計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究探討

摘 要：計(jì)算機(jī)科學(xué)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展不僅給使用者帶來(lái)了極大的方便和利益，同時(shí)也會(huì)因網(wǎng)絡(luò)安全隱患給使用者造成重大的損失。防火墻作為網(wǎng)絡(luò)安全防護(hù)的重要手段，對(duì)網(wǎng)絡(luò)信息的輸送起到了檢驗(yàn)和管控作用，為網(wǎng)絡(luò)安全做出了重要的貢獻(xiàn)。詳細(xì)闡述了防火墻的在保障信息安全方面發(fā)揮的重要作用、應(yīng)用現(xiàn)狀和優(yōu)缺點(diǎn)，并分析了防火墻發(fā)展的方向。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻技術(shù)；研究探討

中圖分類號(hào)：TP393.08

計(jì)算機(jī)信息網(wǎng)絡(luò)因其具有信息量大、傳播速度快、帶有資源共享等優(yōu)點(diǎn)，被國(guó)內(nèi)外個(gè)人和機(jī)構(gòu)廣泛應(yīng)用。目前我國(guó)的CER-NET、CSTNET、CHINANET和CHINAGBN等四個(gè)與國(guó)際互聯(lián)網(wǎng)INTERNET連接的國(guó)家級(jí)計(jì)算機(jī)網(wǎng)絡(luò)均得到了相應(yīng)使用者的廣泛使用，使得我國(guó)個(gè)人、科研機(jī)構(gòu)、政府和企業(yè)受益頗多，在一定程度上可以說(shuō)我國(guó)已經(jīng)進(jìn)入了信息化社會(huì)[1]。然而，在計(jì)算機(jī)信息網(wǎng)絡(luò)使用者獲得方便、快捷的同時(shí)，也面臨這一系列的信息網(wǎng)絡(luò)安全問(wèn)題，個(gè)人和機(jī)構(gòu)的敏感信息和保密數(shù)據(jù)經(jīng)常被更改和泄露。據(jù)有關(guān)資料顯示，每年我國(guó)有1/5的電腦曾受到病毒的入侵，給個(gè)人、機(jī)構(gòu)和社會(huì)造成了極大地?fù)p失[2]。為了應(yīng)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全問(wèn)題，防火墻技術(shù)應(yīng)運(yùn)而生，防火墻的應(yīng)用使得計(jì)算機(jī)內(nèi)、外部網(wǎng)絡(luò)之間形成一個(gè)保護(hù)層，并強(qiáng)制所有信息必須經(jīng)過(guò)該保護(hù)層進(jìn)行傳輸，且只有被授權(quán)的信息能夠經(jīng)次保護(hù)層傳輸。

1 防火墻的作用

防火墻最早來(lái)源于建筑行業(yè)，是指為了阻止火患而構(gòu)筑的石質(zhì)構(gòu)筑物。后來(lái)網(wǎng)絡(luò)系統(tǒng)中也借用該名字作為過(guò)濾網(wǎng)絡(luò)信息的保護(hù)層，該保護(hù)層的設(shè)置要求所有的網(wǎng)絡(luò)信息輸送必須經(jīng)過(guò)該保護(hù)層，并且提供了內(nèi)網(wǎng)和外網(wǎng)信息輸送的控制和過(guò)濾功能，有效地阻止了外部病毒、黑客程序等入侵者的非法侵入。防火墻技術(shù)經(jīng)過(guò)多年的發(fā)展，已經(jīng)形成了監(jiān)測(cè)、控制網(wǎng)絡(luò)信息的有效工具，并被廣泛用在互聯(lián)網(wǎng)上。根據(jù)目前防火墻在計(jì)算機(jī)網(wǎng)絡(luò)通信中的功能，其作用主要可分為控制不安全服務(wù)、控制對(duì)特殊站點(diǎn)訪問(wèn)、集中安全保護(hù)和網(wǎng)絡(luò)信息的記錄和統(tǒng)計(jì)等[3]：（1）計(jì)算機(jī)防火墻的控制不安全服務(wù)主要是指對(duì)網(wǎng)絡(luò)信息的傳播和輸送進(jìn)行控制，只允許授權(quán)的服務(wù)信息通過(guò)保護(hù)層，這樣一方面可以通過(guò)控制非法侵入來(lái)提高計(jì)算機(jī)通信網(wǎng)絡(luò)的安全性，另一方面可以有選擇的允許對(duì)因特網(wǎng)上某些站點(diǎn)的訪問(wèn)；（2）防火墻可以控制對(duì)某些特殊站點(diǎn)的訪問(wèn)，這樣相當(dāng)于在網(wǎng)絡(luò)邊界設(shè)定一道關(guān)卡，對(duì)某些不必要和不安全站點(diǎn)進(jìn)行屏蔽，實(shí)現(xiàn)了從內(nèi)網(wǎng)控制外網(wǎng)的安全體系；（3）防火墻可以對(duì)局域網(wǎng)進(jìn)行控制，將大部分安全軟件集中放在內(nèi)部網(wǎng)絡(luò)防火墻系統(tǒng)中，避免了保護(hù)的分散，可以更好地集中管理，實(shí)事也證明集中在防火墻系統(tǒng)中的安全軟件的安全性遠(yuǎn)遠(yuǎn)高于放在單個(gè)能夠訪問(wèn)因特網(wǎng)的設(shè)備上；（4）內(nèi)、外網(wǎng)經(jīng)過(guò)防火墻的網(wǎng)絡(luò)信息傳輸情況會(huì)被防火墻記錄，這些記錄一方面可以統(tǒng)計(jì)分析網(wǎng)絡(luò)使用情況，對(duì)可疑動(dòng)作進(jìn)行警告，另一方面也可以使計(jì)算機(jī)使用者根據(jù)記錄采取具有針對(duì)性的網(wǎng)絡(luò)信息安全防范措施。

