防火墻的網(wǎng)絡(luò)安全技術(shù)機(jī)制研究

◆李秀強(qiáng) 劉小寶 戴 昭 李 茜 謝 帥

（國網(wǎng)濟(jì)南供電公司 山東 250012）

防火墻的網(wǎng)絡(luò)安全技術(shù)機(jī)制研究

◆李秀強(qiáng) 劉小寶 戴 昭 李 茜 謝 帥

（國網(wǎng)濟(jì)南供電公司 山東 250012）

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題也隨之越來越多，網(wǎng)絡(luò)攻擊事件不斷發(fā)生，尤其是一些重要的政府部門或大型企業(yè)最容易受到黑客的攻擊，若網(wǎng)絡(luò)防護(hù)技術(shù)不過關(guān)，一旦遭遇黑客的攻擊，這些企業(yè)和部門將會(huì)遭受巨大的經(jīng)濟(jì)損失。防火墻是最早出現(xiàn)的一種網(wǎng)絡(luò)安全產(chǎn)品，技術(shù)相對(duì)較成熟，安全系數(shù)很高，已然受到了廣大網(wǎng)絡(luò)用戶和部門單位的信賴。

防火墻；網(wǎng)絡(luò)安全技術(shù)；措施

0 引言

在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中，防火墻已經(jīng)成為抵擋不良網(wǎng)絡(luò)信息入侵的關(guān)鍵，防火墻的核心就是在一個(gè)相對(duì)不穩(wěn)定的網(wǎng)絡(luò)環(huán)境中構(gòu)建出一個(gè)較安全的子網(wǎng)平臺(tái)。本文描述了防火墻的類型、設(shè)計(jì)原則等并簡要分析了防火墻的安全策略及發(fā)展前景。

1 防火墻的概念及功效

防火墻可以阻斷外界不良網(wǎng)絡(luò)信息對(duì)本地網(wǎng)絡(luò)的攻擊，防火墻防護(hù)的范圍很廣，它不僅負(fù)責(zé)保護(hù)本地網(wǎng)絡(luò)不受外界網(wǎng)絡(luò)的攻擊，還要保證內(nèi)部信息不會(huì)被泄露出去，防火墻還起著過濾信息的作用，既可以分析外界傳遞的有效信息，又可以篩選出外界不良信息，擁有超強(qiáng)的信息處理能力。

2 防火墻的主要類型

2.1 過濾型防火墻

過濾型防火墻多應(yīng)用于數(shù)據(jù)流通量較大的網(wǎng)絡(luò)中，它的處理對(duì)象是流經(jīng)本地網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包的包頭，并可以作出是否接收的決定。過濾型防火墻相對(duì)于其他類型的防火墻最明顯的一個(gè)優(yōu)勢(shì)就是速度快，因?yàn)樗鼨z查的部位有限，僅僅是數(shù)據(jù)包包頭，并不會(huì)對(duì)數(shù)據(jù)包攜帶的其他內(nèi)容進(jìn)行檢測(cè)。相對(duì)應(yīng)的缺點(diǎn)就是此類防火墻在工作維護(hù)上沒有太高的要求且無法對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行細(xì)致的核查，而且這種防火墻在工作時(shí)所有可能用到的端口都是開放型的，很容易受到外界不良信息的攻擊。

2.2 狀態(tài)檢測(cè)型防火墻

狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層上有一個(gè)檢查引擎裝置，可以用來檢測(cè)截獲外來信息，并自動(dòng)判斷是否接收。這種防火墻安全度相對(duì)較高，并且具有很好的擴(kuò)展性。這種防火墻的處理系統(tǒng)透明化，性能也比較高，安全性相對(duì)于其他防火墻有很大的提升，而且狀態(tài)檢測(cè)型防火墻配置較方便，應(yīng)用范圍很廣。

2.3 代理型防火墻

代理型防火墻的服務(wù)器一般是對(duì)網(wǎng)絡(luò)流通的數(shù)據(jù)包進(jìn)行檢查并且可以通過用戶身份驗(yàn)證，篩選出符合要求的數(shù)據(jù)包，代理型防火墻的服務(wù)器可以很好的將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，一方面保證內(nèi)部網(wǎng)絡(luò)信息不被泄露，另一方面可以抵御外部不良網(wǎng)絡(luò)信息。這種防火墻的安全性能很高。

3 防火墻的安全技術(shù)設(shè)計(jì)原則

3.1 便捷性

防火墻的便捷性并不能因其采用的多重安全防護(hù)措施而降低，防火墻一系列的設(shè)計(jì)、安裝、調(diào)整等程序都要在同一個(gè)界面下完成，操作和管理都十分便捷。而且防火墻內(nèi)外網(wǎng)卡實(shí)行透明化，內(nèi)部服務(wù)器也不需再增加額外的配置，安全方便。

3.2 成本低

對(duì)于一般的網(wǎng)絡(luò)用戶來說，構(gòu)建一套網(wǎng)絡(luò)安全系統(tǒng)都會(huì)增加額外的成本，包括購買安全設(shè)備的費(fèi)用、設(shè)計(jì)安裝費(fèi)用、調(diào)整管理費(fèi)用等，而使用防火墻來進(jìn)行網(wǎng)絡(luò)防護(hù)，用戶可以選擇費(fèi)用較低的共享版本或者免費(fèi)版本，節(jié)省了很多額外的花費(fèi)。

