淺談防火墻的基礎(chǔ)技術(shù)

摘 要：在信息技術(shù)不斷發(fā)展進(jìn)步的今天，計(jì)算機(jī)的網(wǎng)絡(luò)安全技術(shù)成為了網(wǎng)絡(luò)發(fā)展的重要前提。網(wǎng)絡(luò)安全有其先天的脆弱性，所以在面對網(wǎng)絡(luò)黑客攻擊的危險(xiǎn)性和破壞手段多樣性的問題上，提高防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的重要手段和措施。防火墻運(yùn)用的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對安全子網(wǎng)環(huán)境。文章重點(diǎn)介紹防火墻的定義和分類，功能特性，設(shè)備管理和基本配置。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)

引言

隨著網(wǎng)絡(luò)的普及和推廣，電子商務(wù)的規(guī)模越來越大，網(wǎng)絡(luò)安全已經(jīng)不僅僅是科技人員和少數(shù)黑客所涉足的領(lǐng)域，龐大的網(wǎng)絡(luò)用戶也必須進(jìn)行了解和掌握，以便能夠在網(wǎng)絡(luò)交易中確保自己財(cái)產(chǎn)和個(gè)人信息的安全，如何更有效的保護(hù)重要信息數(shù)據(jù)，已經(jīng)成了全世界共同關(guān)注的話題，防火墻可以提高和加強(qiáng)網(wǎng)絡(luò)的安全性，保護(hù)當(dāng)今的網(wǎng)絡(luò)安全。所以防火墻的基礎(chǔ)技術(shù)普及是至關(guān)重要的。

1 防火墻概述

防火墻是一種將內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)絡(luò)分開的方法，其實(shí)它是一種隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，最大限度的阻止黑客訪問你的網(wǎng)絡(luò)。

2 防火墻功能特性與分類

主要功能分為訪問控制和業(yè)務(wù)感知：（1）邏輯區(qū)域過濾器；（2）隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)；（3）自身安全保障；（4）主動防御攻擊。防火墻按照形態(tài)分為硬件防火墻和軟件防火墻；按照保護(hù)對象可分為單機(jī)防火墻和網(wǎng)絡(luò)防火墻；按照訪問控制方式可分為包過濾防火墻、代理防火墻和狀態(tài)檢測防火墻，TCP-IP層-數(shù)據(jù)鏈路層-PC-防火墻-服務(wù)器-數(shù)據(jù)鏈路層-IP層-TCP層。防火墻組網(wǎng)方式：二層以太網(wǎng)接口（對網(wǎng)絡(luò)拓?fù)渫该?、不需要更改組網(wǎng)）；三層以太網(wǎng)接口（支持更多安全特性、對網(wǎng)絡(luò)拓?fù)溆兴绊懀?/p>

防火墻硬件平臺分類

（1）intel X86適用于百兆網(wǎng)絡(luò)，受CPU處理能力和PCI總線速度的限制。

（2）ASIC硬件集成電路，它把指令或計(jì)算機(jī)邏輯固化到硬件中，提升防火墻性能。

（3）NP網(wǎng)絡(luò)處理器是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，是X86與ASIC之間的折衷方案。

（4）多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機(jī)制。

什么是安全區(qū)域？安全區(qū)域（Security Zone），或者簡稱為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個(gè)或多個(gè)接口所連接的網(wǎng)絡(luò)。

防火墻安全區(qū)域分類：（1）缺省安全區(qū)域：a.非受信區(qū)域Untrust；b.非軍事化區(qū)域DMZ；c.受信區(qū)域Trust；d.本地區(qū)域Local。

防火墻安全攻擊防范：

網(wǎng)絡(luò)攻擊主要分為四大類：（1）流量型攻擊；（2）掃描窺探攻擊；（3）畸形報(bào)文攻擊；（4）特殊報(bào)文攻擊。

防火墻報(bào)文統(tǒng)計(jì)：

（1）報(bào)文統(tǒng)計(jì)。對于防火墻來說，不僅要對數(shù)據(jù)流量進(jìn)行監(jiān)控，還要對內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進(jìn)行檢測，因此要進(jìn)行大量的統(tǒng)計(jì)、計(jì)算與分析。

（2）防火墻對報(bào)文統(tǒng)計(jì)結(jié)果的分析有兩個(gè)方面。a.專門的分析軟件事后分析日志信息。b.防火墻實(shí)時(shí)完成一部分分析功能。

