防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用

吳名華

1 傳統(tǒng)防火墻技術(shù)分析

1.1 簡單包過濾技術(shù)

作為第一代防火墻技術(shù)，簡單包過濾技術(shù)的防火墻功能是通過檢查流經(jīng)網(wǎng)絡(luò)防火墻的每個數(shù)據(jù)包，并依照既定的安全策略判斷數(shù)據(jù)包是否符合通過要求得以實現(xiàn)的。該技術(shù)產(chǎn)生于1985年，是從Cisco的IOS軟件中分離并處理而得到的，經(jīng)過多項功能的修補與完善，其運行速度和數(shù)據(jù)包檢測效率等功能都得到了極大提升。簡單包過濾技術(shù)的基礎(chǔ)是對數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)和內(nèi)容進行全面分析，并基于數(shù)據(jù)包中的源地址、目的地址、每項IP包的端口號以及應(yīng)用協(xié)議等數(shù)據(jù)內(nèi)容對數(shù)據(jù)包的通過權(quán)限進行判斷，以此保證數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容不會對計算機網(wǎng)絡(luò)產(chǎn)生不良影響。在簡單包過濾技術(shù)中，其數(shù)據(jù)包過濾規(guī)則主要包括源地址、目的地址、源端口、目的端口及協(xié)議類型等內(nèi)容。該過濾技術(shù)依照數(shù)據(jù)過濾規(guī)則首先對數(shù)據(jù)頭部進行檢測，檢測后決定是否將其呈遞給下一級數(shù)據(jù)判斷協(xié)議。盡管簡單包過濾技術(shù)的檢測速度快且費用較低，但由于該技術(shù)的實現(xiàn)是以IP層面為基礎(chǔ)的，無法對數(shù)據(jù)包內(nèi)容進行深入檢測，所以其在數(shù)據(jù)包處理中針對更高協(xié)議的信息并不具備良好的理解能力。

1.2 應(yīng)用層網(wǎng)關(guān)代理技術(shù)

應(yīng)用層網(wǎng)關(guān)代理技術(shù)是由美國電報公司實驗室提出的。在該技術(shù)中，防火墻技術(shù)應(yīng)用到了數(shù)據(jù)應(yīng)用層，并以應(yīng)用層協(xié)議為基準(zhǔn)，對應(yīng)用層的數(shù)據(jù)編程和數(shù)據(jù)包開展針對性的驗證與檢查。在該網(wǎng)關(guān)代理技術(shù)中，防火墻能夠?qū)M出向數(shù)據(jù)包進行檢測，從應(yīng)用協(xié)議層和用戶層之間提取訪問控制，并通過網(wǎng)關(guān)復(fù)制傳輸數(shù)據(jù)，以有效防止客戶機與不受信任的主機建立聯(lián)系。

1.3 電路層網(wǎng)關(guān)代理技術(shù)

電路網(wǎng)關(guān)代理技術(shù)的開發(fā)始于20世紀(jì)80年代，該技術(shù)的實現(xiàn)是以數(shù)據(jù)傳輸層為基礎(chǔ)的，并在內(nèi)部端口和外部端點的TCP連接過程中設(shè)立了連接限制。這就使得數(shù)據(jù)包內(nèi)容檢測分為了兩個TCP連接部分，一個設(shè)立在外部主機和防火墻之間，另一個則建立于防火墻和顳部主機之間。TCP連接部分的分離使得不受系統(tǒng)限制的TCP連接在中轉(zhuǎn)過程中，其IP地址以電路層網(wǎng)關(guān)地址的方式呈現(xiàn)，并使外界能夠更為直觀地得知網(wǎng)關(guān)的目的地址的連接關(guān)系。電路層網(wǎng)關(guān)代理技術(shù)所開展的數(shù)據(jù)服務(wù)更多的是在傳輸層對非交互式應(yīng)用程序進行數(shù)據(jù)分析與處理。一旦用戶能夠通過該網(wǎng)關(guān)的技術(shù)檢驗，那么系統(tǒng)便允許用戶穿越網(wǎng)關(guān)進行系統(tǒng)訪問與服務(wù)。在這一過程中，該網(wǎng)關(guān)代理技術(shù)僅用于用戶和服務(wù)器間的連接，而無法對更深層的數(shù)據(jù)包進行訪問和認(rèn)證。