2 防火墻的應(yīng)用現(xiàn)狀概況

2.1 防火墻的技術(shù)現(xiàn)狀

目前，防火墻技術(shù)可以分為包過(guò)濾技術(shù)和代理網(wǎng)關(guān)技術(shù)兩大類[4]，其中包過(guò)濾技術(shù)經(jīng)過(guò)了靜態(tài)包過(guò)濾技術(shù)、動(dòng)態(tài)包過(guò)濾技術(shù)、全狀態(tài)檢測(cè)技術(shù)和深度包檢測(cè)技術(shù)四個(gè)發(fā)展階段，不僅使得防火墻技術(shù)得到了大幅度的提升，同時(shí)也改進(jìn)了網(wǎng)絡(luò)信息處理速度，可以有效避免病毒和黑客程序的侵入；代理網(wǎng)關(guān)經(jīng)過(guò)了應(yīng)用層代理、電路層帶路和自適應(yīng)代理三個(gè)階段的發(fā)展，使得這代理網(wǎng)關(guān)同時(shí)具有這三個(gè)階段的優(yōu)點(diǎn)，使其具備了較強(qiáng)的數(shù)據(jù)信息檢測(cè)能力，但是在使用性能和人性化設(shè)計(jì)方面與包過(guò)濾技術(shù)相比有一定的不足，往往需要輔助安裝相應(yīng)的客戶端軟件。

2.2 防火墻的優(yōu)缺點(diǎn)

2.2.1 防火墻的優(yōu)點(diǎn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，個(gè)人和機(jī)構(gòu)組織已經(jīng)融入了網(wǎng)絡(luò)化社會(huì)，每天都有數(shù)以億計(jì)的人參與到互聯(lián)網(wǎng)中，大量的信息不斷被傳輸和交換，這樣不可避免的產(chǎn)生一些非故意的和故意性的網(wǎng)絡(luò)信息安全問(wèn)題，這樣防火墻就可以充當(dāng)網(wǎng)絡(luò)交通警察的作用，對(duì)經(jīng)過(guò)防火墻的信息進(jìn)行過(guò)濾和處理，允許符合要求的信息通過(guò)，禁止非法信息侵入；防火墻能夠隔開網(wǎng)絡(luò)中的不同網(wǎng)段，同時(shí)可以有效地對(duì)傳輸?shù)男畔⑦M(jìn)行記錄，搜集使用和誤用的網(wǎng)絡(luò)通信信息。

2.2.2 防火墻的缺點(diǎn)。盡管防火墻在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中充當(dāng)著不可或缺的作用，為計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全提供了極大的幫助；但是，防火墻存在的不足也是顯而易見的。如果入侵者采用一定的技術(shù)手段侵入到防火墻內(nèi)部，造成防火墻如同虛設(shè)，使得入侵者輕而易舉的獲取信息數(shù)據(jù)；防火墻的一大弊端是只能對(duì)已經(jīng)知道的不安全因素進(jìn)行防備，往往對(duì)最新的不安全因素?zé)o能為力，資料顯示沒有任何一個(gè)防火墻可以防御所有的網(wǎng)絡(luò)信息威脅。

