摘 要 為了使您的PC服務(wù)器和網(wǎng)絡(luò)資源得到保護(hù)，不受黑客的攻擊，同時(shí)將黑客的技術(shù)破壞，通過掌握防火墻的分類，工作原理，特點(diǎn)和不足，以及分析最新的防火墻技術(shù)，其作用是巨大的。在防止黑客的攻擊上，目前公認(rèn)的且普遍應(yīng)用的就是防火墻技術(shù)。所以本文討論了網(wǎng)絡(luò)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的應(yīng)用。

關(guān)鍵詞 防火墻 應(yīng)用代理 防火墻技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

信息共享和信息安全在計(jì)算機(jī)網(wǎng)絡(luò)中是相互矛盾的，伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及應(yīng)用的廣泛，其安全問題也被擺到人們面前。據(jù)調(diào)查，截至2010年，超過六成的電腦用戶被黑客攻擊或入侵過。這些攻擊和入侵主要表現(xiàn)在以下幾個(gè)方面：外部人員對(duì)其進(jìn)行惡意攻擊并竊取機(jī)密信息，攻擊網(wǎng)絡(luò)的可用性以及破壞信息，內(nèi)部人員未經(jīng)授權(quán)的訪問及信息泄露，電腦病毒的破壞。為了保護(hù)企業(yè)和機(jī)構(gòu)的網(wǎng)絡(luò)安全，保護(hù)他們免受未經(jīng)授權(quán)的訪問和外來的入侵，還能防止非法內(nèi)幕接入外網(wǎng)網(wǎng)站，大部分單位都采用了防火墻技術(shù)，此技術(shù)是最成熟的，最早的產(chǎn)品化網(wǎng)絡(luò)安全機(jī)制。從網(wǎng)絡(luò)安全中的防火墻應(yīng)用進(jìn)行討論，為提高網(wǎng)絡(luò)安全提出本人的建議。

1 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的具體分類

1.1 代理技術(shù)

當(dāng)客戶發(fā)出請(qǐng)求時(shí)，代理服務(wù)器會(huì)對(duì)其合法性進(jìn)行監(jiān)測(cè)，如果通過監(jiān)測(cè)，服務(wù)器會(huì)把客戶所需要的信息發(fā)送過去，它使得內(nèi)部系統(tǒng)被保護(hù)起來，外界無法進(jìn)入同時(shí)也無法看到任何內(nèi)部資源。只能從外面看到代理服務(wù)器。它只會(huì)讓一些有代理權(quán)的或是已被確認(rèn)為可相信的服務(wù)越過防火墻，其他的服務(wù)都會(huì)被分離并進(jìn)行封鎖，這點(diǎn)是為了系統(tǒng)的安全考慮。代理服務(wù)還可以過濾協(xié)議，如過濾可以使用FTP連接，拒絕使用FTP put命令，以確保匿名用戶無法寫入到文件服務(wù)器。

1.2 包過濾技術(shù)

包過濾防火墻在網(wǎng)絡(luò)層的工作，它能夠控制和識(shí)別數(shù)據(jù)包的源及目的IP，負(fù)責(zé)傳輸工作的也只是分析出它是TCP 還是 UDP 及所用的端口信息。現(xiàn)在，包過濾控制的能力已經(jīng)在路由器，交換機(jī)路由器和某些操作系統(tǒng)中使用。由于該系統(tǒng)只是分析IP地址，TCP / UDP協(xié)議和端口，包過濾防火墻的工作速度快，并且配置要求低。

1.3 狀態(tài)檢測(cè)技術(shù)

當(dāng)有人使用動(dòng)態(tài)客戶端協(xié)議時(shí)，就需要使用狀態(tài)檢測(cè)技術(shù)。它的原理是檢查連接狀態(tài)，將同一客戶的所有連接方式看做是一個(gè)完整的數(shù)據(jù)看待，并加以統(tǒng)計(jì)，形成動(dòng)態(tài)鏈接表，該表采用的共同協(xié)調(diào)的規(guī)則表與狀態(tài)表，并對(duì)每一個(gè)連接狀態(tài)進(jìn)行鑒別，第一時(shí)間打開或關(guān)閉動(dòng)態(tài)端口。該檢測(cè)技術(shù)具有很大的靈活性和安全性。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)研究的必要性

