摘要：網(wǎng)絡已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡的迅速發(fā)展，給我們的工作和學習生活帶來了巨大的改變。以下論述了網(wǎng)絡防火墻安全技術(shù)的分類及其主要技術(shù)特征。

關(guān)鍵詞：網(wǎng)絡安全，防火墻，技術(shù)特征

21世紀全世界的計算機不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。網(wǎng)絡防火墻技術(shù)是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設(shè)備。

一、防火墻的分類

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

（一）包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。

（二）網(wǎng)絡地址轉(zhuǎn)化—NAT

網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。

（三）代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。

（四）監(jiān)測型

監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。

二、現(xiàn)代企業(yè)面臨的安全風險

現(xiàn)代企業(yè)對網(wǎng)絡依賴主要來自于運行在網(wǎng)絡上的各種應用，同樣的，網(wǎng)絡的范圍也覆蓋到整個企業(yè)的運營區(qū)域。

（一）網(wǎng)絡內(nèi)部

網(wǎng)絡內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。

（二）混合性威脅

用多種方法和技術(shù)來傳播和實施的攻擊或威脅，因而必須有多種方法來保護和壓制這種攻擊或威脅。如：CodeRed.CodeRedII.CodeBlue.Nimda.

三、利用防火墻解決企業(yè)中存在的安全風險

通過在內(nèi)部網(wǎng)絡中的每臺工作站上部署防病毒，防火墻，入侵檢測，補丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內(nèi)部網(wǎng)絡中的威脅，分析面對的風險，靈活適當?shù)恼{(diào)整安全管理策略。更重要的就是從網(wǎng)絡結(jié)構(gòu)上的接入層，匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。

如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調(diào)和的。關(guān)鍵區(qū)域的防火墻主要是面對內(nèi)部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，也要提供諸如NAT服務，出站控制，遠程VPN用戶和移動用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡的結(jié)構(gòu)和提供的應用來分派到兩類防火墻上來。即內(nèi)部防火墻重點保護DMZ區(qū)域，提供深層次的檢測與告警。因為一旦涉及到數(shù)據(jù)包深入檢測，將會大大影響設(shè)備的性能。

如今的防火墻的功能越來越強大，這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection（狀態(tài)檢測技術(shù)）和WebIntelligence（Web智能技術(shù)）來簡單介紹下對于防火墻的智能防御與Web安全保護。簡單來說，狀態(tài)檢測技術(shù)工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡層時間被檢查。防火墻會生成一個會話的狀態(tài)表，InspectEngine檢測引擎依照RFC標準維護和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。狀態(tài)檢測對流量的控制效率是很高的，同時對于防火墻的負載和網(wǎng)絡數(shù)據(jù)流增加的延遲也是非常小?？梢员ＷC整個防火墻快速，有效的控制數(shù)據(jù)的進出和做出控制決策。

CheckPoint的WebIntelligence，有一種名為MaliciousCodeProt

-ector（可疑代碼防護器）來提供對應用層的保護。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網(wǎng)絡傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當?shù)汀?/p>

四、結(jié)語

一個好的防火墻應該具有高度安全性、高透明性和高網(wǎng)絡性能。此外，人們也在開展其他計算機網(wǎng)絡安全技術(shù)的研究，隨著Internet在我國的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對國外信息安全和防火墻技術(shù)的發(fā)展進行跟蹤，另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術(shù)提供安全保證，對其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個發(fā)展階段，仍有許多問題有待解決。因此，密切關(guān)注防火墻的最新發(fā)展，對推動Internet在我國的健康發(fā)展有著重要的意義。

【參考文獻】

[1]馮登國.計算機通信網(wǎng)絡安全[M].北京：清華大學出版社，2001

[2]段鋼.加密與解密（第二版）[M].北京：電子工業(yè)出版社，2003

【作者單位：鄭州經(jīng)貿(mào)職業(yè)學院計算機系】