計算機網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析

劉秀淑

（臨沂市中心醫(yī)院，山東 臨沂 276400）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和深入應(yīng)用，加強對計算機網(wǎng)絡(luò)安全技術(shù)的研究和探討變得愈發(fā)重要。防火墻技術(shù)為當(dāng)前計算機網(wǎng)絡(luò)安全中的關(guān)鍵技術(shù)，在互聯(lián)網(wǎng)領(lǐng)域有著極其廣泛的應(yīng)用，能夠為計算機和網(wǎng)絡(luò)建立安全屏障，保護網(wǎng)絡(luò)信息安全。

1 防火墻技術(shù)類型及其防護方式

1.1 數(shù)據(jù)包過濾型防火墻

數(shù)據(jù)包過濾型防火墻主要作用在網(wǎng)絡(luò)層，根據(jù)系統(tǒng)內(nèi)部過濾邏輯，檢查數(shù)據(jù)包的源地址、目的地址、協(xié)議狀態(tài)等相關(guān)參數(shù)，實現(xiàn)對數(shù)據(jù)包的有效選擇，判斷是否容許數(shù)據(jù)包通過，進而實現(xiàn)對整個網(wǎng)絡(luò)的隔離保護，能夠有效避免內(nèi)部網(wǎng)絡(luò)遭受攻擊。數(shù)據(jù)包過濾防火墻的邏輯相對簡單且成本低廉，安裝在路由器上即可，無須額外支付費用，同時具有相應(yīng)的網(wǎng)絡(luò)性能和良好的透明性。然而，這種防火墻無法徹底預(yù)防地址欺騙，且部分應(yīng)用協(xié)議不適用于數(shù)據(jù)包過濾[1]。

1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻

網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻技術(shù)只允許私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)，以實現(xiàn)對網(wǎng)絡(luò)的有效保護。內(nèi)部網(wǎng)絡(luò)通過安全卡訪問外部網(wǎng)絡(luò)時會產(chǎn)生映射記錄，此時系統(tǒng)會自動將外部的源地址和端口偽裝成臨時地址和端口，且偽裝的地址通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)相連，實現(xiàn)對外隱藏內(nèi)部網(wǎng)絡(luò)地址的效果，保障內(nèi)部網(wǎng)絡(luò)的安全性。外部網(wǎng)絡(luò)是通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)，無法得知內(nèi)部網(wǎng)絡(luò)的實際連接情況，只是通過開放地址和端口請求訪問。防火墻會根據(jù)提前定義的映射判斷訪問的安全性，在訪問安全的前提下，才會接受訪問請求。

1.3 應(yīng)用層防火墻

應(yīng)用層防火墻即在應(yīng)用層上建立協(xié)議，將網(wǎng)關(guān)安裝在專用工作站系統(tǒng)上，通過指定數(shù)據(jù)過濾邏輯，使其具備過濾和轉(zhuǎn)發(fā)功能。在實際過濾過程中，應(yīng)用層防火墻會對數(shù)據(jù)包展開分析、記錄和統(tǒng)計，并形成相應(yīng)的報告。這種依靠邏輯進行網(wǎng)絡(luò)保護的防火墻能夠有效抑制地域非法訪問和攻擊作用。

1.4 代理服務(wù)型防火墻

代理服務(wù)型就是通過第三方實現(xiàn)對網(wǎng)絡(luò)的保護，主要包括外部網(wǎng)站點、防火墻代理和被保護網(wǎng)站點3部分。應(yīng)用代理服務(wù)型防火墻，能夠?qū)崿F(xiàn)內(nèi)外部網(wǎng)絡(luò)的有效分隔，避免二者直接相連。代理服務(wù)型防火墻還需要提供日志、審計等服務(wù)。

1.5 監(jiān)測型防火墻

基于傳統(tǒng)防火墻開發(fā)了監(jiān)測型防火墻，能夠有效實現(xiàn)對各層數(shù)據(jù)的主動、實時監(jiān)測，并通過數(shù)據(jù)分析判斷非法侵入情況。此類防火墻具備分布式探測器，將其安裝在應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)節(jié)點中，檢測外部網(wǎng)絡(luò)攻擊和內(nèi)部惡意破壞，可實現(xiàn)全方面的防護[2]。