2.1 信息系統(tǒng)面臨的安全威脅

計(jì)算機(jī)信息系統(tǒng)承受的破壞大體是：信息被截獲，竊取，篡改，偽造，刪除和插入，黑客，病毒的入侵，破壞內(nèi)部員工

2.2 計(jì)算機(jī)信息系統(tǒng)的安全需求

計(jì)算機(jī)信息安全必須滿足如下的要求：保證信息的完整性，絕對(duì)機(jī)密性，法律效果，不可抗拒性。

2.3 計(jì)算機(jī)信息系統(tǒng)面臨攻擊

計(jì)算機(jī)信息系統(tǒng)將受到攻擊的各個(gè)方面，現(xiàn)總結(jié)如下：

（1）計(jì)算機(jī)信息系統(tǒng)中的信息被篡改攻擊，使得系統(tǒng)信息部分丟失，導(dǎo)致其不完整，此攻擊方式是對(duì)信息系統(tǒng)中的相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行更改消息的時(shí)間，順序，從而達(dá)到使信息失真的目的。（2）想要對(duì)系統(tǒng)認(rèn)證進(jìn)行攻擊，首先要偽造一個(gè)系統(tǒng)信息，偽造第一要素向系統(tǒng)注入偽造的虛假信息，然后輸入法人制度，信息違規(guī)操作的名稱和妨礙充分和有效的信息傳遞。（3）為了對(duì)系統(tǒng)中的機(jī)密性文件進(jìn)行攻擊，對(duì)內(nèi)部的重要信息進(jìn)行抄襲，可以通過各種途徑泄漏信息，包括線法等，或?yàn)榱双@得一些情報(bào)分析利用流量法。（4）為了使系統(tǒng)癱瘓或中斷，達(dá)到不能工作的目的，可以通過對(duì)硬件系統(tǒng)進(jìn)行攻擊。

3 防火墻技術(shù)的特點(diǎn)和缺陷

3.1 包過濾的優(yōu)缺點(diǎn)

缺點(diǎn)：不能完全防止信息竊取。一些應(yīng)用協(xié)議數(shù)據(jù)包過濾不適合正常的數(shù)據(jù)包，所以一些安全策略過濾路由器是無法執(zhí)行的，從而不能防范黑客的攻擊，有些應(yīng)用層協(xié)議得不到系統(tǒng)的支持，不能起到合理的防范措施。

優(yōu)點(diǎn)：過濾整個(gè)網(wǎng)絡(luò)數(shù)據(jù)包完全可以由過濾路由器做到的，用戶可以看到整個(gè)過程，過濾路由器的特點(diǎn)是快速、高效。

3.2 代理技術(shù)的優(yōu)缺點(diǎn)

缺點(diǎn)：速度趕不上路由器，對(duì)用戶進(jìn)行透明的服務(wù)器代理，對(duì)每個(gè)服務(wù)機(jī)構(gòu)可能要求不同的代理服務(wù)器，這樣會(huì)導(dǎo)致用戶受到協(xié)議弱點(diǎn)的威脅；通過代理的方式是無法讓底層協(xié)議的安全狀況得到好轉(zhuǎn)。其適應(yīng)性弱的特點(diǎn)使得它注定會(huì)被取代。

優(yōu)點(diǎn)：當(dāng)使用應(yīng)用代理網(wǎng)時(shí)，防火墻會(huì)將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的完全切斷，內(nèi)部網(wǎng)絡(luò)用戶要想訪問外部網(wǎng)絡(luò)，訪問外部網(wǎng)絡(luò)的防火墻內(nèi)網(wǎng)的用戶將被轉(zhuǎn)發(fā)到防火墻。在進(jìn)行網(wǎng)絡(luò)通信的情況下，其代理軟件也必須同時(shí)發(fā)送，在任何時(shí)候，用戶不能與服務(wù)器直接建立網(wǎng)絡(luò)通信的連接，對(duì)于使用網(wǎng)絡(luò)的應(yīng)用層協(xié)議必須滿足安全要求。應(yīng)用代理網(wǎng)關(guān)可以在應(yīng)用層，傳輸層和網(wǎng)絡(luò)層功能的協(xié)議上進(jìn)行檢查，能對(duì)數(shù)據(jù)包進(jìn)行幾位安全的分析。代理可以完成各種記錄：靈活性，對(duì)傳入和傳出流量的控制，信息、數(shù)據(jù)內(nèi)容進(jìn)行過濾，同時(shí)代理商也要向用戶解釋為何需要加密，代理可以輕易的與其他安全措施進(jìn)行融合。

4 防火墻技術(shù)的實(shí)際運(yùn)用

4.1 防火墻體系結(jié)構(gòu)設(shè)計(jì)

以一個(gè)相對(duì)獨(dú)立的內(nèi)部網(wǎng)絡(luò)為例，如果能夠使用一臺(tái)計(jì)算機(jī)作為防火墻隔離就能夠提供較高的安全性，這種防火墻體系能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不會(huì)受到來自外部網(wǎng)絡(luò)的非法入侵和攻擊，使內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)終端能夠安全訪問互聯(lián)網(wǎng)。但是，如果對(duì)龐大的計(jì)算機(jī)網(wǎng)絡(luò)來說，簡(jiǎn)單的防火墻設(shè)置不能夠完全抵御外界入侵和攻擊，應(yīng)該按照計(jì)算機(jī)網(wǎng)絡(luò)被保護(hù)的級(jí)別程度、數(shù)據(jù)信息的秘密級(jí)別和造成安全問題的損失代價(jià)等綜合因素來制定安全有效的防御策略。由此，我們需要設(shè)計(jì)實(shí)現(xiàn)相對(duì)復(fù)雜的防火墻體系結(jié)構(gòu)，并隨時(shí)根據(jù)安全防御的實(shí)際需求改變結(jié)構(gòu)或做出適當(dāng)調(diào)整。

