摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的一部分，隨之而來的互聯(lián)網(wǎng)安全問題也成為人們關(guān)注的焦點。本文主要就校園網(wǎng)絡(luò)中防火墻的體系結(jié)構(gòu)進(jìn)行簡要分析，并總結(jié)出防火墻的有效應(yīng)用以供參考。

關(guān)鍵詞：防火墻；計算機(jī)網(wǎng)絡(luò)；應(yīng)用

中圖分類號：TP393.08

1 防火墻的體系結(jié)構(gòu)

1.1 雙穴主機(jī)網(wǎng)關(guān)。一臺具有保護(hù)性的主機(jī)上安裝兩塊網(wǎng)卡，在保護(hù)性的主機(jī)上運行著防火墻軟件，其中的兩塊網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)，保護(hù)性主機(jī)在防火墻的覆蓋下，可以提供多種服務(wù)，此類網(wǎng)絡(luò)設(shè)置成為雙穴主機(jī)網(wǎng)關(guān)。

1.2 屏蔽路由器。作為內(nèi)外唯一的通道，屏蔽路由器可以限制其他客戶的訪問權(quán)限，通過的報文都必須接收檢查。其實現(xiàn)的方式有兩種，一種是主機(jī)來完成，另一種是有供應(yīng)商來設(shè)置實現(xiàn)。但是許多路由器的對報文的檢查力度并不強(qiáng)，即其所設(shè)置的權(quán)限較寬松，報文通過的可能性較大。其過濾功能的實現(xiàn)是通過過濾軟件的安裝運行來實現(xiàn)的，由于屏蔽路由器的防火墻設(shè)置由本身實現(xiàn)，或是通過具有權(quán)限的主機(jī)來保證安全性，此種做法的弊端是被攻陷后隱蔽性非常強(qiáng)，并且對訪問的用戶無法起到鑒別作用。

1.3 屏蔽主機(jī)網(wǎng)關(guān)。作為安全性最高、且實現(xiàn)方式最為簡單的保護(hù)性措施，屏蔽主機(jī)網(wǎng)關(guān)是指保護(hù)性主機(jī)具有唯一性，由于被安裝在內(nèi)部網(wǎng)絡(luò)上，外部用戶只能經(jīng)過已經(jīng)設(shè)置過濾規(guī)則的路由器訪問該保護(hù)性主機(jī)，通道與方式具有唯一性，優(yōu)點是沒有權(quán)限的外部用戶將無法方位內(nèi)部網(wǎng)絡(luò)。由于權(quán)限設(shè)置下的網(wǎng)絡(luò)是由虛擬網(wǎng)擴(kuò)展而來，即使沒有子網(wǎng)和路由器，保護(hù)性主機(jī)與路由器的過濾方式不會受內(nèi)部網(wǎng)絡(luò)變化而出現(xiàn)變動，這保證了外部無權(quán)限的訪問只能停留在保護(hù)性主機(jī)和路由器上，但網(wǎng)關(guān)的控制策略安裝在其上面，缺點是如果黑客登錄到上面并進(jìn)行篡改，內(nèi)網(wǎng)中的具有平行關(guān)系的主機(jī)會受到很大的影響。

1.4 被屏蔽子網(wǎng)。將外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)隔離開，在內(nèi)網(wǎng)和外網(wǎng)之間設(shè)立一個子網(wǎng)，由于此子網(wǎng)的訪問權(quán)限經(jīng)過路由器的過濾，所以具有防火墻的性質(zhì)。子網(wǎng)可以為內(nèi)部用戶和外部用戶所訪問，但是不能直接進(jìn)行訪問，而是要經(jīng)過設(shè)置在子網(wǎng)兩端的路由器來加以實現(xiàn)，即構(gòu)成了一個DNS系統(tǒng)。某些子網(wǎng)中以保護(hù)性主機(jī)作為唯一的通道，即用戶訪問只有經(jīng)過保護(hù)性主機(jī)的允許才有訪問權(quán)限，其功能是可以作為交互式的代理終端。此類設(shè)置包含多種關(guān)系，主要是保護(hù)性主機(jī)、子網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)和路由器，組成了被屏蔽子網(wǎng)系統(tǒng)。

