葉 萍

（廣州市工貿(mào)技師學(xué)院 廣東 510425）

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息共享已經(jīng)變得越來越重要，是人們生活和工作當(dāng)中都無法缺少的。但在網(wǎng)絡(luò)信息共享的過程中，也會(huì)出現(xiàn)很多安全問題，很多商業(yè)網(wǎng)站都會(huì)遭受到黑客侵襲，給企業(yè)造成很大的經(jīng)濟(jì)損失。為了解決網(wǎng)絡(luò)安全問題、避免經(jīng)濟(jì)損失，相關(guān)技術(shù)人員創(chuàng)新了各種各樣的網(wǎng)絡(luò)安全保護(hù)技術(shù)，而應(yīng)用最廣泛的技術(shù)就是防火墻技術(shù)。防火墻是一種安全機(jī)制，可以實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)之間的正常訪問。但隨著網(wǎng)絡(luò)流量指數(shù)的不斷增長，傳統(tǒng)意義上的網(wǎng)絡(luò)防火墻技術(shù)已經(jīng)無法保證網(wǎng)絡(luò)安全，另外，防火墻技術(shù)的安全保護(hù)效果也關(guān)系到國家相關(guān)機(jī)構(gòu)的設(shè)施安全，必須對(duì)防火墻技術(shù)進(jìn)行不斷創(chuàng)新，提高各種網(wǎng)絡(luò)保護(hù)設(shè)備的質(zhì)量，保障網(wǎng)絡(luò)信息安全。而包過濾防火墻管理技術(shù)就是一種新型防火墻管理技術(shù)，其安全防護(hù)效果是非常好的。

1 包過濾防火墻技術(shù)概括

1.1 防火墻的主要結(jié)構(gòu)

在防火墻當(dāng)中，主要包括四大組成部分，第一部分是屏蔽路由器，它是可以代替主機(jī)使用的，有著內(nèi)外連接的功能，一切網(wǎng)絡(luò)包都要在屏蔽路由器當(dāng)中進(jìn)行檢查。在屏蔽路由器上，還可以進(jìn)行包過濾設(shè)備的有效安裝，其過濾功能是比較強(qiáng)大的；第二部分是雙穴主機(jī)網(wǎng)關(guān)，主要是以堡壘主機(jī)為結(jié)構(gòu)核心的，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的有效連接，可以進(jìn)行程序轉(zhuǎn)發(fā)，可以維護(hù)各種遠(yuǎn)程日志；第三大結(jié)構(gòu)是屏蔽主機(jī)網(wǎng)關(guān)，主要在路由器當(dāng)中進(jìn)行過濾軟件的設(shè)置，不受外部人員攻擊；第四大結(jié)構(gòu)是屏蔽子網(wǎng)，主要利用包過濾路由器實(shí)現(xiàn)內(nèi)部和外部的分離。包過濾軟件主要在屏蔽子網(wǎng)的兩側(cè)，最終形成一個(gè)DNS，禁止內(nèi)外網(wǎng)絡(luò)自動(dòng)通信。

1.2 包過濾防火墻的運(yùn)作過程

隨著網(wǎng)絡(luò)信息技術(shù)的不斷進(jìn)步，包過濾防火墻技術(shù)被創(chuàng)新出來，包過濾防火墻是防火墻的主要類別，另外還包括應(yīng)用防護(hù)墻以及復(fù)合型防火墻等。

包過濾防火墻主要在網(wǎng)絡(luò)層當(dāng)中進(jìn)行運(yùn)作，它是具有網(wǎng)絡(luò)級(jí)別性能的，它在過濾網(wǎng)絡(luò)信息過程中，主要檢測網(wǎng)絡(luò)地址、網(wǎng)絡(luò)端口以及網(wǎng)絡(luò)信息協(xié)議等，通過對(duì)相關(guān)信息的檢測過濾掉那些不安全的網(wǎng)絡(luò)信息，通過那些安全網(wǎng)絡(luò)信息。在多種包過濾防火墻當(dāng)中，路由器是比較常見的。