2 新型防火墻技術(shù)分析

2.1 多級過濾技術(shù)

為了有效地提升計算機網(wǎng)絡(luò)系統(tǒng)的防護水平和安全性，新型防火墻技術(shù)的開發(fā)采用了多級過濾技術(shù)，通過對數(shù)據(jù)包內(nèi)容進行多級鑒別，以實現(xiàn)對假冒IP地址和危險數(shù)據(jù)的有效濾除。新型多級過濾技術(shù)通常分為三個過濾級:第一過濾級是分組過濾，能夠過濾掉所有假冒的IP地址和源路由器分組IP地址;第二過濾級是應(yīng)用網(wǎng)關(guān)進行過濾，如SMTP、FTP等網(wǎng)關(guān)，以實現(xiàn)對系統(tǒng)運行服務(wù)器的有效實時監(jiān)測與控制;電路網(wǎng)關(guān)作為最后一級，是實現(xiàn)外部站點和內(nèi)部主機連接的關(guān)鍵，同時對網(wǎng)絡(luò)的運營與服務(wù)進行嚴(yán)格的控制與管理。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

在新型防火墻的構(gòu)建中，NAT技術(shù)有效地實現(xiàn)了計算機所有內(nèi)部地址的透明轉(zhuǎn)換，通過對計算機網(wǎng)關(guān)的內(nèi)部數(shù)據(jù)進行透明化處理，使得外部網(wǎng)絡(luò)無法獲知計算機內(nèi)部網(wǎng)絡(luò)的具體數(shù)據(jù)結(jié)構(gòu)。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在對內(nèi)部數(shù)據(jù)結(jié)構(gòu)進行透明化處理的同時，也為計算機網(wǎng)絡(luò)內(nèi)部的專用網(wǎng)絡(luò)和IP源地址提供了訪問權(quán)限，進而使得新型防火墻能夠?qū)γ總€主機的通信內(nèi)容進行記錄，以有力保證不同分組送往地址的正確性。

2.3 透明的訪問方式

傳統(tǒng)防火墻技術(shù)在應(yīng)用中通常會要求用戶進行系統(tǒng)登錄，或利用SOCKS等數(shù)據(jù)庫路徑對客戶機的應(yīng)用進行修改，而這些都是以數(shù)據(jù)表層結(jié)構(gòu)為基礎(chǔ)得以實現(xiàn)的，其本質(zhì)并不具備對IP地址判斷識別或數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換的能力。在新型防火墻技術(shù)中，透明訪問方式的采用則進一步深化了計算機網(wǎng)絡(luò)系統(tǒng)對用戶信息的處理層，進而有效地控制了系統(tǒng)登錄和數(shù)據(jù)庫訪問式登錄的錯誤和風(fēng)險發(fā)生概率。

2.4 用戶鑒別和加密技術(shù)

在防火墻產(chǎn)品的實際應(yīng)用中，為了有效降低Telnet FTP等服務(wù)在數(shù)據(jù)遠程管理中的安全風(fēng)險，采取一定的用戶鑒別措施和加密技術(shù)是十分必要的。新型防火墻技術(shù)則在自身系統(tǒng)中加入了用戶鑒別和加密技術(shù)，通過采用一次性使用的口令字技術(shù)極大地提升了系統(tǒng)自身的用戶鑒別效率和數(shù)據(jù)郵件的安全性。