由防火墻與局域網(wǎng)隔離區(qū)的關(guān)系來看，應(yīng)該將代理服務(wù)器中代理的全部應(yīng)用服務(wù)允許防火墻通過，并將公共信息服務(wù)器中包括的公共應(yīng)用服務(wù)允許防火墻通過。隔離區(qū)中的公共信息服務(wù)器可以與防火墻外部網(wǎng)卡綁定的合法網(wǎng)絡(luò)地址相互對(duì)應(yīng)，通過網(wǎng)絡(luò)地址轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換之后使處于互聯(lián)網(wǎng)中的計(jì)算機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)資源。由防護(hù)區(qū)與內(nèi)部專用網(wǎng)絡(luò)的關(guān)系來看，防火墻的配置應(yīng)該允許內(nèi)部專用網(wǎng)絡(luò)的全部數(shù)據(jù)包通過，同時(shí)對(duì)流入內(nèi)部專用網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行控制，允許由內(nèi)部專用網(wǎng)絡(luò)流出的數(shù)據(jù)包重新流入到內(nèi)部專用網(wǎng)絡(luò)中。由局域網(wǎng)隔離區(qū)與內(nèi)部專用網(wǎng)絡(luò)的關(guān)系來看，防火墻的配置應(yīng)該允許來自內(nèi)部專用網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)入局域網(wǎng)隔離區(qū)，但是對(duì)由局域網(wǎng)隔離區(qū)流入到內(nèi)部專用網(wǎng)中的數(shù)據(jù)包進(jìn)行控制。而且，防火墻要將代理服務(wù)器中的應(yīng)用服務(wù)允許通過到內(nèi)部專用網(wǎng)絡(luò)，只能允許內(nèi)部專用網(wǎng)絡(luò)流入到局域網(wǎng)隔離區(qū)的數(shù)據(jù)包重新流入內(nèi)部專用網(wǎng)絡(luò)。

4.2 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽主機(jī)網(wǎng)技術(shù)是如今使用最廣泛的最容易實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)用的技術(shù)，例如，將內(nèi)部網(wǎng)絡(luò)上配備一個(gè)堡壘主機(jī)，然后通過數(shù)據(jù)包過濾路由器進(jìn)行與外部網(wǎng)絡(luò)的連接，對(duì)路由器進(jìn)行設(shè)置，這樣就能保證堡壘主機(jī)直接與外部網(wǎng)絡(luò)相連接時(shí)，內(nèi)部網(wǎng)絡(luò)可以篩選掉那些未經(jīng)授權(quán)的外部用戶的攻擊。

如果受保護(hù)的網(wǎng)絡(luò)是虛擬的、擴(kuò)展的本地網(wǎng)絡(luò)，那么就不需要子網(wǎng)絡(luò)及路由器，那么堡壘主機(jī)和配置路由器就不會(huì)有任何威脅了。該軟件的主要策略是安裝在網(wǎng)關(guān)控制。如果攻擊者要登錄到主機(jī)的網(wǎng)絡(luò)，這將會(huì)對(duì)其本身的內(nèi)部網(wǎng)絡(luò)產(chǎn)生嚴(yán)重的后果。

4.3 配置訪問策略

防火墻的核心在于訪問策略的安全，因此，在設(shè)置之前要經(jīng)過非?？b密的信息統(tǒng)計(jì)才行。在這個(gè)過程中，需要對(duì)單元的內(nèi)部和外部應(yīng)用程序和相應(yīng)的源地址，目的地址， TCP或UDP端口進(jìn)行分析并掌握，以及不同應(yīng)用使用的情況還有對(duì)每個(gè)策略在規(guī)則表中進(jìn)行排列，之后才能執(zhí)行配置。其原因是當(dāng)防火墻執(zhí)行規(guī)則查找時(shí)順序進(jìn)行，所以為了提高效率，將使用頻率高的規(guī)則放在靠前的位置。

4.4 屏蔽子網(wǎng)

此方法的目的是建立一個(gè)子網(wǎng)，而子網(wǎng)的位子在內(nèi)部網(wǎng)與外部網(wǎng)的通道之間，建立子網(wǎng)就需要使用兩個(gè)路由器，并將子網(wǎng)掩碼分開。

