摘 要：計(jì)算機(jī)技術(shù)的發(fā)展給人們生活帶來(lái)了極大的便利，但同時(shí)由于計(jì)算機(jī)黑客和計(jì)算機(jī)病毒的入侵，也給人們信息安全帶來(lái)了很大的威脅，本文針對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀，重點(diǎn)從網(wǎng)絡(luò)防火墻的角度進(jìn)行分析，旨在提高防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的作用。

關(guān)鍵詞：辦公網(wǎng)絡(luò)；防火墻技術(shù)；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.082

辦公自動(dòng)化網(wǎng)絡(luò)以其便利性和開(kāi)放性普遍的應(yīng)用于人們的日常辦公中，但是正是由于開(kāi)放性導(dǎo)致了其遭遇黑客入侵、病毒感染的風(fēng)險(xiǎn)。一旦處理不好，可能導(dǎo)致企業(yè)機(jī)密泄露、數(shù)據(jù)丟失等風(fēng)險(xiǎn)。而防火墻技術(shù)卻能為辦公網(wǎng)絡(luò)提供一個(gè)良好的屏障，本文重點(diǎn)從數(shù)據(jù)過(guò)濾、服務(wù)器代理設(shè)計(jì)、防火墻系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)等角度探討和分析防火墻技術(shù)。

1 關(guān)于防火墻技術(shù)

1.1 基本概念

防火墻主要是防范網(wǎng)絡(luò)外部的危險(xiǎn)傳到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻邏輯上既為分離器和分析器，又可作限制器；但立足于物理視角，一般防火墻主要由路由器及主機(jī)等一些硬件類(lèi)設(shè)備及各種不同的軟件組合構(gòu)成的，防火墻不同、其實(shí)現(xiàn)的方式也可以不同；就其實(shí)質(zhì)而言，通常防火墻就是用來(lái)對(duì)網(wǎng)絡(luò)的數(shù)據(jù)、資源及其用戶(hù)的信譽(yù)進(jìn)行保護(hù)的一種保護(hù)性的設(shè)施；就其技術(shù)層面而言，通常防火墻就是控制對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)的控制技術(shù)，也是一個(gè)保護(hù)的門(mén)檻，能夠管控輸入和輸出兩方面的信息傳輸，切實(shí)防范內(nèi)部某個(gè)網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)進(jìn)行溝通和交流。

1.2 基本原理分析

通常防火墻按先前明確的原則和規(guī)范對(duì)防火墻經(jīng)過(guò)的數(shù)據(jù)流進(jìn)行控制和監(jiān)測(cè)。那些有授權(quán)的才能夠讓數(shù)據(jù)許可經(jīng)過(guò)，同時(shí)要隨時(shí)對(duì)服務(wù)器中的相應(yīng)數(shù)據(jù)的源起、通信的總量以及任何希望進(jìn)入網(wǎng)絡(luò)的人員的目的與動(dòng)機(jī)進(jìn)行記錄，以便于管理員完成好跟蹤與檢測(cè)等相關(guān)工作。除此以外，通常防火墻還應(yīng)當(dāng)具有阻止?jié)B透的特定性功能。

1.3 功能簡(jiǎn)介

通常防火墻需要具有的主要功能有如下四類(lèi)，一是阻止網(wǎng)絡(luò)的非正常用戶(hù)入侵入到網(wǎng)絡(luò)內(nèi)部；二是可以方便快捷地網(wǎng)絡(luò)具有的安全性進(jìn)行監(jiān)測(cè)，同時(shí)隨時(shí)地發(fā)出警報(bào)；三是能夠具有對(duì)地質(zhì)網(wǎng)絡(luò)的變換進(jìn)行調(diào)整的功能，能夠把數(shù)量限定的IP類(lèi)地址和內(nèi)部網(wǎng)絡(luò)IP類(lèi)地址進(jìn)行靜動(dòng)態(tài)聯(lián)系，用來(lái)緩解網(wǎng)絡(luò)地址的有限性矛盾；四是防火墻能夠隔開(kāi)內(nèi)部的網(wǎng)絡(luò)，和某一網(wǎng)段獨(dú)立地連接起來(lái)，利用此網(wǎng)段對(duì)FTP與WWW兩種服務(wù)器進(jìn)行部署，將其當(dāng)作向外部公布信息資源的地方。這就是通常在技術(shù)視角下會(huì)提到?；饏^(qū)，即DMZ區(qū)。

