王嘉鵬

摘 要：防火墻是維持網(wǎng)絡(luò)安全的重要環(huán)節(jié)，不僅可以起到阻礙、抑制的作用，還可以查殺隱含危險(xiǎn)的組件，防火墻對網(wǎng)絡(luò)的運(yùn)行具備安全保護(hù)作用。雖然防火墻的發(fā)展逐漸升級，但是實(shí)際仍存在無法避免的缺陷，威脅網(wǎng)絡(luò)環(huán)境，形成安全隱患，因此，文章通過對防火墻技術(shù)進(jìn)行研究，分析其在網(wǎng)絡(luò)安全中的作用以及重要性。

關(guān)鍵詞：防火墻 網(wǎng)絡(luò)安全 技術(shù)研究

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-9082（2019）01-000-01

現(xiàn)如今，防火墻技術(shù)已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)抵御非法訪問及不當(dāng)入侵的一個關(guān)鍵途徑，防火墻是在一個不安全的網(wǎng)絡(luò)環(huán)境中搭建一個較安全的子網(wǎng)平臺。本文系統(tǒng)地分析防火墻的組織架構(gòu)方法，內(nèi)、外部防火墻的部署，最終完成防火墻網(wǎng)絡(luò)安全技術(shù)的設(shè)計(jì)策略，促使網(wǎng)絡(luò)整體具備相對較高的安全級別，進(jìn)一步提升網(wǎng)絡(luò)的安全性能，并展望防火墻網(wǎng)絡(luò)安全技術(shù)未來的發(fā)展前景。

一、防火墻的組織架構(gòu)方法

一套防火墻系統(tǒng)一般要由代理服務(wù)器及屏蔽路由器所構(gòu)成。代理服務(wù)器有助于辨別并過濾掉非法的網(wǎng)絡(luò)請求，其最大優(yōu)勢在于盡早實(shí)現(xiàn)用戶級的日志記錄、賬號控制及身份識別等目標(biāo)，所存在的缺陷是必須對每項(xiàng)服務(wù)均構(gòu)建相應(yīng)的應(yīng)用層網(wǎng)關(guān)，才能提供全方位的保護(hù)方案，這在應(yīng)用中難以落實(shí)。屏蔽路由器用于防范IP的欺詐性攻擊，其優(yōu)勢在于架構(gòu)形式相對簡便，硬件所耗費(fèi)的成本低，不利之處在于較難構(gòu)建包過濾規(guī)則，屏蔽路由器缺乏有效的用戶級身份識別等。

創(chuàng)建一個嚴(yán)密的規(guī)則集，搭建安全體系結(jié)構(gòu)是防火墻網(wǎng)絡(luò)技術(shù)組織架構(gòu)的關(guān)鍵一環(huán)，也有賴于規(guī)則密集的每條規(guī)則的執(zhí)行，需重點(diǎn)把握幾個要點(diǎn)：將默認(rèn)防火墻多余的服務(wù)予以取消；全部的服務(wù)均經(jīng)認(rèn)可；允許內(nèi)部網(wǎng)絡(luò)的用戶出網(wǎng)；增加鎖定規(guī)則，阻塞對防火墻的所有訪問；嚴(yán)禁除管理員以外的任何用戶隨意訪問防火墻；允許互聯(lián)網(wǎng)用戶進(jìn)行DNS服務(wù)器的訪問；允許互聯(lián)網(wǎng)及內(nèi)網(wǎng)用戶經(jīng)SMTP實(shí)現(xiàn)對郵件服務(wù)器的訪問，允許同樣用戶群經(jīng)HTTP訪問Web服務(wù)器；內(nèi)網(wǎng)用戶不得公開訪問DMZ；內(nèi)部POP的訪問應(yīng)認(rèn)可；從DMZ到內(nèi)網(wǎng)用戶的任何通話，均需作出相應(yīng)的拒絕，并予以警告；管理員可采用加密的形式訪問內(nèi)網(wǎng)；必要時，可將最普遍運(yùn)用的規(guī)則移至規(guī)則集的頂部。防火墻僅剖析少部分規(guī)則，便能提升防火墻的網(wǎng)路安全性能。

二、防火墻的架構(gòu)