2 防火墻的分類

2.1 網(wǎng)絡(luò)地址轉(zhuǎn)化。即通常所稱的NAT，其作用是將IP地址轉(zhuǎn)化成外部臨時性的IP地址標(biāo)準(zhǔn)。即用戶與外部進(jìn)行網(wǎng)絡(luò)連接時對所使用主機(jī)的IP地址要求并不嚴(yán)格，只是內(nèi)網(wǎng)用戶訪問外部網(wǎng)絡(luò)時，將有映射記錄信息。為了對內(nèi)部IP地址達(dá)到隱蔽性的特點，系統(tǒng)將對內(nèi)部用戶訪問外網(wǎng)的主機(jī)進(jìn)行偽裝，即生成一個虛擬的地址與端口。這樣就起到了對外部網(wǎng)絡(luò)的防范作用，即外部用戶訪問內(nèi)網(wǎng)時，得到了只是經(jīng)過偽裝的地址端口，即映射出來的IP，防火墻經(jīng)過對此進(jìn)行識別來分析訪問的安全程度，此類技術(shù)具有很大的簡便性，不需要內(nèi)部用戶對IP進(jìn)行設(shè)置。

2.2 包過濾型。作為防火墻安全識別的基本產(chǎn)品，包過濾性的依據(jù)是網(wǎng)絡(luò)分包傳輸，防火墻可以對包數(shù)據(jù)進(jìn)行鑒別，以判斷信息來源的安全程度，如果防火墻將之分為具有威脅性的站點。則會自動隔離。由于此類技術(shù)的安全、簡潔，實用性很強(qiáng)，并且成本低，管理員還可以根據(jù)實際情況制定過濾規(guī)則。

2.3 監(jiān)測型。監(jiān)測型防火墻具有對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的同步監(jiān)測功能，能夠?qū)崿F(xiàn)主動、實時的監(jiān)測，對非法入侵和惡意破壞具有極強(qiáng)的防范功能，是新一代產(chǎn)品中具有代表性的技術(shù)。此類產(chǎn)品對應(yīng)用層的安全性能非常強(qiáng)大，剛好彌補(bǔ)了包過濾型的不足。

2.4 代理型。代理型防火墻技術(shù)是介于服務(wù)器和客戶之間的，對二者之間的信息交流進(jìn)行隔斷，當(dāng)訪問用戶需要訪問服務(wù)器時，首先要經(jīng)過代理型服務(wù)器，再由代理型服務(wù)器向服務(wù)器申請數(shù)據(jù)信息，然后傳遞給訪問用戶。這樣就阻斷了外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的直接交流的可能性，相對于包過濾型防火墻技術(shù)在應(yīng)用層上面的薄弱，代理型不但安全性能高于包過濾型，而且具有應(yīng)用層上面的防護(hù)功能。

3 防火墻的選擇

3.1 安全性。保證網(wǎng)絡(luò)的安全性是防火墻技術(shù)的基本指標(biāo)，要阻斷非法用戶的訪問權(quán)限，保證網(wǎng)絡(luò)安全，一般要注意兩大要點：其一，防火墻技術(shù)的過濾規(guī)則及應(yīng)用方法要掌握，要適合所運行網(wǎng)絡(luò)的需要，否則即會過于嚴(yán)格，不方便用戶的訪問，又有可能安全性降低，容易被非法入侵；其二是設(shè)計構(gòu)建合理，符合要求，并能在今后的運行中可持續(xù)。

3.2 構(gòu)建與運營成本。在構(gòu)建和運行防火墻技術(shù)時，要充分考慮到保護(hù)的網(wǎng)絡(luò)的價值所在，即不能投入的成本高于所要保護(hù)的網(wǎng)絡(luò)總體價值，并且要把后期的維護(hù)、修理等內(nèi)容計算在內(nèi)。此外，對于保護(hù)的網(wǎng)絡(luò)安全，不僅是實際價值，還要兼顧到對社會的影響或危害，或者用戶的安全信息等方面的隱形價值成本。