1.4 關(guān)于防火墻類(lèi)型

通常防火墻主要可以分成過(guò)濾數(shù)據(jù)包類(lèi)、服務(wù)代理類(lèi)及復(fù)合類(lèi)等三種類(lèi)型。通常過(guò)濾數(shù)據(jù)包類(lèi)防火墻工作于網(wǎng)絡(luò)層與傳輸層，所以還被稱(chēng)作篩選型路由器或者網(wǎng)絡(luò)類(lèi)防火墻，主要是針對(duì)網(wǎng)絡(luò)中單個(gè)的傳輸數(shù)據(jù)包實(shí)施相應(yīng)的控制，依照接收數(shù)據(jù)包IP類(lèi)的目的地址和源地址情況、UDP/TCP的目標(biāo)與源起端口號(hào)情況、網(wǎng)絡(luò)ICMP類(lèi)消息情況以及數(shù)據(jù)包當(dāng)中的協(xié)議的種類(lèi)與標(biāo)志等各類(lèi)參數(shù)，將其與事先用戶(hù)設(shè)置的控制管理訪問(wèn)內(nèi)容做對(duì)比，來(lái)對(duì)數(shù)據(jù)內(nèi)容是不是符合事前設(shè)定安全要求和標(biāo)準(zhǔn)做出判斷，在此基礎(chǔ)上進(jìn)行過(guò)濾操作，研究相關(guān)數(shù)據(jù)包是進(jìn)行轉(zhuǎn)發(fā)還是進(jìn)行丟棄。而服務(wù)代理類(lèi)的防火墻還被稱(chēng)作應(yīng)用類(lèi)的防火墻，就是在主機(jī)上通過(guò)運(yùn)行服務(wù)代理類(lèi)程序，圍繞特定性應(yīng)用程序或用戶(hù)直接提供相應(yīng)的服務(wù)功能。服務(wù)代理類(lèi)防火墻最為核心的是其主機(jī)上設(shè)置防火墻的代理類(lèi)服務(wù)器部分，主要是幫助用戶(hù)實(shí)現(xiàn)TCP、IP協(xié)議相應(yīng)的功能。代理類(lèi)服務(wù)器從實(shí)質(zhì)上說(shuō)是將兩個(gè)不同網(wǎng)絡(luò)相連接，用來(lái)達(dá)到網(wǎng)絡(luò)特定性的應(yīng)用目標(biāo)的網(wǎng)關(guān)。對(duì)于復(fù)合類(lèi)防火墻因?yàn)樵诰W(wǎng)絡(luò)的安全方面的要求較高，一般情況下需要將服務(wù)代理和過(guò)濾數(shù)據(jù)包的服務(wù)體系的功能與特點(diǎn)相結(jié)合，在此基礎(chǔ)上建立復(fù)合類(lèi)防火墻體系，其主機(jī)通常被稱(chēng)作是堡壘型主機(jī)。各種不同類(lèi)別的防火墻均具有各自不同技術(shù)優(yōu)點(diǎn)和不足，目前防火墻方面的單一產(chǎn)品完全無(wú)法適應(yīng)網(wǎng)絡(luò)應(yīng)用要求的更高的安全水平，因此把現(xiàn)有各類(lèi)防火墻應(yīng)用技術(shù)相互結(jié)合，以便建立多層級(jí)、混合型防火墻體系，能夠增強(qiáng)網(wǎng)絡(luò)防火墻在靈活性與安全性方面的性能。

2 內(nèi)部辦公網(wǎng)防火墻體系設(shè)計(jì)

2.1 內(nèi)部辦公網(wǎng)防火墻體系的設(shè)計(jì)總體思路

2.1.1 建立內(nèi)網(wǎng)的安全性對(duì)策

首先，在內(nèi)部網(wǎng)絡(luò)的安全要求上最重要是對(duì)任何沒(méi)能經(jīng)過(guò)允許的各類(lèi)服務(wù)進(jìn)行禁止。其次，在內(nèi)部網(wǎng)的另一條安全原則是讓未明令禁止的各項(xiàng)服務(wù)運(yùn)行，于是防火墻在發(fā)送此類(lèi)信息的過(guò)程當(dāng)中逐項(xiàng)對(duì)未經(jīng)許可的服務(wù)進(jìn)行濾除。

2.1.2 明確過(guò)濾數(shù)據(jù)的原則要求

一方面，要處理IP類(lèi)數(shù)據(jù)包的頭部信息；另一方面，設(shè)計(jì)出過(guò)濾數(shù)據(jù)包的原則和要求，一般情況下，應(yīng)當(dāng)確定并實(shí)施過(guò)濾數(shù)據(jù)包原則的基本內(nèi)容，進(jìn)而作出具體性的要求設(shè)定。

2.1.3 加強(qiáng)對(duì)服務(wù)代理進(jìn)行設(shè)計(jì)

代理類(lèi)服務(wù)器當(dāng)接收到網(wǎng)絡(luò)外部節(jié)點(diǎn)提交的請(qǐng)求服務(wù)的時(shí)候，若接受到這一請(qǐng)求，則代理類(lèi)服務(wù)器馬上和實(shí)際的服務(wù)器建立相應(yīng)的連接關(guān)系。服務(wù)代理的相關(guān)工作發(fā)生在應(yīng)用的層面，所以能夠利用網(wǎng)絡(luò)安全密碼、驗(yàn)證身份、跟蹤審計(jì)、登錄日志等各類(lèi)網(wǎng)絡(luò)技術(shù)，確保內(nèi)部網(wǎng)安全運(yùn)行，以便解決好過(guò)濾數(shù)據(jù)時(shí)求救應(yīng)對(duì)的矛盾問(wèn)題。

