淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

◆曾亮英

?

淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

◆曾亮英

(陽(yáng)江技師學(xué)院 廣東 529500)

互聯(lián)網(wǎng)科學(xué)技術(shù)水平的快速發(fā)展，與之而生的網(wǎng)絡(luò)病毒也在非法入侵到我們的網(wǎng)絡(luò)生活，盜取我們的信息，威脅著我們?nèi)松碡?cái)產(chǎn)安全。對(duì)此，網(wǎng)絡(luò)上主動(dòng)威脅問(wèn)題引起了人們對(duì)網(wǎng)絡(luò)信息安全性的高度重視.作為維護(hù)網(wǎng)絡(luò)安全的第一道關(guān)卡，防火墻在網(wǎng)絡(luò)安全防范上提供了堅(jiān)實(shí)的安全保障，正越來(lái)越被廣泛的關(guān)注，加強(qiáng)防火墻的管理與應(yīng)用對(duì)企業(yè)的安全至關(guān)重要。本文首先對(duì)防火墻技術(shù)及其特點(diǎn)進(jìn)行闡述，針對(duì)當(dāng)前互聯(lián)網(wǎng)的安全隱患問(wèn)題，提出防火墻技術(shù)原理及在網(wǎng)絡(luò)安全中的應(yīng)用，以期對(duì)相關(guān)從業(yè)者有所借鑒。

防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用；安全隱患

0 引言

隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)上豐富的信息給人們的生活、工作、學(xué)習(xí)等各方面都帶來(lái)了極大的便利，人們對(duì)互聯(lián)網(wǎng)的依賴也越來(lái)越強(qiáng),網(wǎng)絡(luò)已經(jīng)成為人們生活中不可缺少的一個(gè)部分。但是，互聯(lián)網(wǎng)是一個(gè)相對(duì)較為開(kāi)發(fā)的系統(tǒng)，網(wǎng)絡(luò)黑客的惡意攻擊、網(wǎng)絡(luò)病毒的入侵植入等等，對(duì)互聯(lián)網(wǎng)用戶的人身財(cái)產(chǎn)安全都產(chǎn)生了很大的不利影響。對(duì)此，隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)信息的安全越來(lái)越得到人們的重視。雖然，近幾年來(lái)涌現(xiàn)出了很多的網(wǎng)絡(luò)安全技術(shù)，但防火墻技術(shù)仍然是最常用的一種網(wǎng)絡(luò)安全技術(shù)，防火墻技術(shù)與入侵檢測(cè)技術(shù)的有效結(jié)合，大大提高了網(wǎng)絡(luò)安全的防御能力。

1 防火墻技術(shù)的闡述

1.1防火墻技術(shù)的概念

防火墻技術(shù)（Firewall），主要通過(guò)部署一些硬件設(shè)備和軟件系統(tǒng)阻隔在黑客與網(wǎng)絡(luò)系統(tǒng)之間的防御屏障，所有的網(wǎng)絡(luò)入口都必須從這里經(jīng)過(guò)，部署的防火墻系統(tǒng)根據(jù)企業(yè)的安全策略有效的為信息提供安全服務(wù)，具體的功能主要有：動(dòng)態(tài)包過(guò)濾技術(shù)功能、部署網(wǎng)絡(luò)地址變換、控制不安全的服務(wù)、集中的安全保護(hù)、加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制、網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì)以及報(bào)警功能等。

它是通過(guò)對(duì)來(lái)自網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求通過(guò)訪問(wèn)控制策略而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的檢測(cè)和管理，對(duì)于非法入侵，限制其請(qǐng)求服務(wù)，并對(duì)訪問(wèn)請(qǐng)求進(jìn)行及時(shí)的記錄，為網(wǎng)絡(luò)安全管理提供參考依據(jù)。同時(shí)，對(duì)防火墻內(nèi)部網(wǎng)絡(luò)的安全隱患難以發(fā)現(xiàn)，對(duì)存在問(wèn)題的安全策略難以實(shí)現(xiàn)自查和自糾等。

1.2防火墻技術(shù)的分類

防火墻技術(shù)主要分為包過(guò)濾防火墻、應(yīng)用程序級(jí)網(wǎng)關(guān)、狀態(tài)包檢測(cè)防火墻以及復(fù)合型防火墻。其中包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，應(yīng)用程序級(jí)網(wǎng)關(guān)工作在應(yīng)用層。（1）包過(guò)濾防火墻根據(jù)包的源地址、目的地址、端口號(hào)及協(xié)議地址等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才能被轉(zhuǎn)發(fā)到相應(yīng)的出口端，其具有部署簡(jiǎn)單、對(duì)應(yīng)用透明的特點(diǎn)；（2）應(yīng)用程序網(wǎng)關(guān)是一個(gè)組織網(wǎng)絡(luò)根據(jù)IP和TCP/UDP進(jìn)行的粗粒度過(guò)濾，即按照IP地址和端口地址進(jìn)行過(guò)濾，可以使內(nèi)部用戶連接某個(gè)外部的FTP站點(diǎn)，但是不允許外部客戶訪問(wèn)內(nèi)部的FTP站點(diǎn)。通常為了實(shí)現(xiàn)網(wǎng)絡(luò)安全控制，防火墻系統(tǒng)都是將包過(guò)濾防火墻和應(yīng)用程序網(wǎng)關(guān)結(jié)合起來(lái)，從而確保企業(yè)內(nèi)、外網(wǎng)的安全與穩(wěn)定；（3）狀態(tài)包檢測(cè)防火墻采用一種基于連接的狀態(tài)檢測(cè)機(jī)制將屬于同一連接的數(shù)據(jù)包作為一個(gè)整體，通過(guò)規(guī)則表與狀態(tài)表的配合來(lái)完成對(duì)表中的各個(gè)連接狀態(tài)因素的區(qū)分；（4）復(fù)合型防火墻以專用集成電路為基礎(chǔ)構(gòu)建，把病毒以及相關(guān)的信息內(nèi)容過(guò)濾整合到防火墻中。

