王巨松 仲華

撫順職業(yè)技術(shù)學院（撫順 113123）

現(xiàn)在，網(wǎng)絡(luò)中存在著的安全服務(wù)有兩種，第一種是存取控制，指不允許不合法的通信和聯(lián)網(wǎng)，第二種是在通信安全服務(wù)中所給予的數(shù)據(jù)要具有可信性和完整性，在對等的通信者進行訪問時擁有否定權(quán)，應用防火墻技術(shù)，就是完成上述所說的安全服務(wù)的主要方法之一。

1 防火墻概述

所謂 “防火墻”，其實是指一組或一個軟硬件系統(tǒng)，按照各種要求來保護網(wǎng)絡(luò)，所提出的要求可以是規(guī)定的網(wǎng)絡(luò)服務(wù)也可以是規(guī)定的應用的程序，也可以是規(guī)定的目標地址和源地址。防火墻其實是一種隔離方式，它會把internet與內(nèi)部網(wǎng)分開。防火墻能同意經(jīng)允許的數(shù)據(jù)和人進入網(wǎng)絡(luò)中，而且將不被允許的數(shù)據(jù)和人拒絕進入網(wǎng)絡(luò)，，有效地禁止網(wǎng)絡(luò)中所說的黑客來進入網(wǎng)絡(luò)中，阻止黑客來破壞的數(shù)據(jù)信息等。

防火墻技術(shù)有三個發(fā)展階段，先是包過濾技術(shù)，然后是代理技術(shù)，現(xiàn)在是狀態(tài)監(jiān)視技術(shù)。

2 防火墻的基本功能

2.1 網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)防火墻可以限制網(wǎng)絡(luò)與內(nèi)部網(wǎng)間的網(wǎng)絡(luò)訪問。沒有防火墻時，內(nèi)部網(wǎng)絡(luò)內(nèi)部的全部主機都可以通過網(wǎng)絡(luò)直接訪問，非常容易受到來自各個地方黑客的攻擊。內(nèi)部網(wǎng)的網(wǎng)絡(luò)防火墻就是一個了咽喉要道，內(nèi)部網(wǎng)絡(luò)將非法用戶隔離在外。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻設(shè)計良好時可以擁有地址轉(zhuǎn)換功能，網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)包含兩個目的:同意內(nèi)部網(wǎng)絡(luò)中的沒有注冊的 IP 地址去訪問 internet上的外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)的IP 地址資源非常緊張時會十分有用。內(nèi)部網(wǎng)絡(luò)的IP 地址可以隱藏起來，盡管這部分 IP 地址經(jīng)過了注冊， 網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)能夠防止內(nèi)部的IP 地址暴露出來，使它們不會成為被潛在攻擊的目標。網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)還可以提供給內(nèi)部網(wǎng)的計算機單一的 IP 地址，能夠隱藏internet服務(wù)器的真實地址，同時對公共網(wǎng)絡(luò)提供訪問。

2.3 事件記錄和通知

當內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭到攻擊時，防火墻可以因為它地處咽喉的優(yōu)點來完整的記錄網(wǎng)絡(luò)通訊，能夠查到安全漏洞所在。使用報警機制的防火墻可以檢測到可疑活動，實時地通知網(wǎng)絡(luò)管理員。

2.4 防火墻的分類

(1) 按實現(xiàn)的網(wǎng)絡(luò)層次分類。網(wǎng)絡(luò)采用 T CP/IP協(xié)議，在不同網(wǎng)絡(luò)層次上設(shè)置的電子屏障形成了很多類型的防火墻：包過濾型防火墻、電路網(wǎng)關(guān)和應用網(wǎng)關(guān)。

(2) 按實現(xiàn)的硬件環(huán)境分類。按照防火墻的硬件環(huán)境的實現(xiàn)，可以分成基于路由器的防火墻以及基于主機系統(tǒng)的防火墻。包過濾防火墻可以由路由器或者是同主機系統(tǒng)來實現(xiàn)，可以電路級網(wǎng)關(guān)還有應用級網(wǎng)關(guān)卻只能由主機系統(tǒng)來實現(xiàn)。

