防火墻網(wǎng)絡安全技術探析

◆劉敏龍

(浙江工業(yè)大學 浙江 310000)

防火墻網(wǎng)絡安全技術探析

◆劉敏龍

(浙江工業(yè)大學 浙江 310000)

本文從防火墻網(wǎng)絡安全技術的相關概述入手，著重分析了防火墻網(wǎng)絡安全技術的改進技術，并探索了防火墻關鍵技術及防火墻技術的發(fā)展趨勢。

防火墻；網(wǎng)絡安全；技術

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，人們的生活和工作對網(wǎng)絡的依賴程度越來越高。網(wǎng)絡安全問題不僅會導致信息泄露，而且會嚴重影響財產(chǎn)安全，計算機網(wǎng)絡安全問題已經(jīng)成為人們使用網(wǎng)絡的首要問題。防火墻技術是解決網(wǎng)絡安全問題最為簡單有效的方案。但是，防火墻是不變的，而網(wǎng)絡安全問題是時刻變化發(fā)展的，只有不斷發(fā)展防火墻網(wǎng)絡安全技術，使之與互聯(lián)網(wǎng)的發(fā)展相適應才能夠真正解決網(wǎng)絡安全問題，同時對互聯(lián)網(wǎng)的發(fā)展和應用有著深刻意義。

1 防火墻網(wǎng)絡安全技術的相關概述

1.1 防火墻的基本概念

防火墻本來指用于防止火災蔓延的建筑物的隔斷墻，在計算機網(wǎng)絡環(huán)境下，防火墻被引申為保護網(wǎng)絡安全的防護墻。防火墻主要包括分離器、分析器和限制器。通常情況下，防火墻是主機、軟件和路由器的多種組合。但是，從本質(zhì)上來說，防火墻屬于計算機網(wǎng)絡保護裝置，用于保護網(wǎng)絡和用戶資源。而從技術方面來說，防火墻技術屬于一種訪問控制技術，主要在不安全網(wǎng)絡和機構網(wǎng)絡之間設置障礙，組織非法信息訪問網(wǎng)絡，進而保護網(wǎng)絡的安全性。

1.2 防火墻網(wǎng)絡安全技術的工作原理及特征

首先，從防火墻網(wǎng)絡安全技術的工作原理來說，其工作原理使防火墻按照預先規(guī)定的規(guī)則和配置對通過防火墻的數(shù)據(jù)進行監(jiān)控，并對沒有授權的數(shù)據(jù)進行限制。并且，防火墻會記錄相關信息的聯(lián)接來源、闖入者企圖以及服務器的通信量，以便于網(wǎng)絡管理人員的跟蹤共和監(jiān)測；其次，從防火墻的特性來說，所有計算機網(wǎng)絡信息都必須通過防火墻。并且，只有被計算機網(wǎng)絡允許的、受到網(wǎng)絡保護的信息才能夠通過防火墻。另外，防火墻會記錄所通過的信息和活動，并對網(wǎng)絡供給進行告警和檢測。

1.3 防火墻網(wǎng)絡安全技術的主要功能

首先，防火墻網(wǎng)絡安全技術具有認證功能，能夠?qū)π畔⑸矸葸M行認證，以保證數(shù)據(jù)發(fā)送者的可靠性和真實性；其次，防火墻網(wǎng)絡安全技術具有完整性功能，能夠?qū)ξ词跈嘈薷牡男畔⑦M行探測和標記，保證信息的完整性；其三，防火墻網(wǎng)絡安全技術具有訪問控制功能，能夠控制訪問者，并決定是否允許訪問者進入，以避免惡意攻擊和不允許訪問的訪問者進入網(wǎng)絡系統(tǒng)；其四，防火墻技術具有審計功能，能夠連續(xù)記錄系統(tǒng)的重要事件，并將所記錄的信息提供給網(wǎng)絡系統(tǒng)的管理人員；最后，防火墻技術具有訪問執(zhí)行功能，之后信息完整性檢測和信息認證都通過之后，信息才會通過防火墻進入網(wǎng)絡內(nèi)部。

1.4 防火墻網(wǎng)絡安全技術的優(yōu)點與不足

首先，防火墻網(wǎng)絡安全技術的優(yōu)點。第一，防火墻網(wǎng)絡安全技術能夠強化安全策略，保證符合規(guī)則和經(jīng)過許可的信息通過防火墻，而避免不被允許的信息通過防火墻。第二，防火墻網(wǎng)絡安全技術能夠記錄網(wǎng)上活動，加強網(wǎng)絡管理人員對網(wǎng)絡訪問和網(wǎng)絡操作的了解。第三，防火墻網(wǎng)絡安全技術能夠?qū)崿F(xiàn)網(wǎng)段控制，隔開某個網(wǎng)段，限制網(wǎng)段中的安全問題在整個網(wǎng)絡系統(tǒng)中的傳播。第四，防火墻本身是一個安全檢查點，能夠?qū)⑺杏幸蓡柕脑L問數(shù)據(jù)截止在防火墻之外；其次，防火墻的缺點。第一，防火墻無法方案惡意知情者，惡意知情者能夠通在內(nèi)部網(wǎng)絡中進行惡意攻擊。第二，防火墻不能防備全部的發(fā)完了威脅，有些科技水平較高的惡意攻擊行為可以通過防火墻。第三，防火墻不能防范網(wǎng)絡病毒，導致病毒侵襲嚴重。