2.5 審計和告警

為了進一步完善防火墻產(chǎn)品，新型防火墻技術(shù)還加入了數(shù)據(jù)審計和告警功能。其中，系統(tǒng)數(shù)據(jù)審計文件主要包括內(nèi)核信息、一般信息、接受郵件信息及其已發(fā)信息等，并通過將不同IP地址間的數(shù)據(jù)傳輸內(nèi)容進行對比與認(rèn)證，確保計算機主機系統(tǒng)與其他服務(wù)器間的正常連接，從而保證數(shù)據(jù)傳輸準(zhǔn)確性，并為計算機網(wǎng)絡(luò)數(shù)據(jù)的傳輸?shù)於〝?shù)據(jù)傳輸基礎(chǔ)。防火墻中所采用的告警功能能夠?qū)γ總€數(shù)據(jù)包的UDP或TCP進行探尋處理，一旦發(fā)現(xiàn)數(shù)據(jù)包中的UDP或TCP存在異常，便能夠通過發(fā)出聲響或呈遞郵件的形式報警，以便計算機網(wǎng)路系統(tǒng)及時地進行處理，有效地避免了數(shù)據(jù)包中潛在威脅對計算機網(wǎng)絡(luò)系統(tǒng)的影響。

3 新型防火墻技術(shù)發(fā)展方向

3.1 智能防火墻技術(shù)

所謂的智能防火墻是指通過對數(shù)據(jù)進行統(tǒng)計、處理等操作來實現(xiàn)對數(shù)據(jù)的識別，從而實現(xiàn)對訪問的控制功能。利用智能防火墻能夠有效地防控非正規(guī)數(shù)據(jù)的訪問，尤其是一些惡意數(shù)據(jù)，最關(guān)鍵的是在檢測出非正常數(shù)據(jù)后自動對其實施阻斷攔截。目前智能防火墻廣泛地應(yīng)用在對木馬病毒的防控中。智能防火墻的智能化還體現(xiàn)在對黑客非法行為的監(jiān)控上，比如智能防火墻能夠識別出黑客的掃描行為，并且進行有效的阻斷。最新的智能防火墻在自身防護性能上又進了一步，增加了反掃描技術(shù)，補充和完善了對惡意代碼的識別種類。擦洗技術(shù)也是智能防火墻技術(shù)中的一項強大功能，能夠?qū)P、ICMP等協(xié)議進行擦洗操作，保證網(wǎng)絡(luò)協(xié)議的正常化運行，避免網(wǎng)絡(luò)協(xié)議中出現(xiàn)潛在的風(fēng)險影響系統(tǒng)運行的穩(wěn)定性，并且智能防火墻在傳統(tǒng)防火墻的基礎(chǔ)上，完善了身份識別技術(shù)，從而有效地控制了訪問身份?？傮w來說，智能防火墻技術(shù)解決了高危病毒易傳播以及高級應(yīng)用的非法入侵問題，是防火墻技術(shù)未來的一種主要趨勢，勢必在應(yīng)對黑客攻擊、消除系統(tǒng)潛在風(fēng)險等領(lǐng)域取得更為廣泛的應(yīng)用。對于企業(yè)而言，智能防火墻還能實現(xiàn)對內(nèi)部局域網(wǎng)的有效管理和監(jiān)控效果。

3.2 分布式防火墻技術(shù)

分布式防火墻技術(shù)指依存于網(wǎng)絡(luò)安全防護軟件中的維護技術(shù)，主要包括網(wǎng)絡(luò)防火墻、主機防火墻兩種類型。其中網(wǎng)絡(luò)防火墻主要用于對局域網(wǎng)與互聯(lián)網(wǎng)之間的子網(wǎng)保護方面，而主機防火墻的應(yīng)用較為廣泛一些，主要是由于主機的位置可能在局域網(wǎng)內(nèi)，也可能在局域網(wǎng)外。分布式防火墻有效改善了傳統(tǒng)網(wǎng)絡(luò)的不足，降低了主機位置對網(wǎng)絡(luò)防護的影響，保護了系統(tǒng)的服務(wù)器以及桌面，并且支持具有身份認(rèn)證的網(wǎng)絡(luò)應(yīng)用以及移動計算。分布式防火墻主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)中，在彌補局域網(wǎng)內(nèi)部缺陷的同時，還能防控住局域網(wǎng)的內(nèi)部攻擊，從而實現(xiàn)對主機的有效防護。

3.3 嵌入式防火墻技術(shù)