2 防火墻結(jié)構(gòu)分析

2.1 屏蔽路由器

作為連接內(nèi)外網(wǎng)絡(luò)的唯一通道，所有進出網(wǎng)絡(luò)的報文都需要通過屏蔽路由器的查驗，是防火墻系統(tǒng)的門戶。屏蔽路由器可通過專門的生產(chǎn)廠家獲得，也可通過主機實現(xiàn)。將報文過濾軟件安裝在路由器上，能夠?qū)崿F(xiàn)IP層報文的有效過濾和篩選。此外，很多路由器本身可進行過濾設(shè)置，但通常相對簡單，功能效果不如獨立的過濾軟件。需要注意，屏蔽路由器在使用過程中一旦遭受攻擊，通常難以被及時發(fā)現(xiàn)，且無法實現(xiàn)對不同用戶的有效識別。

2.2 主機網(wǎng)關(guān)

主機網(wǎng)關(guān)包括雙穴主機網(wǎng)關(guān)和被屏蔽主機網(wǎng)關(guān)2種。其中，雙穴主機網(wǎng)關(guān)由具備2塊網(wǎng)卡的堡壘主機構(gòu)成，在主機上安裝防火墻軟件，實現(xiàn)應(yīng)用程序的有效轉(zhuǎn)發(fā)，并提供相應(yīng)服務(wù)，包括維護系統(tǒng)日志、硬件拷貝日志、遠程日志等。與屏蔽路由器不同的是，雙穴主機網(wǎng)關(guān)功能較多，一旦黑客入侵堡壘主機，堡壘主機的防火墻功能就會喪失，導(dǎo)致任何用戶都能夠隨意訪問內(nèi)部網(wǎng)絡(luò)，產(chǎn)生嚴重的網(wǎng)絡(luò)安全威脅。

相比之下，被屏蔽主機網(wǎng)關(guān)的安全性更高且易實現(xiàn)。需要將堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，并將過濾規(guī)則設(shè)置在路由器上，使該主機成為外部網(wǎng)絡(luò)唯一可直達的主機，實現(xiàn)內(nèi)外網(wǎng)絡(luò)的有效隔離。若被保護網(wǎng)絡(luò)為虛擬擴展本地網(wǎng)絡(luò)，那么內(nèi)網(wǎng)的變化將不會對堡壘主機和路由器產(chǎn)生影響，實現(xiàn)對危險因素的有效限制。需要注意，若黑客登錄主機軟件，那么內(nèi)部網(wǎng)絡(luò)將會遭受極大威脅。

2.3 被屏蔽子網(wǎng)

通過在內(nèi)外網(wǎng)絡(luò)之間構(gòu)建被隔離的子網(wǎng)，使用過濾路由器，將子網(wǎng)與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)隔離，能夠?qū)崿F(xiàn)對計算機網(wǎng)絡(luò)的有效保護。此過程中內(nèi)外網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但無法穿越屏蔽子網(wǎng)直接連接。為進一步強化防護效果，可以將堡壘主機設(shè)置為被屏蔽子網(wǎng)的唯一訪問點。網(wǎng)絡(luò)危險點僅限于蓓蕾主機、子網(wǎng)主機、內(nèi)外網(wǎng)和屏蔽子網(wǎng)的路由器，增加了網(wǎng)絡(luò)攻擊難度，可有效保障防護效果。

3 現(xiàn)代防火墻技術(shù)的分析和應(yīng)用

隨著大數(shù)據(jù)時代的到來，計算機網(wǎng)絡(luò)安全防護要求不斷提升?，F(xiàn)代防火墻技術(shù)的研究應(yīng)著重加強對放行數(shù)據(jù)的安全性檢驗[3]。

3.1 新一代防火墻技術(shù)

