摘 要：近年來，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題也日益嚴(yán)重。防火墻作為最早出現(xiàn)的使用量最大的安全產(chǎn)品，備受網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)研發(fā)機(jī)構(gòu)的青睞。防火墻的核心思想是在不安全的網(wǎng)際環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文首先介紹了防火墻技術(shù)的基本棍念，在對防火墻有了基本的認(rèn)識以后，闡述了它所能實現(xiàn)的功能。本文的核心是防火墻的類型以及如何根據(jù)自舟需要來選擇有效的防火墻。

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；技術(shù)策略

1 防火墻概述

1.1 基本概念

防火墻形式多樣，想要給出一個涵蓋所有網(wǎng)絡(luò)配置的歸一化定義是很難的。一般來說，防火墻的主要功能是隔斷外界對本地網(wǎng)絡(luò)或主機(jī)數(shù)據(jù)庫的非法訪問，它是軟件和硬件的組合體，事先設(shè)定一些特定準(zhǔn)則，以挑選想要或不想要的網(wǎng)址。防火墻規(guī)則可劃分為三方面：設(shè)定外界人員訪問內(nèi)部服務(wù)的權(quán)限范圍，以及內(nèi)部人員可以訪問哪些外部服務(wù)。高級防火墻還可以對網(wǎng)絡(luò)登錄情況進(jìn)行實時監(jiān)控，截取并分析信息，對癥下藥，根據(jù)不同情況采取適當(dāng)?shù)姆雷o(hù)手段。

一般而言，代理服務(wù)器是局域網(wǎng)內(nèi)用戶訪問網(wǎng)絡(luò)數(shù)據(jù)庫的必經(jīng)之路，另外它起到防火墻作用，借助多穴主機(jī)方式，將局域網(wǎng)和外網(wǎng)予以隔離，監(jiān)控網(wǎng)絡(luò)運行情況，并及時記錄傳輸數(shù)據(jù)。

1.2 防火墻四個主要功能

⑴防火墻有助于實施通用性較佳的廣泛安全政策，確定服務(wù)訪問權(quán)限。防火墻主要控制網(wǎng)絡(luò)往返訪問，對于未獲得授權(quán)的非法用戶，嚴(yán)格限制其訪問內(nèi)部網(wǎng)絡(luò)資源，也嚴(yán)禁內(nèi)部向外界傳遞信息，只允許獲得授權(quán)的數(shù)據(jù)傳輸。

⑵建立節(jié)流點。在公共網(wǎng)絡(luò)和公司專有網(wǎng)絡(luò)之間應(yīng)該有一個節(jié)流點，這個工作由防火墻完成。通過節(jié)流點，防火墻可以對經(jīng)過節(jié)流點的所有數(shù)據(jù)進(jìn)行監(jiān)控和過濾。

⑶記錄網(wǎng)絡(luò)訪問行為。防火墻會實時記錄訪問操作，并具有報警功能。

⑷保護(hù)網(wǎng)絡(luò)主機(jī)隱秘性。防火墻對網(wǎng)絡(luò)到網(wǎng)絡(luò)的過渡進(jìn)行多重加密，并加強(qiáng)身份驗證，以盡可能減少網(wǎng)絡(luò)主機(jī)的暴露。

2 防火墻技術(shù)分析

2.1 包過濾防火墻

數(shù)據(jù)包過濾在內(nèi)部網(wǎng)絡(luò)和外部主機(jī)之間進(jìn)行選擇性記憶，依照訪問控制列表（ACL）的算法來決定數(shù)據(jù)包是否可以通過。通過合理設(shè)置，ACL可以根據(jù)數(shù)據(jù)包報頭的任意部分進(jìn)行數(shù)據(jù)包篩選工作。目前，這種過濾主要針對數(shù)據(jù)包的源地址和目的地址、協(xié)議種類、源端口和目的端口。數(shù)據(jù)包過濾是在網(wǎng)絡(luò)層和傳輸層之間的邊界安全機(jī)制。

2.2 狀態(tài)檢測防火墻

該類防火墻采用了狀態(tài)監(jiān)測和故障診斷技術(shù)，在傳統(tǒng)數(shù)據(jù)包過濾的基礎(chǔ)上進(jìn)行了功能拓展。采用這種技術(shù)的防火墻會對節(jié)流點處的每一個連接進(jìn)行跟蹤，嚴(yán)格監(jiān)控運行狀況，并按需在過濾過程中不斷增減算法條目或調(diào)整規(guī)則。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層設(shè)置了檢查引擎，通過截取數(shù)據(jù)包抽取相關(guān)信息，獲得應(yīng)用層的運行信息，并以此作為是否接受該連接的依據(jù)。

