初探計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻技術(shù)

李哲文

摘 要：目前計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在社會上廣泛流行，這是計(jì)算機(jī)發(fā)展過程中可喜的一大步。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，病毒也應(yīng)運(yùn)而生。尤其是因特網(wǎng)的迅猛發(fā)展，病毒的傳播、黑客的攻擊和系統(tǒng)漏洞給計(jì)算機(jī)網(wǎng)絡(luò)帶來很大的威脅，人們越來越意識到計(jì)算機(jī)網(wǎng)絡(luò)的重要性。本文就計(jì)算機(jī)網(wǎng)絡(luò)安全的防火墻技術(shù)進(jìn)入探討，提出了自己的見解與看法。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全 防火墻技術(shù)

首先在這里介紹計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)概念：從狹義的保護(hù)的角度來看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息不受自然和人為有害因素的威脅和危害，從廣義來說，凡是涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。

所謂計(jì)算機(jī)網(wǎng)絡(luò)安全的保密性、完整性、可用性、真實(shí)性和可控性，是指計(jì)算機(jī)網(wǎng)絡(luò)安全所具有的特征。

一、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

1.來自操作系統(tǒng)或應(yīng)用系統(tǒng)方面的因素

目前所使用的操作系統(tǒng)都存在不同程度的安全問題和系統(tǒng)漏洞，應(yīng)用系統(tǒng)方面也是如此。

2.黑客攻擊的因素

由于技術(shù)本身的局限或防火墻錯(cuò)誤配置等原因，仍然很難保證這一網(wǎng)絡(luò)不遭受黑客攻擊。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。

3.病毒的因素

計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、是網(wǎng)絡(luò)效率急劇下降，甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素。

4.設(shè)備受損的因素

設(shè)備損壞主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站和電源等。

5.管理方面的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全涉及的技術(shù)很多也很復(fù)雜，但除此之外，與之相關(guān)的管理也顯得相當(dāng)重要，管理的科學(xué)與否直接關(guān)系到網(wǎng)絡(luò)的安全性強(qiáng)弱。

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)安全問題確實(shí)不容小視，因而制定相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全策略顯得相當(dāng)重要，安全策略的類型有很多，包括物理安全策略、訪問控制策略、數(shù)據(jù)加密策略、防火墻控制策略等。在這里我主要介紹防火墻控制策略。

二、防火墻的主要技術(shù)

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，用來限制外部非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源，通過建立起來的相應(yīng)網(wǎng)絡(luò)通信控制系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋網(wǎng)絡(luò)的侵入，防止偷竊或起破壞作用的惡意攻擊。

狹義的防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)，廣義的防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)是任何企業(yè)昀基本的安全技術(shù)，主要包括以下幾個(gè)方面：

1.包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)層依據(jù)系統(tǒng)的過濾規(guī)則，對數(shù)據(jù)包進(jìn)行選擇和過濾，這種規(guī)則有稱為訪問控制表（ACLs）。該技術(shù)通過檢查數(shù)據(jù)流量中的數(shù)據(jù)中的每個(gè)數(shù)據(jù)包的源地址、目標(biāo)地址、源端口、目的端口及協(xié)議狀態(tài)或它們的組合來確定是否允許該數(shù)據(jù)包通過。這種防火墻通常安裝在路由器上。

2.網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯昀初的設(shè)計(jì)目的的是增加在專用網(wǎng)絡(luò)中可使用的 IP地址數(shù)，但現(xiàn)在則用于屏蔽內(nèi)部主機(jī)。 NAT通過將專業(yè)網(wǎng)絡(luò)中的專業(yè) IP地址轉(zhuǎn)換成在 Internet上使用的全球唯一的公共 IP地址，實(shí)現(xiàn)對黑客有效的隱藏所有 TCP＼IP級的有關(guān)內(nèi)部主機(jī)信息的功能，使外部主機(jī)無法探測到它們。

NAT實(shí)質(zhì)上是一個(gè)基本的代理：一個(gè)主機(jī)充當(dāng)代理，代表內(nèi)部所有主機(jī)發(fā)出請求，從而將內(nèi)部主機(jī)的身份從公用網(wǎng)上隱藏起來了。

3.應(yīng)用級代理

開發(fā)代理的昀初目的是對 Web進(jìn)行緩存，減少冗余訪問，但現(xiàn)在主要用于防火墻。應(yīng)用級代理中的請求重新生成的過程和代理和位于內(nèi)部網(wǎng)和外部網(wǎng)之間的事實(shí)提供了許多的安全優(yōu)點(diǎn)，同時(shí)也存在不少隱患。

