顧永仁

（上海市公安局崇明縣分局 上海 202150）

0 引言

網(wǎng)絡(luò)運行處于時刻更新的狀態(tài)，為社會生產(chǎn)和人們生活提供諸多便利，改善社會現(xiàn)狀。雖然網(wǎng)絡(luò)技術(shù)具備明顯的優(yōu)勢，但是其在運行過程中，仍舊表現(xiàn)諸多缺陷，特別是運行方面的安全隱患。利用防火墻，加強網(wǎng)絡(luò)運行環(huán)境的安全建設(shè)，目前，基于防火墻的網(wǎng)絡(luò)安全技術(shù)，成為社會關(guān)注的焦點，不僅提高網(wǎng)絡(luò)運行環(huán)境的安全度，而且確保網(wǎng)絡(luò)系統(tǒng)的運行質(zhì)量，維持網(wǎng)絡(luò)運行能力。

1 基于防火墻網(wǎng)絡(luò)安全技術(shù)的要點分析

安全能力是現(xiàn)代網(wǎng)絡(luò)運行主要考慮的對象，面臨越來越多的安全問題，增加安全技術(shù)的防護(hù)負(fù)擔(dān)，針對防火墻防護(hù)，提出以下幾項技術(shù)要點。

1.1 規(guī)劃防火墻的失效模塊

評價防火墻的失效特性，著重提高安全防護(hù)能力，確保防火墻在遭遇安全攻擊后，及時給出應(yīng)對措施，保障反應(yīng)能力[1]。防火墻失效時的表現(xiàn)為：（1）防火墻沒有受到攻擊傷害，維持正常狀態(tài)；（2）防火墻在遭遇攻擊時，表現(xiàn)出明顯傷害，但是防火墻可以自行處理，利用重啟方式，迅速恢復(fù)到原始狀態(tài)；（3）防火墻自主防護(hù)數(shù)據(jù)流通，保持通道處于關(guān)閉狀態(tài)；（4）防火墻已經(jīng)表現(xiàn)出關(guān)閉狀態(tài)，但是數(shù)據(jù)流通正常。防火墻的失效表現(xiàn)，較容易引發(fā)安全威脅，干擾網(wǎng)絡(luò)系統(tǒng)的安全運行。

1.2 維護(hù)防火墻的實際運行

防火墻的維護(hù)始終處于動態(tài)狀態(tài)，維護(hù)人員需定期檢測防火墻性能，實行測評、監(jiān)控，提出有效的維護(hù)措施，及時更新防火墻版本，保障安全維護(hù)的能力。

1.3 科學(xué)設(shè)置防火墻配置

根據(jù)網(wǎng)絡(luò)運行實質(zhì)，設(shè)置防火墻的參數(shù)配置，為防火墻防護(hù)營造良好的環(huán)境。高性能防火墻，有利于系統(tǒng)安全，有效防止網(wǎng)絡(luò)出現(xiàn)安全漏洞，同時還可構(gòu)建風(fēng)險分析環(huán)境，分析被保護(hù)的網(wǎng)絡(luò)系統(tǒng)，以運行安全為出發(fā)角度，提高安全防護(hù)能力。

2 網(wǎng)絡(luò)安全技術(shù)中防火墻的應(yīng)用類型

以防火墻為中心，構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，提高網(wǎng)絡(luò)運行能力，提出基于防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用類型，如下：