1.3防火墻在網(wǎng)絡(luò)安全管理中重要性

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們的網(wǎng)絡(luò)安全意識(shí)的不斷提升，網(wǎng)絡(luò)安全技術(shù)也在不斷的創(chuàng)新開(kāi)發(fā)，其中防火墻技術(shù)是眾多網(wǎng)絡(luò)安全技術(shù)中的使用最為廣泛的技術(shù)之一，它不僅能夠從各類端口進(jìn)行判斷來(lái)自外部的非法訪問(wèn)，還能在網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)受到威脅時(shí)主動(dòng)攔截并發(fā)出警報(bào)提醒，在網(wǎng)絡(luò)安全管理方面起到了很大的促進(jìn)作用，可以有效的對(duì)網(wǎng)絡(luò)非法入侵提供預(yù)警，并將不安全的數(shù)據(jù)包進(jìn)行處理，對(duì)網(wǎng)絡(luò)安全起到了有效的監(jiān)控作用，是當(dāng)前網(wǎng)絡(luò)安全管理中防御效果較為明顯的網(wǎng)絡(luò)安全技術(shù)之一。

2 當(dāng)前互聯(lián)網(wǎng)的安全隱患問(wèn)題

由于Internet的開(kāi)放性，在企業(yè)網(wǎng)絡(luò)管理中，對(duì)于信息的保密和系統(tǒng)的安全考慮得并不完備，加上計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)上的攻擊與破壞事件不勝枚舉，使得企業(yè)的網(wǎng)絡(luò)安全問(wèn)題頻發(fā)。計(jì)算機(jī)黑客犯罪已經(jīng)滲入到政府機(jī)關(guān)、軍事部門(mén)、商業(yè)、企業(yè)等單位，如果不加以保護(hù)的話，輕則干擾人們的日常生活，重則造成巨大的經(jīng)濟(jì)損失，甚至威脅到國(guó)家的安全。據(jù)相關(guān)數(shù)據(jù)顯示，互聯(lián)網(wǎng)病毒侵染占整體的網(wǎng)絡(luò)安全事件中的85%，由于網(wǎng)絡(luò)病毒具有傳播快、攻擊性強(qiáng)、破壞力大等特點(diǎn)，每年因網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失巨大，網(wǎng)絡(luò)安全的意義也就愈加重要，維護(hù)好網(wǎng)絡(luò)的安全，保證網(wǎng)絡(luò)中各類軟硬件資源的安全，也就成了維護(hù)網(wǎng)絡(luò)安全的最終目的。

3 防火墻技術(shù)原理及在網(wǎng)絡(luò)安全中的應(yīng)用

3.1防火墻技術(shù)原理

防火墻技術(shù)原理主要體現(xiàn)在企業(yè)網(wǎng)與外網(wǎng)之間，在內(nèi)外與外網(wǎng)之間的數(shù)據(jù)傳輸過(guò)程中，對(duì)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控，對(duì)通過(guò)的信息進(jìn)行記錄和分析，只對(duì)授權(quán)的可靠數(shù)據(jù)允許傳輸，對(duì)于非法或攻擊性的訪問(wèn)進(jìn)行直接屏蔽，進(jìn)行檢測(cè)和報(bào)警，具有較強(qiáng)的抗病毒攻擊能力。目前在網(wǎng)絡(luò)安全管理中，不同的網(wǎng)絡(luò)管理需求通常采用不同的防火墻，在網(wǎng)絡(luò)中的數(shù)據(jù)包按照其構(gòu)成要求都包括源IP地址和目標(biāo)IP地址，通過(guò)對(duì)源和目的的分析來(lái)確定數(shù)據(jù)包的安全與否。通過(guò)在內(nèi)網(wǎng)和外網(wǎng)之間設(shè)置代理防火墻，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的跨網(wǎng)傳輸，代理的作用是將內(nèi)外網(wǎng)的請(qǐng)求都通過(guò)代理服務(wù)器來(lái)實(shí)現(xiàn)互通，從而對(duì)數(shù)據(jù)傳輸進(jìn)行詳細(xì)的跟蹤和記錄，以此加強(qiáng)了網(wǎng)絡(luò)的安全性。