2.1.4 對(duì)防火墻體系統(tǒng)拓?fù)漕?lèi)結(jié)構(gòu)進(jìn)行設(shè)計(jì)

第一，設(shè)計(jì)網(wǎng)絡(luò)防火墻體系的拓?fù)漕?lèi)結(jié)構(gòu)必須確定出需要保護(hù)的這一辦公網(wǎng)在安全運(yùn)行上的級(jí)別要求。第二，最后在明確網(wǎng)絡(luò)防火墻體系的拓?fù)漕?lèi)結(jié)構(gòu)進(jìn)，必須綜合考慮該體系在安全措施上的實(shí)施、升級(jí)、維護(hù)、改造、重點(diǎn)資源信息保護(hù)及體系安全的管理成本等有關(guān)方面的因素。

2.1.5 對(duì)模塊的功能進(jìn)行定義并分散施行

網(wǎng)絡(luò)防火墻通常是各類(lèi)功能組合模塊構(gòu)成的，各種功能性模塊主要包括代理類(lèi)、過(guò)濾數(shù)據(jù)包、網(wǎng)絡(luò)域名類(lèi)、網(wǎng)絡(luò)認(rèn)證類(lèi)等服務(wù)器及通信情況的監(jiān)控器，這些模塊是通過(guò)路由器與主機(jī)獨(dú)立地實(shí)現(xiàn)功能的，而對(duì)模塊功能分散進(jìn)行處理，能夠降低其實(shí)施過(guò)程的難度系數(shù)，但卻增強(qiáng)了體系的可靠程度。

2.1.6 關(guān)于對(duì)維護(hù)和管理防火墻的工作方案

維護(hù)防火墻應(yīng)當(dāng)隨時(shí)審計(jì)網(wǎng)絡(luò)訪問(wèn)情況的記錄，從中查找和發(fā)現(xiàn)網(wǎng)絡(luò)中非法性的訪問(wèn)與入侵的有關(guān)情況。以此為基礎(chǔ)全面評(píng)估防火墻在安全管理方面的相關(guān)情況，如果需要還應(yīng)當(dāng)做出必要的改進(jìn)和完善。而管理防護(hù)墻是要按照網(wǎng)絡(luò)安全對(duì)策措施及網(wǎng)絡(luò)中拓?fù)漕?lèi)結(jié)構(gòu)出現(xiàn)變動(dòng)的情況，及時(shí)升級(jí)和修改防火墻的硬件與軟件等方面的相關(guān)內(nèi)容級(jí)。

2.2 網(wǎng)絡(luò)數(shù)據(jù)包類(lèi)防火墻的典型的設(shè)計(jì)方法

過(guò)濾數(shù)據(jù)包類(lèi)防火墻的相關(guān)工作處在DOD類(lèi)網(wǎng)絡(luò)的層面，其核心的技術(shù)為逐個(gè)對(duì)通過(guò)網(wǎng)絡(luò)防火墻的各類(lèi)數(shù)據(jù)包均實(shí)施審查操作，同時(shí)分析數(shù)據(jù)包當(dāng)中所含有的IP類(lèi)的目的地址和源地址情況UDP/TCP的目標(biāo)與源起端口號(hào)情況、網(wǎng)絡(luò)ICMP類(lèi)消息情況以及封裝數(shù)據(jù)包的協(xié)議種類(lèi)等，當(dāng)判斷同體系事前確定的網(wǎng)絡(luò)安全對(duì)策是不是相符合以后，從而決定是不是讓這些數(shù)據(jù)包通過(guò)、進(jìn)入網(wǎng)絡(luò)。

設(shè)計(jì)過(guò)濾數(shù)據(jù)包原則要求主要包含兩方面的內(nèi)容：一是有關(guān)服務(wù)的各種安檢原則要求；二是對(duì)不同服務(wù)的安檢原則要求。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)防火墻技術(shù)雖然有著比較多的優(yōu)勢(shì)，然而也存在一些不足之處，特別是在網(wǎng)絡(luò)安全上還會(huì)留下部分隱患。同時(shí)，設(shè)定防火墻也無(wú)法實(shí)現(xiàn)畢其功于一役，設(shè)定安全管理人員完成防火墻設(shè)定之后造成不能放松管理，應(yīng)該時(shí)時(shí)具有居安思危的意識(shí)，努力把其他的一些安全防御技術(shù)與防火墻配合使用，以增強(qiáng)網(wǎng)絡(luò)信息的安全性，使網(wǎng)絡(luò)用戶(hù)能更加放心地享用網(wǎng)絡(luò)資源。

參考文獻(xiàn)：

[1]王穎.論目前計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅及防范措施[J].消費(fèi)電子.

[2]史長(zhǎng)瓊，吳丹，肖瑞強(qiáng).能抵抗拒絕服務(wù)攻擊且高效的RFID安全認(rèn)證協(xié)議[J].計(jì)算機(jī)工程與應(yīng)用.

作者單位：湖北工業(yè)大學(xué)，武漢 430068