新一代防火墻具有較強的集成性，能夠有效應(yīng)對多樣的風(fēng)險隱患。第一，透明代理技術(shù)。實現(xiàn)了有效訪問，極大地降低了登錄過程中的風(fēng)險隱患，避免出現(xiàn)登錄錯誤等情況，提高了實際運行效率。第二，靈活代理機制。代理系統(tǒng)作為防火墻軟件，具有重要的防護作用。在新一代防火墻技術(shù)中，代理系統(tǒng)的靈活性得到了極大提升，保障了網(wǎng)絡(luò)安全。其中，從內(nèi)網(wǎng)到外網(wǎng)主要采用的是網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，從外網(wǎng)到內(nèi)網(wǎng)則通過保密代理系統(tǒng)技術(shù)和非保密用戶定制代理技術(shù)實現(xiàn)靈活代理。第三，多級過濾技術(shù)。通過三級過濾和輔助鑒別方式，實現(xiàn)對數(shù)據(jù)信息的有效過濾。一級過濾為分組環(huán)節(jié)，篩除假冒IP地址；應(yīng)用網(wǎng)關(guān)為二級過濾環(huán)節(jié)，利用文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）等網(wǎng)關(guān)，監(jiān)測網(wǎng)絡(luò)通用服務(wù)；電路網(wǎng)關(guān)為三級過濾環(huán)節(jié)，用于監(jiān)測內(nèi)部主機與外部站點之間的連接，控制服務(wù)通行。第四，Internet網(wǎng)關(guān)技術(shù)。通過串聯(lián)方式實現(xiàn)網(wǎng)絡(luò)的有效防護，要求防火墻能夠支持所有網(wǎng)絡(luò)服務(wù)功能，并有效防止網(wǎng)絡(luò)漏洞。同時，具備多種安全應(yīng)用服務(wù)器，可以根據(jù)相應(yīng)服務(wù)器功能進行設(shè)置，保障防護效果。第五，安全服務(wù)器網(wǎng)絡(luò)。通過網(wǎng)卡實現(xiàn)對對外服務(wù)器的有效隔離和處理，使其既屬于內(nèi)網(wǎng)又與內(nèi)網(wǎng)隔離，以免內(nèi)網(wǎng)受到攻擊。第六，用戶加密技術(shù)。用戶加密技術(shù)用于滿足特定需求，為用戶提供定制服務(wù)。第七，審計告警技術(shù)。通過網(wǎng)絡(luò)監(jiān)控形成日志文件，包括內(nèi)核信息、接發(fā)郵件、已鑒別的訪問、告警條件以及出站代理等信息，并通過郵件或播報等方式進行報警。

3.2 智能防火墻及其應(yīng)用

智能防火墻技術(shù)是將人工智能技術(shù)融入其中，通過數(shù)據(jù)統(tǒng)計、記憶功能、概率分析以及決策管理等方式，實現(xiàn)數(shù)據(jù)的智能識別和處理，迅速提取網(wǎng)絡(luò)行為特征值并直接控制訪問，有助于提高防火墻運作效率。主要包括防掃描技術(shù)、包擦洗和協(xié)議正常化技術(shù)、防欺騙技術(shù)等[4]。智能防火墻技術(shù)主要應(yīng)用在預(yù)防入侵、黑客攻擊、惡意數(shù)據(jù)攻擊、IP欺騙以及潛在風(fēng)險隱患防范等方面，將傳統(tǒng)被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?/p>

3.3 嵌入式防火墻及其應(yīng)用

通過將防火墻內(nèi)嵌在路由器或交換機上實現(xiàn)有效防護。嵌入式防火墻在IP層運行，難以實現(xiàn)對病毒、蠕蟲、木馬程序的防護，屬于無監(jiān)控防護形式。嵌入式防火墻不受拓撲結(jié)構(gòu)的影響，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)邊緣的保護，并獨立于主機系統(tǒng)和程序，可實現(xiàn)遠程接入。嵌入式防火墻主要應(yīng)用于遠程辦公，需要訪問公司局域網(wǎng)的情況，保障網(wǎng)絡(luò)連接的可靠性和安全性。