（1）代理隱藏了私有客戶，不讓他們暴露給外界。如同 NAT，代理服務(wù)器防止外部主機(jī)對內(nèi)部機(jī)器上服務(wù)的連接。但不便的是，客戶必須使用代理才能工作。

（2）代理能阻斷危險(xiǎn)的 URL。但因?yàn)?WEB站點(diǎn)可被輕易地根據(jù)它的 IP地址或整個(gè)地址號來進(jìn)行簡單的尋址，所以阻斷 URL也容易被消除。

（3）代理能在危險(xiǎn)的內(nèi)容如病毒和特洛伊木馬等傳送給客戶之前過濾掉它們，但是代理無法保護(hù)操作系統(tǒng)。

（4）代理能檢查返回內(nèi)容的一致性。但大多數(shù)一致性檢查都是在發(fā)現(xiàn)有被利用的弱點(diǎn)后有效。

（5）代理能消除在網(wǎng)絡(luò)之間的傳輸層路由。使用代理可使 TCP＼IP包不能真正在內(nèi)部網(wǎng)和外部網(wǎng)之間傳輸，并且可以防止大多數(shù)的服務(wù)拒絕和利用軟件弱點(diǎn)的攻擊。但協(xié)議存在是因?yàn)闆]有好的代理服務(wù)，阻斷路由功能通常使用得不充分。

（6）代理提供了單點(diǎn)的訪問、控制和日志記錄功能。代理保證所有內(nèi)容都通過單一點(diǎn)，此點(diǎn)稱為檢查網(wǎng)絡(luò)數(shù)據(jù)的檢查點(diǎn)。

三、防火墻的分類

1.按技術(shù)分類

根據(jù)采用的技術(shù)：防火墻分為三種基本類型，即包過濾型、代理型和監(jiān)測型。

（1）包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的包傳輸技術(shù)，網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模阑饓νㄟ^讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。

（2）代理型

代理型防火墻也稱為代理服務(wù)器，其安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶器與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從結(jié)構(gòu)上看，代理服務(wù)器由代理的服務(wù)器部分和代理的客戶機(jī)部分組成。從客戶器來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器，而從服務(wù)器來看代理服務(wù)器又是一臺真正的客戶機(jī)。

（3）監(jiān)測型

監(jiān)測型防火墻是一新一代的產(chǎn)品，它實(shí)際已經(jīng)超越了昀初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時(shí)的監(jiān)測。并在對這些數(shù)據(jù)分析的基礎(chǔ)上，能夠有效地判斷出各層中的非法入侵。

2.按結(jié)構(gòu)分類

目前，按結(jié)構(gòu)可分為簡單型和復(fù)合型。簡單型包括只使用屏蔽路由器或者作為代理服務(wù)器的雙目主機(jī)結(jié)構(gòu)；復(fù)合結(jié)構(gòu)一般包括屏蔽主機(jī)和屏蔽子網(wǎng)。

（1）雙目主機(jī)結(jié)構(gòu)

雙目主機(jī)結(jié)構(gòu)防火墻系統(tǒng)主要由一臺雙目主機(jī)構(gòu)成，具有兩個(gè)網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)和外部網(wǎng)，充當(dāng)轉(zhuǎn)發(fā)器。

（2）屏蔽主機(jī)結(jié)構(gòu)

雙目主機(jī)結(jié)構(gòu)提供來自于多個(gè)網(wǎng)絡(luò)連接的主機(jī)服務(wù)，但是路由關(guān)閉，否則從一塊網(wǎng)卡到另一塊網(wǎng)卡的通信會繞過代理服務(wù)軟件。

（3）屏蔽子網(wǎng)結(jié)構(gòu)

屏蔽子網(wǎng)結(jié)構(gòu)防火墻是通過添加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)為屏蔽主機(jī)結(jié)構(gòu)增添另一個(gè)安全層，這個(gè)邊界網(wǎng)絡(luò)有時(shí)候稱為非軍事區(qū)。壁壘主機(jī)是昀脆弱的、昀易受攻擊的，通過隔離壁壘主機(jī)的邊界網(wǎng)絡(luò) ，可減輕壁壘主機(jī)被攻破所造成的后果。

四、結(jié)束語

網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化、多樣化的今天，安全受到人們越來越多的關(guān)注。如何保護(hù)各類網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點(diǎn)，其中防火墻是運(yùn)用非常廣泛和效果昀好的選擇。但是，防火墻技術(shù)也有它的不足之處，為了更好的維護(hù)網(wǎng)絡(luò)安全，還需要其他的技術(shù)相結(jié)合，以及更先進(jìn)的技術(shù)發(fā)現(xiàn)。