2.1 地址轉(zhuǎn)換的防護(hù)類型

地址轉(zhuǎn)換的防護(hù)類型，實現(xiàn)私有IP訪問，不需要使用者為訪問主機(jī)注冊單獨IP，當(dāng)內(nèi)部網(wǎng)絡(luò)出現(xiàn)訪問外網(wǎng)行為時，防火墻會主動形成映射記錄，以地址偽裝的形式，保護(hù)內(nèi)網(wǎng)源頭，對內(nèi)保持正常網(wǎng)絡(luò)活動，對外隱藏訪問身份，防止外網(wǎng)利用內(nèi)網(wǎng)訪問的IP或端口，實行反跟蹤，了解內(nèi)網(wǎng)構(gòu)造[2]。外網(wǎng)訪問內(nèi)網(wǎng)時，因為接收的內(nèi)網(wǎng)信息屬于偽裝類型，所以并沒有完全掌握內(nèi)網(wǎng)情況，只能通過開放端口發(fā)出訪問請求，防火墻根據(jù)映射記錄，讀取外網(wǎng)訪問，判斷是否屬于安全訪問。兩次訪問規(guī)則重合一致時，判斷訪問屬于安全行為，反之，判斷為危險行為，采取屏蔽措施。防火墻的地址轉(zhuǎn)換防護(hù)方式，不需要用戶進(jìn)行特殊設(shè)置，執(zhí)行操作即可。

2.2 代理防護(hù)類型

代理防護(hù)需要借助代理類的服務(wù)器，安全性能比較高。代理服務(wù)器有效阻礙兩層之間的數(shù)據(jù)交流，具備一定的真實特性。不論是在客戶機(jī)的角度，還是在代理服務(wù)器的角度，對方都是真實的，不存在虛擬物體。安全防護(hù)的原理為：客戶機(jī)向代理服務(wù)器發(fā)送讀取請求，代理服務(wù)器分析請求后，傳送到真實服務(wù)器，然后獲取對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)，傳輸?shù)娇蛻魴C(jī)，基于中間的代理環(huán)節(jié)，有效隔開外網(wǎng)服務(wù)器與客戶機(jī)系統(tǒng)，雙方不存在直接交流的關(guān)系，促使外網(wǎng)無法惡意訪問客戶機(jī)。目前，代理防護(hù)類型，已經(jīng)應(yīng)用于應(yīng)用層，明顯提高對惡意攻擊的防范能力，但是代理服務(wù)器需要與應(yīng)用層保持統(tǒng)一，所以增加代理服務(wù)器的運行流程，顯示復(fù)雜特性。

2.3 包過濾防護(hù)類型

包過濾防護(hù)類型是防火墻安全保護(hù)的基礎(chǔ)內(nèi)容，利用分包技術(shù)，實現(xiàn)安全保護(hù)。網(wǎng)絡(luò)運行數(shù)據(jù)的傳輸類型為“包”，數(shù)據(jù)傳輸時，分割為不規(guī)則的包，不同包中含有數(shù)據(jù)的分布信息，例如：IP、端口等，防火墻主要讀取數(shù)據(jù)包內(nèi)的信息，判斷是否屬于安全、可信任內(nèi)容，確保其來源于安全站點，如果防火墻在識別數(shù)據(jù)包時，發(fā)現(xiàn)風(fēng)險因素，則會主動拒絕數(shù)據(jù)進(jìn)入。由于包過濾防護(hù)類型功能有限，所以只能應(yīng)用在防護(hù)級別比較低的網(wǎng)絡(luò)安全技術(shù)內(nèi)，無法識別來源于應(yīng)用層的攻擊，例如：利用Java編寫，攜帶隱蔽病毒，可以很容易的避開防火墻分包識別，引發(fā)網(wǎng)絡(luò)風(fēng)險。

2.4 監(jiān)測防護(hù)類型

監(jiān)測防護(hù)類型的安全級別明顯較高，屬于現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的新產(chǎn)品。監(jiān)測防護(hù)沒有層面限制，可以實現(xiàn)不同層次的高效防護(hù)，既可以主動保護(hù)網(wǎng)絡(luò)環(huán)境，又可以實施監(jiān)控網(wǎng)絡(luò)運行，著重分析網(wǎng)絡(luò)數(shù)據(jù)，判斷各層網(wǎng)絡(luò)訪問行為，分析行為是否安全。此類防火墻，具備全面的防護(hù)特性，在不同防護(hù)模塊中，設(shè)置探測器，專門用于探測網(wǎng)絡(luò)節(jié)點，識別內(nèi)網(wǎng)、外網(wǎng)的惡意行為[3]。