防火墻系統(tǒng)的基本結(jié)構(gòu)一般由屏蔽路由器和代理服務(wù)器組成，共同實(shí)現(xiàn)對網(wǎng)絡(luò)信息安全的保護(hù)。屏蔽路由器的功能是防止IP欺騙攻擊，剔除網(wǎng)絡(luò)中模仿IP地址攻擊的病毒，它結(jié)構(gòu)簡單，成本較低，缺點(diǎn)是建立過濾規(guī)則比較困難。目前，一些商家已經(jīng)開發(fā)出相應(yīng)的過濾規(guī)則，以及用戶身份的登陸協(xié)議，保證用戶遠(yuǎn)程登陸的安全等。代理服務(wù)器主要是屏蔽一些用戶的非法請求，對用戶的身份認(rèn)證、日志記錄和用戶的賬戶管理等功能容易實(shí)現(xiàn)。新一代的防火墻甚至可以阻止內(nèi)部人員故意破壞數(shù)據(jù)，同時也能夠?qū)⒎阑饓υO(shè)置在網(wǎng)絡(luò)之前，減少外來網(wǎng)絡(luò)的攻擊。防護(hù)墻建立一個可靠的規(guī)則集，并將所有的規(guī)則集中在一起，切斷默認(rèn)防火墻的不必要的服務(wù)，網(wǎng)絡(luò)內(nèi)部的人可以通過防火墻訪問外網(wǎng)，然后，添加鎖定規(guī)則，拒絕規(guī)則外的任何防火墻訪問，除系統(tǒng)管理員外，任何人都不能訪問防火墻。

三、防火墻的基本類型

1.包過濾防火墻

主要是采用包過濾的方式，依據(jù)事先設(shè)置好的過濾邏輯，對數(shù)據(jù)包的源地址、目標(biāo)地地址等數(shù)據(jù)進(jìn)行監(jiān)測，對網(wǎng)絡(luò)層中的數(shù)據(jù)包進(jìn)行有選擇性的判斷，然后在監(jiān)測數(shù)據(jù)包制定的接口是否允許這些信息通過。例如有一些惡意的小Java程序以及電子郵件的病毒，都能夠通過防火墻進(jìn)行過濾。

2.代理服務(wù)器

主要功能是設(shè)置在網(wǎng)絡(luò)上的防火墻網(wǎng)關(guān)，它用于高速緩存，對用戶經(jīng)常訪問的網(wǎng)絡(luò)站點(diǎn)內(nèi)容進(jìn)行過濾，方便下一位用戶在訪問下一個站點(diǎn)時，服務(wù)器就不用重復(fù)的獲取數(shù)據(jù)，提高用戶獲取信息的效率。

3.狀態(tài)監(jiān)視技術(shù)

在信息傳輸?shù)倪^程中，通過防火墻技術(shù)對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端、類型等信息進(jìn)行監(jiān)測分析，根據(jù)事先設(shè)定的要求，采用“會話過濾”（Session Filteeing）功能，為一個數(shù)據(jù)的傳輸建立一個回話過程，防火墻會自動的對每一個數(shù)據(jù)包進(jìn)行監(jiān)測，對數(shù)據(jù)包的信息進(jìn)行保護(hù)。例如可以運(yùn)用該技術(shù)過濾掉FTP連接中的PUT命令，避免網(wǎng)絡(luò)內(nèi)部信息的外泄。

四、防火墻技術(shù)的具體應(yīng)用

1.內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務(wù)器的入口處，通過對外部的訪問者進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，而處于內(nèi)部網(wǎng)絡(luò)的用戶，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶可以訪問規(guī)劃內(nèi)的路徑?？偟膩碚f，內(nèi)網(wǎng)中的防火墻主要起到以下兩個作用：一是認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程的特點(diǎn)，只有在約束的情況下，通過相關(guān)認(rèn)證才能進(jìn)行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。

2.外網(wǎng)中的防火墻技術(shù)

應(yīng)用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進(jìn)入內(nèi)網(wǎng)。針對外網(wǎng)布設(shè)防火墻時，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ淖饔孟?，內(nèi)網(wǎng)對于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

五、結(jié)束語

在信息化的今天，網(wǎng)絡(luò)安全具有十分重要的意義，防火墻技術(shù)作為保護(hù)網(wǎng)絡(luò)安全的屏障，已經(jīng)受到越來越多的重視。文章對網(wǎng)絡(luò)安全進(jìn)行了介紹，隨后重點(diǎn)分析了幾種類型的防火墻以及防火墻的具體應(yīng)用。通過以上分析可知，防火墻技術(shù)在保護(hù)網(wǎng)絡(luò)完全方面具有很大的優(yōu)勢，但是該技術(shù)也不是一勞永逸的，網(wǎng)絡(luò)在發(fā)展，新的安全隱患也在不斷產(chǎn)生，因此，對于防火墻技術(shù)的研究也是不能中斷的。發(fā)展防火墻技術(shù)，保護(hù)網(wǎng)絡(luò)安全，是相關(guān)工作人員不斷追求的目標(biāo)。

參考文獻(xiàn)

[1]李敏.試析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊，2011（7）：24-26.

[2]賈筱景.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].達(dá)縣師范高等專科學(xué)校學(xué)報(bào)，2011（2）：37-39.

[3]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊.2007（09）.

[4]曾繁榮.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用探究[J].青春歲月.2012（08）.

[5]張新剛，劉妍.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2008（05）.