(3) 按拓樸結(jié)構(gòu)分類。根據(jù)拓樸結(jié)構(gòu)防火墻可以被分為雙穴網(wǎng)關(guān)和屏蔽主機網(wǎng)關(guān)還有屏蔽子網(wǎng)網(wǎng)關(guān)三。

2.5 防火墻的特性及局限性

正常情況下，一個計算機或軟件并不就能構(gòu)成一個防火墻系統(tǒng)，一套軟硬件才能構(gòu)成，防火墻有如下特性：除非明確允許才能支持，否則所有服務(wù)設(shè)計策略都會被拒絕。能夠很靈活，并且適應新的服務(wù)。能夠包括高級鑒別機制或許也能夠增加高級鑒別機制。應該應用過濾技術(shù)來同意或拒絕對某個指定主機的訪問。過濾手段應該靈活、友好，而且容易編程。

防火墻的局限性是不能對不經(jīng)由防火墻的攻擊進行防范，一旦內(nèi)部網(wǎng)用戶從Internet 服務(wù)器提供商那里直接購置的 PPP連接，卻繞過了防火墻系統(tǒng)的安全保護，由此一個潛在的攻擊渠道產(chǎn)生了。人為因素的攻擊不能被防火墻所防范，因口令泄露而受到的攻擊不能被防火墻所阻止，被病毒感染的軟件和文件也不能被防火墻不能阻止傳輸;數(shù)據(jù)驅(qū)動式的攻擊也不能被。

2.6 防火墻的安裝

(1)首先安裝防火墻引擎

防火墻引擎在防火墻中對通訊實施過濾，來實現(xiàn)管理服務(wù)器所安排的管理要求的組件。在網(wǎng)絡(luò)中，防火墻引擎被安裝于網(wǎng)絡(luò)的網(wǎng)關(guān)，在網(wǎng)絡(luò)中，兩個模塊組成了各個引擎：內(nèi)核模塊以及用戶模塊。

防火墻管理員制定規(guī)則后，IP包被內(nèi)核模塊引擎截獲后進行過濾，用戶模塊和管理服務(wù)器開始通訊并控制和監(jiān)視及支持內(nèi)核模塊，由于每個防火墻只能有一臺防火墻服務(wù)器被注冊，所以只有這臺服務(wù)能進行管理，每個防火墻引擎應用的防火墻策略都必須編譯為二進制形式，然后推入防火墻引擎。

(2)其次安裝管理服務(wù)器

防火墻存儲策略注冊后的的中央數(shù)據(jù)庫就是管理服務(wù)器。它還保管著其他相關(guān)的信息，有網(wǎng)絡(luò)服務(wù)定義、收集到的報警消息、防火墻管理員證書、另外還有防火墻時檢測信息等等。管理服務(wù)器還負責實施防火墻的用戶驗證，按照所選定的驗證類型(0S 或RADIUS)，登錄證書被管理服務(wù)器接受并為引擎實施驗證。

(3)最后安裝Java GUI 管理客戶端

管理服務(wù)器的圖形用戶界面就是管理客戶端。因為管理客戶端應用的Java，所以要求安裝客戶端的計算機中一定要裝有Java 運行環(huán)境。管理客戶端能夠和管理服務(wù)器一起安裝，也能夠和其他與管理服務(wù)器一起安裝在有TCP/IP連接的主機上。管理客戶端能夠連接到所有的管理服務(wù)器，但一定要有相應的權(quán)限。當用戶從管理客戶端登錄到管理服務(wù)時，根據(jù)相應的登錄證書，經(jīng)過驗證后，就可以提供了一條安全通道給這次會話。

防火墻是網(wǎng)絡(luò)安全的一種防范手段，而且應用得非常廣泛，它有很多的功能，比如可以承擔對主機和應用的安全訪問工作；承擔多種客戶機及服務(wù)器的安全保衛(wèi)工作；保衛(wèi)關(guān)鍵部門防御來自內(nèi)部和外部的攻擊、為網(wǎng)絡(luò)中和進行遠程訪問的各個用戶及供應商提供安全通道等等。一定要特別強調(diào)，防火墻技術(shù)在網(wǎng)絡(luò)的安全保護的應用中不是萬能的，它自己就存在著被非法入侵等安全風險，網(wǎng)絡(luò)安全是一個綜合性課題，需要在今后的實踐中不斷的摸索和創(chuàng)新。