3 防火墻的發(fā)展方向

就目前而言，防火墻技術(shù)在網(wǎng)絡(luò)應(yīng)用已經(jīng)很成熟，取得的安全作用也很明顯。但是，不斷發(fā)展的計(jì)算機(jī)科學(xué)技術(shù)和網(wǎng)絡(luò)技術(shù)促使防火墻技術(shù)不斷進(jìn)步?，F(xiàn)就防火墻目前應(yīng)用現(xiàn)狀來(lái)闡述其發(fā)展方向。

傳統(tǒng)的防火墻往往起到邊界關(guān)卡的作用，在邊界將內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)信息進(jìn)行分割、過(guò)濾，使得內(nèi)部網(wǎng)絡(luò)不能收到外部威脅的侵害，這種防火墻設(shè)置模式是典型的阻外而不租內(nèi)模式，即對(duì)處理內(nèi)部威脅作用較小，這樣便需要防火墻帶有一定的分布式結(jié)構(gòu)才能最大限度的對(duì)信息進(jìn)行處理，保護(hù)內(nèi)外網(wǎng)絡(luò)不受入侵。現(xiàn)用防火墻的一大特點(diǎn)是多功能集中，既帶有協(xié)同私有網(wǎng)絡(luò)、網(wǎng)絡(luò)認(rèn)證、公鑰基礎(chǔ)設(shè)施、網(wǎng)絡(luò)協(xié)議安全性等的附加功能，同時(shí)又可以對(duì)病毒、黑客程序進(jìn)行防御，這正是防火墻的發(fā)展趨勢(shì)。當(dāng)前所用的性能高的包過(guò)濾型防火墻無(wú)法隊(duì)用戶身份進(jìn)行認(rèn)證，但其又具有較高的網(wǎng)絡(luò)安全防御性能，這樣不可避免的產(chǎn)生了沖突，基于這種認(rèn)識(shí)可以結(jié)合應(yīng)用層代理技術(shù)融入到包過(guò)濾技術(shù)，這樣才能更好的發(fā)揮防火墻作用，這也是防火墻技術(shù)發(fā)展的一個(gè)方向。

依靠單一的防火墻來(lái)確保網(wǎng)絡(luò)通信的安全性往往得不到應(yīng)有的預(yù)期效果。因此，應(yīng)以防火墻為基礎(chǔ)和核心建立防火墻防御系統(tǒng)，使得安全防御系統(tǒng)內(nèi)的各項(xiàng)安全技術(shù)各司其職，有條不紊的進(jìn)行安全防御工作，這樣就為網(wǎng)絡(luò)通信提供了多道安全防御戰(zhàn)線，從而實(shí)現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)信息的安全，我們現(xiàn)實(shí)中的防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的結(jié)合便是構(gòu)建防火墻防御系統(tǒng)的一個(gè)典型樣例。

4 結(jié)束語(yǔ)

計(jì)算機(jī)信息網(wǎng)絡(luò)因其具有信息量大、傳播速度快、帶有資源共享等優(yōu)點(diǎn)，被國(guó)內(nèi)外個(gè)人和機(jī)構(gòu)廣泛應(yīng)用。信息網(wǎng)絡(luò)使用者獲得方便、快捷的同時(shí)，也面臨這一系列的信息網(wǎng)絡(luò)安全問(wèn)題。防火墻作為網(wǎng)絡(luò)安全防護(hù)的重要手段，對(duì)網(wǎng)絡(luò)信息的輸送起到了有效的檢驗(yàn)和管控作用，確保了網(wǎng)絡(luò)信息的安全性。目前的防火墻也有一些弊端和漏洞，對(duì)安全防御工作造成了一定的影響，鑒于此必須正確正視這些問(wèn)題，結(jié)合新技術(shù)使其向著性能佳、功能大的方向發(fā)展。

參考文獻(xiàn)：

[1]劉喆，王蔚然.分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)研究[J].電子科技大學(xué)學(xué)報(bào)，2005（03）：351-354.

[2]楊志勇.網(wǎng)絡(luò)安全與對(duì)未來(lái)防火墻技術(shù)的展望[J].鄂州大學(xué)學(xué)報(bào)，2007（02）：20-23.

[3]趙戈，錢德沛，范暉.用分布式防火墻構(gòu)造網(wǎng)絡(luò)安全體系[J].計(jì)算機(jī)應(yīng)用研究，2004（02）：106-107.

[4]唐建國(guó).防火墻的安全及其效能分析[J].中國(guó)科技信息，2007（04）：120-121.

作者簡(jiǎn)介：成萍（1969.12-），女，河南焦作人，工程師，現(xiàn)從事通信技術(shù)管理工作。

作者單位：中國(guó)人民解放軍72495部隊(duì)司令部通信科，鄭州 450053