張亞威 徐其崗

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開(kāi)放性、共享性、互連程度也隨著擴(kuò)大，所以網(wǎng)絡(luò)的安全問(wèn)題也是現(xiàn)在注重考慮的問(wèn)題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它實(shí)際上是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn),也可以使用它阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；外部網(wǎng)絡(luò)；內(nèi)部網(wǎng)絡(luò)1概念

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

2防火墻的作用

⑴自然是撐起網(wǎng)路的保護(hù)傘。防火墻都會(huì)制定自己的規(guī)則，凡是符合規(guī)則的一律放行，不符合規(guī)則的一律禁止，當(dāng)然這些規(guī)則可以由網(wǎng)路管理員來(lái)自己制定，但是某些防火墻或許只能使用內(nèi)置規(guī)則。

⑵強(qiáng)化網(wǎng)絡(luò)安全策略，本來(lái)網(wǎng)絡(luò)安全問(wèn)題是由各個(gè)安全軟件獨(dú)立處理，而防火墻可以有效的把所有安全軟件配置在防火墻上，以防火墻為中心統(tǒng)一調(diào)用。防火墻的集中安全管理更經(jīng)濟(jì)，更安全。

⑶防火墻還有一個(gè)重要的功能就是防止信息外泄，隱私應(yīng)該是每個(gè)上網(wǎng)用戶最關(guān)心的問(wèn)題，現(xiàn)在正是隱私泄露的敏感時(shí)期，因此更受到用戶的關(guān)心，而防火墻可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，使本機(jī)的域名和IP地址不會(huì)被外界所了解，能有效的阻止信息外泄。

3防火墻的基本分類

⑴包過(guò)濾防火墻。第一代防火墻和最基本形式防火墻檢查每一個(gè)通過(guò)的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過(guò)濾防火墻。本質(zhì)上，包過(guò)濾防火墻是多址的，表明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。

⑵狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻。狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻，試圖跟蹤通過(guò)防火墻的網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過(guò)濾防火墻的通信上應(yīng)用一些技術(shù)來(lái)做到這點(diǎn)的。

⑶應(yīng)用程序代理防火墻。應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來(lái)自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問(wèn)內(nèi)部網(wǎng)的任何一部分。

⑷個(gè)人防火墻?，F(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

4防火墻的局限性

⑴防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù)，防火墻無(wú)法檢查。

⑵防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰(shuí)都不可信，但絕大多數(shù)單位因?yàn)椴环奖悖灰蠓阑饓Ψ纼?nèi)。

⑶防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來(lái)執(zhí)行安全，而不能自作主張。

⑷防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。

5發(fā)展趨勢(shì)

⑴高性能的防火墻需求。高性能防火墻是未來(lái)發(fā)展的趨勢(shì)，突破高性能的極限就是對(duì)防火墻硬件結(jié)構(gòu)的調(diào)整。而對(duì)于高端防火墻的技術(shù)實(shí)現(xiàn)，現(xiàn)今主要分為三種方式：基于通用處理器的工控機(jī)架構(gòu)、基于NP技術(shù)、基于ASIC芯片技術(shù)。

⑵管理接口和SOC的整合。如果把信息安全技術(shù)看做是一個(gè)整體行為的話，那么面對(duì)防火墻未來(lái)的發(fā)展趨勢(shì)，管理接口和SOC整合也必須考慮在內(nèi)，畢竟安全是一個(gè)整體，而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運(yùn)營(yíng)工作的推行，SOC做為一種安全管理的解決方案已經(jīng)得到大力推廣。

⑶抗DoS能力。從近年來(lái)網(wǎng)絡(luò)惡性攻擊事件情況分析來(lái)看，解決DoS攻擊也是防火墻必須要考慮的問(wèn)題了。做為網(wǎng)絡(luò)的邊界設(shè)備，一旦發(fā)生爭(zhēng)用帶寬和大流量攻擊事件后，往往最先失去抵抗能力的就是發(fā)生在這里。而提高防火墻抗擊DoS能力的技術(shù)問(wèn)題，也在纏繞著廣大防火墻廠商。在新型技術(shù)不斷更新的今天，各個(gè)廠家已經(jīng)把矛頭指向了解決DoS問(wèn)題上來(lái)。

⑷對(duì)入侵行為的智能切斷。安全是一個(gè)動(dòng)態(tài)的過(guò)程，而對(duì)于入侵行為的預(yù)見(jiàn)和智能切斷，做為邊界安全設(shè)備的防火墻來(lái)說(shuō)，也是未來(lái)發(fā)展的一大課題。從IPS的出發(fā)角度考慮，未來(lái)防火墻必須具備這項(xiàng)功能，因?yàn)榭蛻舨豢赡転榱藘H僅一個(gè)邊界安全而去花兩份錢。那么，具備對(duì)入侵行為智能切斷的一個(gè)整合型、多功能的防火墻，將是市場(chǎng)的需求。

[參考文獻(xiàn)]

[1]王鐵方,李濤.蜜網(wǎng)與防火墻及入侵檢測(cè)的無(wú)縫結(jié)合的研究與實(shí)現(xiàn)[J]. 四川師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2005,(01).

[2]高曉蓉.基于Linux的防火墻[J].揚(yáng)州職業(yè)大學(xué)學(xué)報(bào),2003,(04).

[3]鐘建偉.基于防火墻與入侵檢測(cè)技術(shù)的網(wǎng)絡(luò)安全策略[J].武漢科技學(xué)院學(xué)報(bào),2004,(04).