3.2防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

（1）防火墻技術(shù)的安全部署

為了更好的防止外網(wǎng)攻擊，防火墻技術(shù)在實(shí)際的部署中，要處于外部網(wǎng)路和內(nèi)部網(wǎng)路之間，以便組織來(lái)自外部網(wǎng)絡(luò)的攻擊。特別是對(duì)于一些以其規(guī)模較大的企業(yè)，防火墻的部署要在每個(gè)虛擬局域網(wǎng)之間，如果企業(yè)需要通過(guò)公網(wǎng)連接來(lái)共享數(shù)據(jù)，防火墻的部署就要在這個(gè)之間。在安全部署上，我們要根據(jù)關(guān)鍵區(qū)域防火墻的主要功能與邊界區(qū)域防火墻的功能重點(diǎn)的不同進(jìn)行縝密的部署，具體分派到內(nèi)部防火和邊界防火墻上，內(nèi)部防火墻墻重點(diǎn)保護(hù)DMZ區(qū)域和提供深層次的檢測(cè)與告警，邊界防火墻提高數(shù)據(jù)過(guò)濾和轉(zhuǎn)發(fā)的功能，以便于充分發(fā)揮出防火墻的防御功能。

（2）防火墻與入侵檢測(cè)相結(jié)合的防御方式

一套嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)安全防御系統(tǒng)，需要進(jìn)行防護(hù)、檢測(cè)、報(bào)警等當(dāng)個(gè)步驟，簡(jiǎn)言之，就是首先對(duì)非法入侵網(wǎng)絡(luò)的入侵者通過(guò)檢測(cè)系統(tǒng)進(jìn)行檢測(cè)、篩選、分析，一旦發(fā)現(xiàn)確認(rèn)是非法入侵，將及時(shí)作出報(bào)警提示，以便網(wǎng)絡(luò)用戶作以及時(shí)的網(wǎng)絡(luò)安全的解決處理。雖然這種防御方式并不能實(shí)現(xiàn)完全防御，但是其檢測(cè)速度快，報(bào)警提示及時(shí)，在攻擊者入侵系統(tǒng)的同時(shí)，能夠更加便于我們做出及時(shí)的應(yīng)對(duì)措施去抵御攻擊。

所以，在網(wǎng)絡(luò)安全防御上，我們采用防火墻與入侵檢測(cè)相結(jié)合的防御方式，利用入侵檢測(cè)與防火墻的互動(dòng)性，結(jié)合兩者的功能和特點(diǎn)來(lái)建立一個(gè)有效的網(wǎng)絡(luò)安全防范系統(tǒng)。也就是當(dāng)網(wǎng)絡(luò)系統(tǒng)得知入侵檢測(cè)系統(tǒng)檢測(cè)到有攻擊者入侵時(shí)，便會(huì)作出相應(yīng)的反應(yīng)，這時(shí)可以由系統(tǒng)自動(dòng)或網(wǎng)絡(luò)管理員手動(dòng)的方式來(lái)針對(duì)入侵信息作出有效的防御。這樣可以在網(wǎng)絡(luò)安全防御上起到很好的優(yōu)勢(shì)互補(bǔ)，由入侵檢測(cè)系統(tǒng)來(lái)輔助防火墻系統(tǒng)，由防火墻系統(tǒng)更好的配合入侵檢測(cè)抵御外網(wǎng)非法攻擊。

4 結(jié)語(yǔ)

防火墻是網(wǎng)絡(luò)安全最為常用的防御技術(shù)，在當(dāng)前網(wǎng)絡(luò)安全防護(hù)方面也是最有效的技術(shù)手段，在網(wǎng)絡(luò)信息安全中的應(yīng)用領(lǐng)域也會(huì)變得越來(lái)越廣泛。但是，針對(duì)當(dāng)前防火墻技術(shù)而言，單靠防火墻技術(shù)很難應(yīng)付復(fù)雜多變的黑客攻擊，一旦網(wǎng)絡(luò)中的某些信息被內(nèi)部人員獲取，將很有可能對(duì)企業(yè)造成巨大的損失。所以，防火墻技術(shù)應(yīng)該加強(qiáng)進(jìn)一步的完善和更新，開(kāi)發(fā)對(duì)外網(wǎng)中的有毒數(shù)據(jù)的識(shí)別功能，加強(qiáng)對(duì)黑客攻擊的防御功能，這樣才能給網(wǎng)絡(luò)安全帶來(lái)很好的保護(hù)。

[1]曹秀娟.防火墻技術(shù)在校園網(wǎng)絡(luò)安全管理中的應(yīng)用[J].計(jì)算機(jī)安全，2013.

[2]王建章.防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].信息與電腦(理論版)，2014.

[3]董西尚.淺析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].湖北科技學(xué)院學(xué)報(bào)，2013.

[4]劉化君.基于區(qū)域分割的防火墻部署與配置[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[5]宋剛.基于網(wǎng)絡(luò)安全與企業(yè)選購(gòu)防火墻[J].企業(yè)導(dǎo)報(bào)，2013.

[6]于力.防火墻與計(jì)算機(jī)安全研究[J].軟件導(dǎo)刊，2014.