所謂的嵌入式防火墻技術(shù)基于路由器內(nèi)部的防火墻技術(shù)，主要工作對象是IP層，從這個角度來講，嵌入式防火墻技術(shù)無法應(yīng)對來自應(yīng)用層面的病毒攻擊。但是嵌入式防火墻技術(shù)也有自身優(yōu)點，比如不管企業(yè)內(nèi)部網(wǎng)絡(luò)如何進行變化，嵌入式防火墻技術(shù)都能夠?qū)W(wǎng)絡(luò)甚至是網(wǎng)絡(luò)邊緣進行防護，也就是說，嵌入式防火墻技術(shù)能夠保證互聯(lián)網(wǎng)來訪企業(yè)內(nèi)部網(wǎng)絡(luò)的操作安全。

4 防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用

4.1 深層檢測防火墻技術(shù)

深層檢測防火墻技術(shù)是未來防火墻在計算機網(wǎng)絡(luò)安全防護中的改進方向。深層檢測防火墻技術(shù)能夠在識別到網(wǎng)絡(luò)信息后，對其內(nèi)部數(shù)據(jù)定向到TCP/IP堆棧，并且按照基本的檢測方式進行檢測。深層檢測防火墻技術(shù)在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上，補充和完善了對于惡意入侵信息的防護功能。未來的深層檢測防火墻技術(shù)不僅能夠?qū)W(wǎng)絡(luò)層進行實時保護，還能對網(wǎng)絡(luò)應(yīng)用層進行防控。尤其是對網(wǎng)絡(luò)應(yīng)用層的防護，深層檢測防火墻技術(shù)憑借其更加廣的檢測范圍以及更加有效的防控技術(shù)，勢必會在網(wǎng)絡(luò)應(yīng)用層的防護中占得一席之地。

4.2 流過濾防火墻技術(shù)

流過濾防火墻技術(shù)防護原理主要是在對包過濾進行檢測的基礎(chǔ)上，通過專業(yè)的內(nèi)嵌式TCP協(xié)議棧，來實現(xiàn)對TCP層中應(yīng)用協(xié)議信息的過濾操作。與深度檢測技術(shù)相比，流過濾技術(shù)的主要優(yōu)勢在于能夠?qū)π畔⑦M行識別以及滯留重組，并且還能夠?qū)⒅亟M的信息流交給應(yīng)用層進行過濾，實現(xiàn)對進入防火墻的數(shù)據(jù)實現(xiàn)完整的重組，從而實現(xiàn)對惡意攻擊行為的有效攔截。

4.3 防火墻的發(fā)展趨勢

未來的防火墻技術(shù)勢必會向著高性能、多功能的方向進步發(fā)展，其中可以通過對ASIC硬件加速技術(shù)來提高防火墻的運行速度，利用網(wǎng)絡(luò)處理器，通過微碼編程技術(shù)來實現(xiàn)系統(tǒng)的自由升級，就像現(xiàn)在的安卓系統(tǒng)一樣，如果技術(shù)過硬，還有可能實現(xiàn)對IPv6的支持。未來的防火墻技術(shù)勢必會集成更多的網(wǎng)絡(luò)安全防護功能，實現(xiàn)網(wǎng)絡(luò)防護功能的高度集成化，利用模塊形式存放到防火墻的機箱中，從而實現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的有效結(jié)合。隨著我國市場經(jīng)濟的不斷完善和發(fā)展，防火墻防護技術(shù)勢必也會走向產(chǎn)業(yè)化。目前我國的計算機網(wǎng)絡(luò)應(yīng)用發(fā)展面臨多方面的安全問題。加強計算機網(wǎng)絡(luò)應(yīng)用安全維護，不僅可以提高網(wǎng)絡(luò)運行的安全性，也為計算機網(wǎng)絡(luò)應(yīng)用的發(fā)展奠定了堅實的基礎(chǔ)。

［1］孫劍.淺談計算機網(wǎng)絡(luò)常見故障處理及維護方法［J］.科技博覽，2010(12):80.

［2］陳健.計算機網(wǎng)絡(luò)安全常見問題與對策［J］.信息系統(tǒng)工程，2012(3):68－69.

［3］郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護與網(wǎng)絡(luò)安全問題的探討［J］.科技資訊，2011(26):9－10.

［4］朱翔.淺析計算機網(wǎng)絡(luò)安全技術(shù)的發(fā)展與應(yīng)用［J］.中國科技信息，2007(10):106－107.