3.3 升級換代。隨著信息技術(shù)的迅速發(fā)展，防火墻的功能也在逐步提高，并且隨著網(wǎng)絡(luò)的應(yīng)用范圍和涉及到的領(lǐng)域的擴(kuò)增，所面臨的風(fēng)險也在增加，而入侵者的技術(shù)也在相應(yīng)的提高，早期運行的防火墻產(chǎn)品也許不能滿足時代的發(fā)展需求，這時就要考慮防火墻產(chǎn)品的功能的可擴(kuò)充性，即能滿足多元化的發(fā)展需求。也可以在構(gòu)建防火墻時，只進(jìn)行基本的構(gòu)建建設(shè)，留有足夠的彈性空間，以免造成不必要的浪費。此外，升級換代過程中還要考慮防火墻技術(shù)與所要保護(hù)的網(wǎng)絡(luò)系統(tǒng)的兼容性。

4 防火墻技術(shù)的安全性應(yīng)用研究

4.1 安全服務(wù)配置。安全服務(wù)策略可以將內(nèi)部網(wǎng)絡(luò)獨立的隔離出來，即形成安全服務(wù)的隔離區(qū)域，這種方法能夠更好的起到維護(hù)網(wǎng)絡(luò)安全的作用。內(nèi)部網(wǎng)絡(luò)用戶通過保護(hù)性主機(jī)映射出來的公用地址進(jìn)行對外訪問，以降低外部用戶對內(nèi)部IP的識別，從而起到屏蔽作用，并且有過濾功能，其中的路由器和防火墻組成的雙重安全防線。

4.2 配置訪問策略。首先要注重防火墻的應(yīng)用效率與其基本的作用范圍，對外部的訪問實行的控制策略在網(wǎng)絡(luò)安全中起著支配性的作用，而訪問控制策略的制定要根據(jù)所要保護(hù)網(wǎng)絡(luò)的實際情況，統(tǒng)計信息，制定對內(nèi)與對外的安全策略，主要包括目的地址、源地址、UDP和TCP等主要項目，并且根據(jù)保護(hù)的內(nèi)容和重要性設(shè)置優(yōu)先級，盡量將防火墻的效能發(fā)揮到最佳水平，避免沖突或不必要的資源浪費現(xiàn)象。

4.3 日志監(jiān)控。日志監(jiān)控往往對系統(tǒng)的安全管理起著至關(guān)重要的作用， 但日志的采集工作也要注意方式方法，常見的問題是許多管理員看似出于全面采集日志的原因，不論是需要的或不需要的信息都收集起來，但經(jīng)過防火墻的數(shù)據(jù)信息每天有百萬之多，全部采集監(jiān)控起來往往會導(dǎo)致信息的繁雜，重點信息難以突出，反而降低了日志監(jiān)控的實際效能。我們在日志監(jiān)控過程中，應(yīng)該注意記錄影響網(wǎng)絡(luò)安全的重要信息，而不是矯枉過正，適得其反。

5 結(jié)束語

網(wǎng)絡(luò)成為世界交流的重要手段，人類對網(wǎng)絡(luò)的依賴性越來越強(qiáng)，雖然維護(hù)網(wǎng)絡(luò)安全的手段多種多這樣，但防火墻作為最基本也是應(yīng)用最廣泛的安全策略，研究其優(yōu)勢與不足，探索更加先進(jìn)的安全技術(shù)。

參考文獻(xiàn)：

[1]王春海.微軟防火墻Forefront TMG配置管理與企業(yè)應(yīng)用[M].北京：清華大學(xué)出版社，2013.

[2]徐超汗.計算機(jī)網(wǎng)絡(luò)及解決方案[M].北京：電子工業(yè)出版社，l999：180-183.

[3]Bellovin Steven M，wil1iaIT1.Network firewalls.IEEE Communications Magazine，1994（09）：50-57.

作者簡介：王晶（1973.05-），女，山東人，講師，學(xué)士學(xué)位，研究方向：計算機(jī)。

作者單位：大慶技師學(xué)院，黑龍江大慶 163255