全和保證四大類。其中，功能要求是對防火墻產(chǎn)品應(yīng)具備的安全功能提出具體的要求，包括包過濾、應(yīng)用代理、內(nèi)容過濾、安全審計和安全管理等；安全要求是對防火墻自身安全和防護能力提出具體的要求；保證要求則針對防火墻開發(fā)者和防火墻自身提出具體的要求。性能要求是對防火墻產(chǎn)品應(yīng)達到的性能指標(biāo)做出規(guī)定。同時，將防火墻產(chǎn)品進行安全等級劃分。安全等級分為三個級別，逐級提高，功能強弱、安全強度和保證要求的高低是等級劃分的具體依據(jù)，功能、安全為該標(biāo)準(zhǔn)的安全功能要求內(nèi)容。這是我國信息安全標(biāo)準(zhǔn)中第一次將性能值進行量化的標(biāo)準(zhǔn)。

1.3 采用防火墻系統(tǒng)的必要性

隨著越來越多重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運行基礎(chǔ)，信息安全問題已經(jīng)成為威脅民生、社會、甚至國家安全的重要問題。從計算機網(wǎng)絡(luò)安全技術(shù)的角度來看，防火墻是指強加于兩個網(wǎng)絡(luò)之間邊界處，以保護內(nèi)部網(wǎng)絡(luò)免遭外部網(wǎng)絡(luò)威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術(shù)作為保護計算機網(wǎng)絡(luò)安全的最常用技術(shù)之一，當(dāng)前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和其他資源的前提下，允許本地用戶使用外部網(wǎng)絡(luò)資源，并將外部未授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外，從而解決了因連接外部網(wǎng)絡(luò)所帶來的安全問題。

2.分析下一代防火墻的發(fā)展趨勢

2.1 防火墻發(fā)展的新技術(shù)趨勢

就目前國內(nèi)形勢而言，下一代防火墻發(fā)展的新技術(shù)趨勢有四方面。隨著運行商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶對安全的關(guān)注，對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統(tǒng)的硬件構(gòu)架已經(jīng)無法滿足用戶的需求，因此多核處理，ASIC加速芯片處理等技術(shù)紛紛登場，高性能成為新的技術(shù)趨勢。雖然IPv6在目前推廣和普及的力度較大，但新的安全問題也逐漸產(chǎn)生。在純IPv6網(wǎng)絡(luò)中，IPv6端與端的IPSec以及最終拜托NAT的發(fā)展構(gòu)架對防火墻產(chǎn)品的沖擊影響較大，但在IPv4/6共存階段，針對不同過渡協(xié)議混雜的背景，防火墻產(chǎn)品還是有著技術(shù)發(fā)展和實現(xiàn)的需求，所以使防火墻適用于IPv4/6也是重要技術(shù)趨勢之一?；诜阑饓τ脩舻呐渲貌呗?，應(yīng)用深層控制技術(shù)開始越來越多的被提及。同時，隨著云時代的到來，各類云服務(wù)逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術(shù)的發(fā)展開發(fā)出云服務(wù)虛擬化技術(shù)。

2.2 下一代互聯(lián)網(wǎng)高性能防火墻標(biāo)準(zhǔn)

據(jù)國家標(biāo)準(zhǔn)化管理委員會2013年下達的國家標(biāo)準(zhǔn)制修訂計劃，對原有《GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》進行修訂，由于下一代互聯(lián)網(wǎng)的特性是防火墻功能屬性，所以維持原有標(biāo)準(zhǔn)名稱。該標(biāo)準(zhǔn)與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類，加強了防火墻的應(yīng)用層控制能力，增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求，級別統(tǒng)一劃分為基本級和增強級。該標(biāo)準(zhǔn)安全功能主要對產(chǎn)品實現(xiàn)的功能進行了要求。主要包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運維管理三部分，其中網(wǎng)絡(luò)層控制主要包括包過濾、NAT、狀態(tài)檢測、策略路由等方面。這些安全功能新標(biāo)準(zhǔn)要求將大大提高下一代防火墻的安全特性。在環(huán)境適應(yīng)性要求方面，該標(biāo)準(zhǔn)對下一代防火墻產(chǎn)品的部署模式及下一代互聯(lián)網(wǎng)環(huán)境的適應(yīng)性支持進行了要求。同時，該標(biāo)準(zhǔn)的性能要求對下一代防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速率和最大事務(wù)等性能指標(biāo)進行了要求。

2.3 網(wǎng)絡(luò)安全的實現(xiàn)

網(wǎng)絡(luò)安全的實現(xiàn)是多方面的。訪問控制是網(wǎng)絡(luò)安全防御和保護的主要策略。進行訪問控制的目的是保護網(wǎng)絡(luò)資源不被非法使用和非法訪問?？刂朴脩艨梢栽L問網(wǎng)絡(luò)資源的范圍，為網(wǎng)絡(luò)訪問提供限制，只允許訪問權(quán)限的用戶訪問網(wǎng)絡(luò)資源。且隨著當(dāng)前通信技術(shù)的快速發(fā)展，用戶對信息的安全處理、安全存儲、安全傳輸?shù)男枰苍絹碓狡惹?，并受到了廣泛關(guān)注。信息在網(wǎng)絡(luò)傳輸?shù)陌踩{是由于TPC/IP協(xié)議所固有的，因此數(shù)據(jù)加密技術(shù)成為實現(xiàn)計算機網(wǎng)絡(luò)安全技術(shù)的必然選擇。病毒防護主要包括計算機病毒的預(yù)防、檢測與清除。最理想的防止病毒攻擊的方法就是預(yù)防，在第一時間內(nèi)阻止病毒進入系統(tǒng)。攻擊防御對網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的傳輸行為進行實時監(jiān)視，在惡意行為被發(fā)動時及時進行阻止，攻擊防御可以針對特征分析及分析做出判斷。同時，網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”。因此，除了運用各種安全技術(shù)之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結(jié)語

總而言之，事物的發(fā)展過程是曲折的，前途是光明的。隨著人類在經(jīng)濟、工業(yè)、軍事領(lǐng)域方面越來越多地依賴信息化管理和處理，由于信息網(wǎng)絡(luò)在設(shè)計上對安全問題的忽視，以及爆發(fā)性應(yīng)用背后存在的使用和管理上的脫節(jié)，使互聯(lián)網(wǎng)中信息的安全性逐漸受到嚴(yán)重威脅，實用和安全矛盾逐漸顯現(xiàn)。而下一代防火墻的安全特性隨著互聯(lián)網(wǎng)的發(fā)展是不斷改進，進行高性能技術(shù)的研究，已有所成果。所以，關(guān)于下一代防火墻的安全特性我們要抱有積極的態(tài)度。

參考文獻

[1] 吳秀梅.防火墻技術(shù)及應(yīng)用教程[M].北京：清華大學(xué)出版社.2010.

[2] 黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù).清華大學(xué)，2004.