2.3 代理服務(wù)防火墻

代理服務(wù)是運行在防火墻主機(jī)上的特有程序，主機(jī)可以是一個雙重宿主主機(jī)，同時擁有內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口，也可以是一個圍墻式主機(jī)，作為唯一一個可以與外部網(wǎng)絡(luò)通信的站點。代理服務(wù)器接收內(nèi)部用戶網(wǎng)絡(luò)服務(wù)請求，根據(jù)相關(guān)安全準(zhǔn)則核實其使用權(quán)限，而后轉(zhuǎn)發(fā)請求，并將此請求反饋給網(wǎng)絡(luò)主機(jī)。換言之，代理服務(wù)器發(fā)揮了網(wǎng)關(guān)的功能，在應(yīng)用層上提供替代連接并提供代理操作。代理具有服務(wù)專屬性，要按照應(yīng)用服務(wù)的歸屬情況選擇合適的代理服務(wù)器。

2.4 網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯，將私有地址轉(zhuǎn)換為可以在公共網(wǎng)絡(luò)上被路由器所識別的IP地址，在私有地址節(jié)點和外部公網(wǎng)節(jié)點之間建立通信通道。一般來講，網(wǎng)絡(luò)地址翻譯設(shè)置在外部和內(nèi)部網(wǎng)絡(luò)接壤處，內(nèi)部網(wǎng)絡(luò)主機(jī)向外網(wǎng)主機(jī)發(fā)出數(shù)據(jù)傳輸請求時，先將數(shù)據(jù)包發(fā)送到NAT設(shè)備，NAT進(jìn)程首先審核IP數(shù)據(jù)包報頭，如果允許通過，就用唯一一個專屬IP地址對內(nèi)源地址字段中的私有IP地址進(jìn)行替換，再將數(shù)據(jù)包發(fā)送到外部網(wǎng)的主機(jī)上。外部網(wǎng)主機(jī)發(fā)回反饋數(shù)據(jù)包后，NAT進(jìn)程負(fù)責(zé)接收，根據(jù)現(xiàn)有的網(wǎng)絡(luò)地址比對表，再把回應(yīng)包中的共有目標(biāo)地址換為原來內(nèi)部主機(jī)私有地址，最后把該回應(yīng)包送到內(nèi)部網(wǎng)指定的源主機(jī)進(jìn)行相關(guān)數(shù)據(jù)操作。

2.5 個人防火墻

個人防火墻又名單機(jī)防火墻，主要功能是保護(hù)PC接入公共網(wǎng)絡(luò)時的數(shù)據(jù)安全。個人防火墻主要以軟件形式存在，硬件式很少見。個人防火墻能夠?qū)?nèi)部攻擊和外來侵襲產(chǎn)生有效抵御。

2.6 防火墻分析總結(jié)

通過上述分析，我們了解到，防火墻只是網(wǎng)絡(luò)安全防護(hù)的一個環(huán)節(jié)，必須結(jié)合諸如病毒防護(hù)、加密算法、身份鑒別技術(shù)一類的手段，才能最大程度提高網(wǎng)絡(luò)安全等級；再者，防火墻也并非萬無一失，只能對經(jīng)過節(jié)流點的訪問和攻擊進(jìn)行防御，如果黑客通過某些手段繞過防火墻，則此類防護(hù)就失去作用；另外，架構(gòu)防火墻要充分進(jìn)行技術(shù)需求分析和風(fēng)險成本管理，并要注意后期的維護(hù)和翻新，防火墻的測試和試驗受限也較多，所以單一防火墻技術(shù)并不能很好滿足用戶網(wǎng)絡(luò)安全的需要。

[參考文獻(xiàn)]

[1]任月鷗，高文舉，李秋菊.在校園網(wǎng)絡(luò)環(huán)境下防火墻技術(shù)的應(yīng)用研究[J].硅谷，2011（12）

[2]孫智康，劉健鴿，諶麟.火電廠信息系統(tǒng)防火墻技術(shù)的深化應(yīng)用[J].湖南電力，2010（04）

[3]羅瑩，陳瓅.網(wǎng)絡(luò)安全主流技術(shù)淺談[J].宜春學(xué)院學(xué)報.2007（02）.