淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

【摘 要】隨著科學技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當今信息化的社會中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計算機系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計算機網(wǎng)絡(luò)在社會生活中的作用越來越大。為了維護計算機網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實施對網(wǎng)絡(luò)安全的有效管理。本文主要對防火墻體系結(jié)構(gòu)以及技術(shù)進行分析，淺談防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用以及其他保障網(wǎng)絡(luò)安全的策略。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻技術(shù)

網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當廣泛，這是因為在目前的公用通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。同樣網(wǎng)絡(luò)安全的技術(shù)措施也包括很多，包括有身份驗證、訪問授權(quán)、加解密技術(shù)、防火墻技術(shù)等等。雖然，近幾年來涌現(xiàn)出了很多的網(wǎng)絡(luò)安全技術(shù)，但防火墻技術(shù)仍然是最常用的一種網(wǎng)絡(luò)安全技術(shù)。

防火墻是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它使內(nèi)部網(wǎng)絡(luò)與Internet之間，或與其他外部網(wǎng)絡(luò)互相隔離，從而保護內(nèi)部網(wǎng)絡(luò)的安全。

可以將防火墻的主要功能概括為：過濾不安全服務(wù)及非法用戶、控制對站點的訪問、監(jiān)視Internet安全和預(yù)警。

一、防火墻的種類

防火墻的實現(xiàn)技術(shù)大體可以劃分為兩種：報文過濾和應(yīng)用層網(wǎng)關(guān)。

（一）報文過濾

報文過濾是在網(wǎng)絡(luò)協(xié)議的IP層實現(xiàn)的，路由器可以完成。它根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口及報文傳遞方向等報文信息來判斷是否允許報文通過。

報文過濾的主要弱點是不能在用戶級別上進行過濾，即不能識別不同的用戶和防止IP地址的盜用，如果攻擊者把自己主機的IP地址設(shè)成一個合法主機IP地址，就可以很輕易地通過報文過濾器

（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)（Application Layer Gateway Service），簡稱“ALG”（也叫應(yīng)用層防火墻或應(yīng)用層代理防火墻），其進程名是alg.exe[1]（所在位置C：＼Windows＼System32），應(yīng)用層網(wǎng)關(guān)通常被描述為第三代防火墻。當受信任網(wǎng)絡(luò)上的用戶打算連接到不受信任網(wǎng)絡(luò)（如Internet）上的服務(wù)時，該應(yīng)用被引導(dǎo)至防火墻中的代理服務(wù)器。代理服務(wù)器可以毫無破綻地偽裝成Internet上的真實服務(wù)器。它可以對請求進行評估，并根據(jù)一套單個網(wǎng)絡(luò)服務(wù)的規(guī)則決定允許或拒絕該請求。WinXP Home/PRO默認安裝的啟動類型為手動。

對于防火墻技術(shù)來說，報文過濾的弱點可以通過應(yīng)用層網(wǎng)關(guān)來克服，在網(wǎng)絡(luò)協(xié)議的應(yīng)用層實現(xiàn)防火墻，其實現(xiàn)方式也有多種：包括應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代理服務(wù)器、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換、隔離域名服務(wù)器、郵件技術(shù)。

1.應(yīng)用代理服務(wù)器：在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)；當外部某臺主機試圖網(wǎng)絡(luò)訪問受保護的網(wǎng)絡(luò)時，必須先在防火墻上進行身份的認證，然后防火墻把外部主機與內(nèi)部主機連接。防火墻可以限制用戶訪問主機、訪問時間及訪問方式。同樣受保護的主機訪問外部網(wǎng)絡(luò)主機也需要防火墻的認證后才能訪問。

2.回路級代理服務(wù)器：它是一種網(wǎng)絡(luò)應(yīng)用層的國際標準，當受保護網(wǎng)絡(luò)主機需要與外部網(wǎng)絡(luò)交換信息時，在防火墻上可以查到該主機的報文信息，如UserID、IP源地址、IP目的地址等，經(jīng)過確認后方可與外界網(wǎng)絡(luò)互聯(lián)。對用戶來說，受保護網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，因為網(wǎng)絡(luò)用戶不需要登陸到防火墻上，受保護的網(wǎng)絡(luò)主機登陸到外網(wǎng)主機的IP地址也是防火墻的IP地址。

3.IP通道：如果一個大公司的兩個子網(wǎng)相隔較遠，需要通過Internet進行通信，則可以通過IP通道來防止Internet上的黑客截取信息，從而在Internet上形成一個虛擬的企業(yè)網(wǎng)。

二、防火墻技術(shù)的構(gòu)建

（一）屏蔽路由器

屏蔽路由器是最常用的基本構(gòu)建，可以由廠家專門生產(chǎn)路由器來實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有報文都必須在此通過檢查，同時路由器上必須安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能，許多路由器本省均帶有報文過濾配置選項，一般比較簡單。

（二）屏蔽主機網(wǎng)關(guān)

屏蔽主機網(wǎng)關(guān)技術(shù)易于實現(xiàn)也很安全，應(yīng)用也較為廣泛；如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。

如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機就會受到很大威脅。

（三）屏蔽子網(wǎng)

屏蔽子網(wǎng)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。

屏蔽主機體系結(jié)構(gòu)使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機的服務(wù)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連），其實現(xiàn)方法：例如兩個路由器一個控制Intranet數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。

（四）其他網(wǎng)絡(luò)安全策略

隨著網(wǎng)絡(luò)的發(fā)展，保證網(wǎng)絡(luò)安全的策略除了上面所說的防火墻技術(shù)之外，還能采用以下方法：1、用備份和鏡像技術(shù)提高數(shù)據(jù)完整性；2、定期檢查病毒；3、及時安裝各種補丁程序；4、提高物理安全；5、仔細閱讀網(wǎng)絡(luò)管理人員判斷和解決問題的日志；6、加密文件。

防火墻技術(shù)是目前應(yīng)對網(wǎng)絡(luò)安全問題的有效的技術(shù)手段之一，但是網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個系統(tǒng)的安全。

參考文獻：

[1]劉玉莎.防火墻技術(shù)的研究與探討[J].計算機系統(tǒng)應(yīng)用，1999（09）.

[2]王麗艷.淺談防火墻技術(shù)與防火墻系統(tǒng)設(shè)計[J].遼寧工學院學報，2001（01）.

[3]郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計[J].江漢大學學報，2001（03）.

作者簡介：

易偉（1984—），男，河南信陽人，助理實驗師，現(xiàn)供職于鄭州科技學院，研究方向：信息管理、管理學，教育學等。

彭淑華（1981—），女，黑龍江伊春人，助理實驗師，現(xiàn)供職于鄭州科技學院，研究方向：計算機，教育學。