2 防火墻網(wǎng)絡安全技術的改進技術分析

2.1 安全數(shù)據(jù)結構防火墻

基于安全數(shù)據(jù)的防火墻主要指在安全數(shù)據(jù)結構上建立防火墻的技術。安全數(shù)據(jù)本身作為一種邏輯結構，為網(wǎng)絡系統(tǒng)提供了安全模式。并且，安全數(shù)據(jù)網(wǎng)絡結構具有一定的規(guī)則，系統(tǒng)在完成網(wǎng)絡安全數(shù)據(jù)功能的時候必須遵循安全數(shù)據(jù)的相關規(guī)則，進而保證網(wǎng)絡系統(tǒng)的安全性。具體來說，在網(wǎng)絡運行之前，基于安全數(shù)據(jù)的防火墻的各個模塊要進行初始化設置和數(shù)字簽名，以便于之后的信息完整性檢測。然后，防火墻各模塊之間要進行雙向認證和自身完整性檢測，避免模塊被修改。另外，安全數(shù)據(jù)防火墻模塊內(nèi)存要隨時進行安全檢測，以保證防火墻信息沒有被修改。

2.2 流量調(diào)節(jié)防火墻

網(wǎng)絡安全技術中的流量調(diào)節(jié)防火墻技術主要指對數(shù)據(jù)包進行排隊，并對特定數(shù)據(jù)包賦予優(yōu)先級別，進而較快特定數(shù)據(jù)包的傳輸。而在數(shù)據(jù)包傳輸?shù)倪^程中，流量調(diào)節(jié)能夠區(qū)分安全業(yè)務量的界別和類型，并對安全業(yè)務進行處理，進而解決網(wǎng)絡擁塞問題。流量調(diào)節(jié)防火墻需要設置流量調(diào)節(jié)模塊，并匹配流量調(diào)節(jié)策略，按照匹配規(guī)則選擇優(yōu)先級數(shù)據(jù)包進行傳輸。

2.3 Agent防火墻技術

Agent的執(zhí)行過程主要包括事件接收、系統(tǒng)反應和事件發(fā)出這三個過程。Agent防火墻技術需要對系統(tǒng)內(nèi)部各個部件的Agent進行設計，并規(guī)范各部件Agent之間的通信。并且，如果要對計算機防火墻增加系統(tǒng)或更改構造需要改變或增刪Agent之間的互聯(lián)模型，允許計算機指令分布到不同網(wǎng)絡節(jié)點上，增強了防火墻結構的靈活性。

2.4 嵌入式防火墻

嵌入式防火墻技術主要針對內(nèi)部網(wǎng)絡安全問題。嵌入式防火墻技術集成了一解決各種安全問題的應用，為網(wǎng)絡用戶提供了安全、分布式、可管理的網(wǎng)絡環(huán)境。并且，嵌入式防火墻采用公鑰協(xié)議，增強了防火墻認證的透明度。而嵌入式防火墻主要包括可客戶認證代理、認證服務器、票據(jù)服務器和防火墻代理這四個部件，能夠有效防治外部網(wǎng)絡和內(nèi)部網(wǎng)絡的攻擊。

3 防火墻關鍵技術

防火墻關鍵技術主要包括數(shù)據(jù)包傳送技術、包過濾技術、代理技術和地址翻譯技術。其中，數(shù)據(jù)包傳送技術主要負責向網(wǎng)絡中傳送數(shù)據(jù)包。而數(shù)據(jù)保中包含著 IP地質(zhì)、目標端口、內(nèi)部協(xié)議等。數(shù)據(jù)包在傳輸?shù)倪^程中會通過不同的傳輸路徑到達目的地，并且，在數(shù)據(jù)包到達目的地之后會被重新包裝成原來的樣子。目前，數(shù)據(jù)包傳送技術已經(jīng)十分成熟，被廣泛運用到防火墻軟件中。包過濾技術主要利用路由監(jiān)視器度網(wǎng)絡中的數(shù)據(jù)包進行監(jiān)控，并拒絕發(fā)送和接收可疑的數(shù)據(jù)包，保證網(wǎng)絡數(shù)據(jù)安全。代理技術主要依靠代理服務設備。而代理服務設備能夠像防火墻一樣輸入封包并封鎖其他的數(shù)據(jù)包，進而產(chǎn)生類似防火墻的安全防范效果。地址翻譯技術主要指將數(shù)據(jù)包頭的數(shù)據(jù) IP地址轉轉換為其他的IP地址，使用共有IP地址來代替私有IP地址，節(jié)省可用IP地址空間。

4 防火墻技術的發(fā)展趨勢

首先，過濾包技術的發(fā)展趨勢。一些防火墻的生產(chǎn)商家將用戶服務和用戶認證拓展到防火墻上，使防火墻具備支持用戶安全的策略的功能。在這種情況下，用戶身份驗證需要采用級網(wǎng)關技術。而包過濾技術的防火墻不具有用戶驗證功能。但是，包過濾防火墻可以采用多級過來技術，并采用信息鑒別的手段，通過多級過濾，排除假冒地質(zhì)和不安全信息；其次，防火墻體系結構的發(fā)展趨勢。隨著計算機技術的發(fā)展，防火墻體系結構朝著安全、多功能和高速方向發(fā)展，運用網(wǎng)絡處理器、FPGA、ASIC等提高防火墻的信息辨別速度。并且，隨著芯片技術和算法的發(fā)展，防火墻技術會參與應用層的分析，進而為應用安全提供保障。

[1]宋柳松，吳少華，周安民.木馬穿透個人防火墻技術研究[J].信息安全與通信保密，2007.

[2]魯劍，楊樹堂，倪佑生.基于白名單的深度包檢測防火墻的改進方法[J].信息安全與通信保密，2005.

[3]黃志軍，趙皚，徐紅賢.網(wǎng)絡安全與防火墻技術[J].海軍工程大學學報，2002.