一個(gè)路由器可以實(shí)現(xiàn)屏蔽主機(jī)體系的結(jié)構(gòu)為內(nèi)部網(wǎng)絡(luò)提供了相連的主機(jī)服務(wù)。在這種結(jié)構(gòu)系統(tǒng)中，包括過濾器（數(shù)據(jù)包過濾來主要是防止攻擊者繞過代理服務(wù)器和內(nèi)部網(wǎng)絡(luò)的直接連接） ，而且還包含其他執(zhí)行措施：例如，配備倆個(gè)路由器，一個(gè)對(duì)互聯(lián)網(wǎng)的數(shù)據(jù)流進(jìn)行監(jiān)督和控制，另外一個(gè)則是對(duì)數(shù)據(jù)的安全性進(jìn)行監(jiān)管， Intranet和Internet接入互聯(lián)網(wǎng)進(jìn)行訪問時(shí)，子網(wǎng)要做屏蔽處理，也是為了防止他們進(jìn)入已經(jīng)屏蔽子網(wǎng)。堡壘主機(jī)需要被設(shè)置上子網(wǎng)掩碼，子網(wǎng)所提供的代理服務(wù)只是對(duì)于其內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的訪問，對(duì)其他網(wǎng)絡(luò)進(jìn)行訪問時(shí)倆個(gè)路由器就會(huì)對(duì)其數(shù)據(jù)進(jìn)行必要的檢查。

4.5 安全服務(wù)配置

安全服務(wù)隔離區(qū)（DMZ）就是劃分出服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群，設(shè)置為隔離的安全服務(wù)，作為內(nèi)部網(wǎng)絡(luò)的一部分，但也是一個(gè)獨(dú)立的局域網(wǎng)，一個(gè)單獨(dú)的部門，以更好地保護(hù)服務(wù)器上正常運(yùn)行的數(shù)據(jù)和系統(tǒng)管理。推薦NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng) IP 地址。這不僅會(huì)把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)及IP地址屏蔽起來，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性，而且還可以大大降低使用公網(wǎng)IP地址，節(jié)約投資成本。

如果本機(jī)已有邊界路由器，你可以充分利用現(xiàn)有設(shè)備，邊界路由器同樣有包過濾功能，設(shè)置相應(yīng)的防火墻功能，使原有的路由器也具有防火墻功能。之后再將防火墻與內(nèi)部網(wǎng)連接。對(duì)于DMZ區(qū)域公共服務(wù)器，可以不經(jīng)過防火墻直接與邊界路由器連接。這種方法只是經(jīng)過路由器，從而建立了兩道安全的屏障，并在兩者之間設(shè)置了一個(gè)DMZ區(qū)域，用來處理那些訪問公用服務(wù)器的用戶。

4.6 日志監(jiān)控

安全管理手段中最有效的方法是日志監(jiān)控。大多數(shù)的管理人員都認(rèn)為只要日志有了信息就去采集。如：所有的報(bào)警或所有策略匹配或不匹配的流量等等，這么做雖然看上去很好，但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多，因此，必須捕捉到有用的日志才是關(guān)鍵。系統(tǒng)的報(bào)警信息的記錄是十分必要的，流量信息則要有選擇性的保留，記錄那些影響網(wǎng)絡(luò)安全的流量信息。

總之，防火墻技術(shù)，在應(yīng)對(duì)黑客的入侵及攻擊上是很好的網(wǎng)絡(luò)安全措施，同時(shí)也是解決此問題最有效的方法之一，網(wǎng)絡(luò)安全是一個(gè)全球性的問題，是對(duì)系統(tǒng)的考驗(yàn)，因此，任何一個(gè)漏洞的存在都會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的帶來隱患，解決此問題就需要通過系統(tǒng)工程的知識(shí)來處理，用簡(jiǎn)單，快速，有效的方法對(duì)網(wǎng)絡(luò)的安全性進(jìn)行分析并制作出具體的措施。采取的主要安全措施有：法律的保護(hù)，各項(xiàng)管理制度（人員審查，工作流程，維護(hù)，安全系統(tǒng)等）和技術(shù)設(shè)計(jì)（識(shí)別，控制采集模式，設(shè)置密碼，容錯(cuò)性，病毒查殺控制，高安全性的產(chǎn)品，等等）。

參考文獻(xiàn)

[1] 劉玉莎.防火墻技術(shù)的研究與探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2010（09）.

[2] 郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計(jì)[J].江漢大學(xué)學(xué)報(bào)，2011（03）.

[3] 朱艷琴，錢龍華，陳承勤.計(jì)算機(jī)組網(wǎng)技術(shù)教程[M].北京：北京電子希望出版社，2011

[4] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].甘肅科技，2007（4）.

[5] 洛桑旺堆.論計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].信息與電腦（理論版），2010（02）.