3.4 分布式防火墻及其應(yīng)用

分布式防火墻主要作用在網(wǎng)絡(luò)主機上，通過安全軟件的形式，實現(xiàn)對主機的保護，主要包括網(wǎng)絡(luò)防火墻、主機防火墻、中心管理3種類型，且分別對應(yīng)不同的功能。分布式防火墻的主要優(yōu)點在于實現(xiàn)了對內(nèi)部網(wǎng)絡(luò)的防護，可抵御內(nèi)部攻擊，并消除網(wǎng)絡(luò)邊界通信問題和故障點，且不會受到拓撲影響，可實現(xiàn)移動計算。因此，分布式防火墻技術(shù)多應(yīng)用在企業(yè)網(wǎng)絡(luò)和服務(wù)器主機上，在封堵內(nèi)部網(wǎng)絡(luò)漏洞方面有著積極作用，能夠?qū)崿F(xiàn)對主機的有效保護。

3.5 混合型防火墻及其應(yīng)用

混合型防火墻是將多種防火墻技術(shù)進行融合應(yīng)用，實現(xiàn)對計算機網(wǎng)絡(luò)的全面防護，解決單一防護方式下存在的其他漏洞，提高薄弱之處的防護能力。混合型防火墻屬于組合結(jié)構(gòu)，包括內(nèi)外部防火墻、堡壘主機、基站主機服務(wù)器。由內(nèi)外防火墻在內(nèi)外網(wǎng)絡(luò)之間構(gòu)建屏蔽子網(wǎng)，將堡壘主機、服務(wù)器等布置其中形成多層防護。堡壘主機服務(wù)器逐層分析數(shù)據(jù)包協(xié)議，提取安全信息并將其發(fā)送給基站主機服務(wù)器，接收主機服務(wù)器傳回的過濾信息，配置過濾功能，完成數(shù)據(jù)包的過濾處理。針對內(nèi)部非法操作，可通過物理地址與IP地址的綁定實現(xiàn)安全防護。在給用戶分配IP地址時，在基站主機服務(wù)器中建表，并記錄IP地址映射的物理地址。在發(fā)生數(shù)據(jù)傳輸操作的過程中，數(shù)據(jù)包包含IP地址和映射的物理地址，因此系統(tǒng)可自動校對IP地址與映射的物理地址，若二者相符，即可進行通信。此外，混合防火墻包括Internet網(wǎng)關(guān)等技術(shù)，不僅能夠?qū)崿F(xiàn)信息的自動過濾、病毒預(yù)防，還可生成事件日志，在抵御內(nèi)外網(wǎng)絡(luò)攻擊和威脅方面有著良好的運行效果[5]。以某公司混合防火墻為例，基本配置代碼為

//基本配置

pix(config)#interface eth0 auto

pix(config)#interface ethl auto

pix(config)#interface eth2 auto

pix(config)#nameif Ethernet 0 outside security 0

pix(config)#nameif Ethernet l inside security 100

pix(config)#nameif Ethernet 2 dmz security 50

pix(config)#ip add inside 192.168.10.3 255.255.255.0

pix(config)#ip add dmz 192.168.10.1 255.255.255.0

pix(config)#ip add outside 44.45.102.3 255.255.255.0

pix(config)# nat(inside) 1 192.168.20.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.30.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.40.0 55.255.255.0

pix(config)# global (outside) 1 44.45.102.5-44.45.102.7

pix(config)# route outside 0 0 44.45.102.3

pix(config)# route inside 192.168.0.0 255.255.0.0 192.168.5.1

pix(config)#static(inside,outside) 44.45.102.3 192.168.10.3

netmask 255.255.255.255 0 0

4 結(jié) 論

隨著現(xiàn)代信息技術(shù)的發(fā)展和深入應(yīng)用，防火墻技術(shù)水平得到了極大提升，如智能防火墻、嵌入式防火墻、分布式防火墻等技術(shù)也得到了廣泛運用，在預(yù)防黑客攻擊、實現(xiàn)遠程辦公、解決內(nèi)部網(wǎng)絡(luò)攻擊等方面發(fā)揮了巨大作用。不同防火墻技術(shù)的優(yōu)勢不同，因此不同的防火墻技術(shù)適用的領(lǐng)域也有所區(qū)別。為實現(xiàn)對計算機網(wǎng)絡(luò)的有效保護，可根據(jù)具體需要設(shè)計混合型防火墻，更好地保障網(wǎng)絡(luò)的使用安全和效率。