防火墻黑名單：

（1）黑名單。黑名單是一個(gè)IP地址列表。防火墻將檢查報(bào)文源地址，如果命中，丟棄所有報(bào)文。并且快速有效地屏蔽特定IP地址的用戶。

（2）創(chuàng)建黑名單表項(xiàng)，有如下兩種方式：a.通過命令手工創(chuàng)建。b.通過防火墻攻擊防范模塊或IDS模塊動態(tài)創(chuàng)建。

防火墻性能指標(biāo)：

（1）吞吐量：防火墻能同時(shí)處理的最大數(shù)據(jù)量。

（2）有效吞吐量：除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù)，實(shí)際的每秒傳輸有效速率。

（3）時(shí)延：數(shù)據(jù)包的第一個(gè)比特進(jìn)入防火墻到最后一個(gè)比特輸出防火墻的時(shí)間間隔指標(biāo)，是用于測量防火墻處理數(shù)據(jù)的速度理想的情況。

（4）每秒新建連接數(shù)：指每秒鐘可以通過防火墻建立起來的完整TCP連接，是用來衡量防火墻數(shù)據(jù)流的實(shí)時(shí)處理能力。

（5）并發(fā)連接數(shù)：防火墻是針對連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指防火墻可以同時(shí)容納的最大連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問。該參數(shù)是用來衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù)。

3 防火墻設(shè)備管理

3.1 設(shè)備登陸管理

（1）通過console口登陸設(shè)備：USG配置口登陸的缺省用戶名為admin，缺省用戶密碼為Admin@123。其中，用戶名不區(qū)分大小寫，密碼要區(qū)分大小寫。

（2）通過web方式登陸設(shè)備：設(shè)備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動獲取IP地址”。將PC的以太網(wǎng)口與設(shè)備的缺省管理接口直接相連，或者通過交換機(jī)中轉(zhuǎn)相連。在PC的瀏覽器中訪問http；//192.168.0.1，進(jìn)入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（3）通過telnet方式登陸設(shè)備：設(shè)備缺省可以通過GigabitEthernet0/0/0接口來實(shí)現(xiàn)Telnet登錄。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動獲取IP地址”。通過Putty telnet192.168.0.1，進(jìn)入登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（4）通過ssh方式登陸設(shè)備：新建用戶名為Client001的SSH用戶，且認(rèn)證方式為password。

[USG]ssh user client001

[USG]ssh user client001 authentication-type password

為SSH用戶Client001配置密碼為Admin@123。

[USG]aaa

[USG-aaa]local-user client001 password ciher Admin@123

[USG-aaa]local-user client001 service-type ssh

配置SSH用戶Client001的服務(wù)方式為Stelnet，并啟用Stelnet服務(wù)。

[USG]ssh user client001 service-type stelnet

[USG]stelnet server enable

以上配置完成后，運(yùn)行支持SSH的客戶端軟件，建立SSH連接。

3.2 設(shè)備文件管理

3.2.1 配置文件類型：saved-configuration current-configuration

3.2.2 配置文件操作

（1）保存配置文件；（2）擦出配置文件（恢復(fù)出廠設(shè)置）；（3）配置下次啟動時(shí)的系統(tǒng)軟件和配置文件；（4）重啟設(shè)備。

4 防火墻基本配置

（1）Vrp命令行級別分為：參觀級、監(jiān)控級、配置級、管理級。（2）vrp命令視圖：用戶視圖、系統(tǒng)視圖、接口視圖、協(xié)議視圖。

5 結(jié)束語

網(wǎng)絡(luò)的發(fā)展進(jìn)步，給我們的生活帶來了極大的便利，讓我們的生活越來越依賴于網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)的復(fù)雜多樣變化，人們對網(wǎng)絡(luò)安全也越來越關(guān)注，如何保護(hù)網(wǎng)絡(luò)的安全成為人們關(guān)注的焦點(diǎn)，防火墻技術(shù)的運(yùn)用是最好的選擇，為了讓與我們息息相關(guān)的網(wǎng)絡(luò)更安全，我們要不斷加強(qiáng)和發(fā)展防火墻技術(shù)，營造一個(gè)健康安全的網(wǎng)絡(luò)環(huán)境。