3 基于防火墻網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨向

基于防火墻的網(wǎng)絡(luò)安全技術(shù)，在實際應(yīng)用中，表現(xiàn)明顯優(yōu)勢。防火墻安全技術(shù)處于積極完善的狀態(tài)，深入分析防火墻的發(fā)展實際，提出防火墻主要的發(fā)展趨勢。

①防火墻安全技術(shù)的自動化發(fā)展。防火墻面臨多樣化的網(wǎng)絡(luò)攻擊，如：病毒、木馬、黑客等，時刻攻擊網(wǎng)絡(luò)系統(tǒng)，為網(wǎng)絡(luò)安全埋下極大隱患，各項網(wǎng)絡(luò)攻擊均具備代表性，必須構(gòu)建防火墻自動化的發(fā)展體系，提高防火墻技術(shù)的安全能力，合理應(yīng)對網(wǎng)絡(luò)攻擊。所以，自動化成為防火墻安全技術(shù)的發(fā)展方向，促使其利用自身自動化的特點，應(yīng)對多變的攻擊類型，快速識別威脅攻擊，給予相應(yīng)的防護(hù)，避免網(wǎng)絡(luò)在運行過程中，表現(xiàn)為低度安全狀態(tài)。

②防火墻安全技術(shù)高效的運行能力。運行與運轉(zhuǎn)能力，對防火墻安全防護(hù)具備實質(zhì)意義，利用電子芯片，大規(guī)模寫入程序保護(hù)，快速處理安全問題，由此確保防火墻實現(xiàn)軟件與硬件共同運行的方式，形成高強度的防護(hù)體系[4]。例如：黑客攻擊網(wǎng)絡(luò)系統(tǒng)時，防火墻實行全面檢測，快速發(fā)現(xiàn)黑客的攻擊方式，通過芯片分析行為路徑，然后提出精確的防護(hù)措施，相比單純的軟件防護(hù)，防范效率得到極大的提升，加強安全防護(hù)的能力。

③防火墻安全技術(shù)的可擴(kuò)展性。隨著網(wǎng)絡(luò)環(huán)境的改善和提升，防火墻安全技術(shù)同樣得到發(fā)展空間，重點在防護(hù)能力和運行規(guī)模上得到很大改善，而且處于不斷改善的過程中，因此，防火墻必須具備可擴(kuò)展的特性，才可滿足改善需求。可擴(kuò)展發(fā)展主要是將防火墻設(shè)計為可伸縮類型，根據(jù)網(wǎng)絡(luò)需要，提供合理、到位的服務(wù)。

4 結(jié)束語

防火墻是網(wǎng)絡(luò)安全技術(shù)的主要理念，可以提高網(wǎng)絡(luò)運行安全，但是不能完全解決網(wǎng)絡(luò)安全隱患，因此，必須合理利用防火墻，做好科學(xué)預(yù)防的工作。以防火墻為研究對象，深入分析網(wǎng)絡(luò)安全的需求，提高防火墻的更新能力，確保其與網(wǎng)絡(luò)安全發(fā)展的融合性，一方面推進(jìn)網(wǎng)絡(luò)運行發(fā)展，另一方面有效保護(hù)網(wǎng)絡(luò)安全，保障系統(tǒng)運行的安全與穩(wěn)定。

[1]何小虎.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].黑龍江科技信息，2012，（23）：67-69.

[2]馬吉麗.防火墻的設(shè)立與計算機(jī)網(wǎng)絡(luò)安全[J].黑龍江科技信息，2012，（08）：35-37.

[3]薛毅飛.探討計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].信息系統(tǒng)工程，2011，（04）：28-30.

[4]林國慶.淺析計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].恩施職業(yè)技術(shù)學(xué)院學(xué)報，2012，（01）：18-20.