3.3 可擴(kuò)展性

一套安全的網(wǎng)絡(luò)防護(hù)系統(tǒng)，并不可能保持永久的安全性，網(wǎng)絡(luò)環(huán)境在不斷的更新?lián)Q代，網(wǎng)絡(luò)防護(hù)系統(tǒng)也應(yīng)根據(jù)相應(yīng)網(wǎng)絡(luò)環(huán)境的改變而升級(jí)，這就要求原先的防火墻系統(tǒng)具有很強(qiáng)的可擴(kuò)展性。

3.4 嚴(yán)格選擇產(chǎn)品型號(hào)

選擇防火墻產(chǎn)品時(shí)，應(yīng)保證防火墻擁有一個(gè)穩(wěn)定的監(jiān)控體系，可以隨時(shí)監(jiān)控絕大多數(shù)的攻擊，以便提前采取防護(hù)措施。防火墻最好還要有認(rèn)證用戶身份信息的功能，防止不法分子冒充合法用戶攻擊網(wǎng)絡(luò)。防火墻還應(yīng)設(shè)置有多重防御層，當(dāng)?shù)谝坏婪谰€不能阻擋攻擊時(shí)，后面的防護(hù)層至少可以阻擋或者可以拖延時(shí)間，最重要的是要能隱藏內(nèi)部信息，要讓不法網(wǎng)絡(luò)攻擊者看不到網(wǎng)絡(luò)系統(tǒng)內(nèi)部的狀況，無法展開攻擊。

4 防火墻安全技術(shù)的實(shí)現(xiàn)方案

4.1 部署內(nèi)部防火墻

內(nèi)部防火墻一般部署在服務(wù)器的入口處。設(shè)計(jì)內(nèi)部防火墻時(shí)可以設(shè)置用戶的訪問權(quán)限，只給用戶提供必需的資源，防止不必要的浪費(fèi)。內(nèi)部防火墻還應(yīng)可以認(rèn)證用戶身份信息，防止不法分子冒充合法用戶來攻擊網(wǎng)絡(luò)。內(nèi)部防火墻應(yīng)有記錄網(wǎng)絡(luò)運(yùn)行的日志信息的性能，以便可以及時(shí)發(fā)現(xiàn)不法攻擊行為，實(shí)施相應(yīng)的安全策略。

4.2 部署外部防火墻

外部防火墻應(yīng)可以有效的將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，防止外界網(wǎng)絡(luò)的攻擊。在設(shè)計(jì)外部防火墻時(shí)同樣可以設(shè)置特定的訪問權(quán)限，只有被授權(quán)過的網(wǎng)絡(luò)用戶才有資格訪問內(nèi)部網(wǎng)絡(luò)，外部防火墻還應(yīng)設(shè)有地址隱藏功能，讓外部網(wǎng)絡(luò)無法捕捉到內(nèi)部網(wǎng)絡(luò)的信息，混淆攻擊者的視線，有效保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。

外部防火墻一般部署在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的部分，將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)充分隔離開，保證外部信息到達(dá)內(nèi)部網(wǎng)絡(luò)之前先要達(dá)到防火墻，防火墻將傳來的數(shù)據(jù)傳給相應(yīng)的處理服務(wù)器，由服務(wù)器判定是否接收外來信息。防火墻為連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通道，因此能夠?qū)?nèi)部網(wǎng)絡(luò)的所有訪問做一個(gè)詳細(xì)的記錄，可以為后面的管理維護(hù)工作帶來相應(yīng)的參考依據(jù)。

5 防火墻網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景

5.1 智能性

網(wǎng)絡(luò)安全面臨的問題復(fù)雜多變，網(wǎng)絡(luò)環(huán)境在不斷進(jìn)化，相應(yīng)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒的種類也在不斷變化，而當(dāng)今防火墻的處理能力有限，面對(duì)一些復(fù)雜的網(wǎng)絡(luò)病毒、不良信息等并不能很好的識(shí)別出來，這就需要防火墻具有智能識(shí)別的性能，智能型的防火墻必將成為以后的主流發(fā)展產(chǎn)品。

5.2 高效性

芯片技術(shù)和數(shù)碼技術(shù)在不斷發(fā)展，防火墻的內(nèi)部系統(tǒng)將會(huì)更多的參與到網(wǎng)絡(luò)的精細(xì)過濾程序中，防火墻為硬件和軟件的組合體，軟硬兼具的條件定能為網(wǎng)絡(luò)用戶提供更加安全有保障的性能服務(wù)。

6 總結(jié)

為了更好的保證網(wǎng)絡(luò)安全，需不斷完善防火墻各方面的性能，網(wǎng)絡(luò)環(huán)境日新月異，防火墻的網(wǎng)絡(luò)安全技術(shù)也應(yīng)不斷的創(chuàng)新，順應(yīng)多變的網(wǎng)絡(luò)環(huán)境，這就需要深入了解防火墻的功能、原理、構(gòu)造等，在不斷的實(shí)踐中完善提高防火墻的技術(shù)性能，提供給網(wǎng)絡(luò)用戶一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

[1]商娟葉，劉靜.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].電子設(shè)計(jì)工程，2010.

[2]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用.科技資訊，2007.

[3]畢曉東.基于防火墻的網(wǎng)絡(luò)安全技術(shù)初探[J].山東省農(nóng)業(yè)管理干部學(xué)院學(xué)報(bào)，2007.

[4]阮燦華.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].福建電腦，2006.

[5]劉益洪，陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信技術(shù)，2008.

[6]閻晶，王偉，寧宇鵬等.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005.

[7]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].安全教育學(xué)院學(xué)報(bào)，2011.

[8]鐘樂海.網(wǎng)絡(luò)安全技術(shù).電子工業(yè)出版社，2012.