摘 要：互聯(lián)網(wǎng)到今天已經(jīng)從基本信息共享向電子商務(wù)、網(wǎng)絡(luò)應(yīng)用等更為復(fù)雜的方向發(fā)展，隨著商業(yè)應(yīng)用的增加，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。防火墻技術(shù)的引入給管理和提高網(wǎng)絡(luò)的安全性，提供了一個(gè)必要而便捷的方式。文中論述了防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)及其安全體系的構(gòu)成。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻技術(shù)；應(yīng)用

1 概述

“防火墻”的本意是指發(fā)生火災(zāi)時(shí)，用來(lái)防止火勢(shì)蔓延的一道障礙物，一般都修建在建筑物之間。由于網(wǎng)絡(luò)防火墻提供了與此類似的功能，所以人們采用防火墻這一術(shù)語(yǔ)來(lái)描述設(shè)置在計(jì)算機(jī)網(wǎng)絡(luò)之間的隔離裝置，可以隔離兩個(gè)或者多個(gè)網(wǎng)絡(luò)、限制網(wǎng)絡(luò)互訪，以保護(hù)網(wǎng)絡(luò)用戶的安全。防火墻通常位于用戶網(wǎng)絡(luò)系統(tǒng)的邊界處，通過(guò)設(shè)定一定的篩選機(jī)制來(lái)決定允許或拒絕數(shù)據(jù)包通過(guò)，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問(wèn)的審計(jì)和控制。

網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)（VPN）。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

2 防火墻中使用的主要技術(shù)

2.1 包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇

它依據(jù)系統(tǒng)內(nèi)事先設(shè)定好的篩選規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口與TCP連接狀態(tài)等信息，并以此來(lái)確定是否允許數(shù)據(jù)包通過(guò)防火墻。包過(guò)濾的最大優(yōu)點(diǎn)是它對(duì)用戶是透明的，即不需要使用用戶名和密碼來(lái)登錄，不要應(yīng)用程序做任何改動(dòng)。這使得防火墻速度快且易于維護(hù)。單純采用包過(guò)濾技術(shù)的防火墻產(chǎn)品價(jià)格低、易使用，但也存在著明顯的缺陷。由于采用這種產(chǎn)品時(shí)，允許在內(nèi)部和外部系統(tǒng)之間直接交換數(shù)據(jù)包，那么內(nèi)部網(wǎng)中的所有主機(jī)和路由器所允許的全部服務(wù)就都可能會(huì)成為攻擊目標(biāo)。這就意味著可以從外部網(wǎng)絡(luò)上直接訪問(wèn)的主機(jī)要支持復(fù)雜的用戶認(rèn)證機(jī)制，并且網(wǎng)絡(luò)管理員要不斷地檢查網(wǎng)絡(luò)狀態(tài)，以確定是否受到攻擊。包過(guò)濾可能無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制，因?yàn)樗鼉H能夠通過(guò)對(duì)數(shù)據(jù)包的分析而允許或拒絕某些特定服務(wù)，但不能很好地理解上下文環(huán)境/數(shù)據(jù)。作為判斷依據(jù)的規(guī)則表很容易變得龐大而復(fù)雜，如果包過(guò)濾功能在主機(jī)上實(shí)現(xiàn)，必然消耗較多的CPU時(shí)間，影響系統(tǒng)性能。所以，通常把包過(guò)濾功能作為第一道防線，目前經(jīng)常使用在路由器硬件中。

2.2 應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)的應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能

它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯。并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的登記、統(tǒng)計(jì)和分析，形成日志報(bào)告。數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)有一個(gè)共同的特點(diǎn)，就是它們僅依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò)。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)就會(huì)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解內(nèi)部網(wǎng)的結(jié)構(gòu)和運(yùn)行狀態(tài)，這顯然有利于實(shí)施非法訪問(wèn)和攻擊。

2.3 虛擬專用網(wǎng)技術(shù)（VPN）

虛擬專用網(wǎng)技術(shù)是通過(guò)一些公共網(wǎng)絡(luò)（如因特網(wǎng)）實(shí)現(xiàn)的具有授權(quán)檢查和加密技術(shù)的通信方式。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸?；诜阑饓Φ腣PN為了保證安全性，通常采用國(guó)際標(biāo)準(zhǔn)IPSEC作為加密、認(rèn)證的協(xié)議，加強(qiáng)對(duì)通信雙方身份的認(rèn)證，保證數(shù)據(jù)在加密、傳輸過(guò)程中的完整性?；贗nternet建立的VPN，可以保護(hù)網(wǎng)絡(luò)免受病毒感染，防止欺騙，防商業(yè)間諜，增強(qiáng)訪問(wèn)控制，增強(qiáng)系統(tǒng)管理，加強(qiáng)認(rèn)證。

3 防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾。

3.1 防火墻為網(wǎng)絡(luò)系統(tǒng)的安全屏障

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元，則該部門所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然，對(duì)于關(guān)鍵部門來(lái)說(shuō)，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

3.2 防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。

通常，防火墻的安全性問(wèn)題來(lái)自兩個(gè)方面：其一是防火墻本身的設(shè)計(jì)是否合理，這類問(wèn)題一般用戶根本無(wú)從入手，只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō)，保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō)，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對(duì)防火墻不十分熟悉，就有可能在配置過(guò)程中遺留大量的安全漏洞。

3.3 管理與培訓(xùn)

管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到，在計(jì)算防火墻的成本時(shí)，不能只簡(jiǎn)單地計(jì)算購(gòu)置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

4 安全技術(shù)的研究現(xiàn)狀和動(dòng)向

我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。

國(guó)際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國(guó)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”（BeuLapadula模型）的基礎(chǔ)上，指定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國(guó)特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過(guò)發(fā)達(dá)國(guó)家的水平，以此保證我國(guó)信息網(wǎng)絡(luò)的安全，推動(dòng)我國(guó)國(guó)民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn)

[1]黃健.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的幾點(diǎn)思考[J].魅力中國(guó)，2008（2）.

[2]王應(yīng)強(qiáng).淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全[J].中共鄭州市委黨校學(xué)報(bào)，2009（4）.