包過濾防火墻是在對(duì)傳統(tǒng)防火墻進(jìn)行改造之后得來的，相比傳統(tǒng)防火墻，它的保護(hù)功能是更強(qiáng)大的，可以實(shí)現(xiàn)狀態(tài)檢測等。在狀態(tài)檢測當(dāng)中，包過濾防火墻的檢測方式是具有動(dòng)態(tài)性的，這相對(duì)于傳統(tǒng)的靜態(tài)檢測來說，可以確定出應(yīng)該斷開的網(wǎng)絡(luò)端口，降低安全風(fēng)險(xiǎn)，還可以實(shí)現(xiàn)網(wǎng)絡(luò)端口應(yīng)當(dāng)臨時(shí)打開的正確判斷，等到信息傳輸完成之后，端口可以自動(dòng)關(guān)閉。

1.3 包過濾防火墻的特點(diǎn)

相比于傳統(tǒng)防火墻來說，包過濾防火墻的優(yōu)點(diǎn)是比較多的，一方面，單一的包過濾防火墻的保護(hù)功能是非常強(qiáng)大的，可以對(duì)整個(gè)信息網(wǎng)絡(luò)進(jìn)行安全保護(hù)，在單一包過濾防火墻在進(jìn)行內(nèi)部信息網(wǎng)絡(luò)和外部信息網(wǎng)絡(luò)的有效連接下，不管網(wǎng)絡(luò)信息數(shù)量有多少，內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)有多復(fù)雜，只要正常進(jìn)入到包過濾防火墻體系當(dāng)中，就可以實(shí)現(xiàn)有效的網(wǎng)絡(luò)信息包過濾，起到的網(wǎng)絡(luò)信息過濾效果和安全防護(hù)效果是特別好的。另一方面，包過濾防火墻的網(wǎng)絡(luò)信息安全保護(hù)過程和信息過濾過程都是全透明的，用戶都能了解得到，和那些代理進(jìn)行信息保護(hù)的防火墻不一樣，不需要自定義的保護(hù)軟件，也不需要用戶進(jìn)行主機(jī)配置，更不需要用戶進(jìn)行相關(guān)操作，在用戶沒有察覺的情況下，信息過濾工作就能有效完成，透明度是非常高的。

2 包過濾防火墻管理技術(shù)要點(diǎn)分析

要想提高包過濾防火墻工作安全性，必須不斷創(chuàng)新包過濾防火墻防護(hù)技術(shù)，還要加強(qiáng)包過濾防火墻的技術(shù)管理，在包過濾防火墻管理技術(shù)當(dāng)中，NP技術(shù)是主要的技術(shù)之一，CAM技術(shù)也是主要的技術(shù)之一。

2.1 包過濾防火墻NP管理技術(shù)要點(diǎn)

NP是一種編程處理器，可以對(duì)網(wǎng)絡(luò)信息包進(jìn)行優(yōu)化，可以完成信息檢驗(yàn)和數(shù)據(jù)計(jì)算等工作，它的 I/0能力是非常大的，可以大大提高包過濾能力。

NP主要的處理核心是Power，利用這個(gè)核心技術(shù)進(jìn)行數(shù)據(jù)處理，它具有存儲(chǔ)管理的作用，可以實(shí)現(xiàn)相關(guān)信息的有效緩沖，其DMN作用也是比較大的；它還具有信息檢驗(yàn)與計(jì)算功能；還可以把網(wǎng)絡(luò)信息輸入到交換網(wǎng)絡(luò)體系當(dāng)中；還可以實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)接口的有效控制；可以提高信息傳送的速度，進(jìn)行有效的數(shù)據(jù)信息復(fù)制；可以實(shí)現(xiàn)有效的計(jì)數(shù)控制，及時(shí)解決控制協(xié)議當(dāng)中出現(xiàn)的問題；還可以進(jìn)行策略檢查，核對(duì)控制信息的正確性，判斷其是否和相關(guān)標(biāo)準(zhǔn)信息內(nèi)容一致。

NP管理技術(shù)主要是并行管理技術(shù)，它有兩個(gè)內(nèi)核，除了具備運(yùn)算能力和保存能力的內(nèi)涵外，還有完成任務(wù)的內(nèi)核，比如CRC和FUs。不同處理單元主要是通過相同的調(diào)度體系進(jìn)行工作的，然后進(jìn)行數(shù)據(jù)包的發(fā)送，最終把數(shù)據(jù)信息傳送到 PS當(dāng)中，等到 PE對(duì)信息數(shù)據(jù)進(jìn)行處理，處理完成之后進(jìn)行數(shù)據(jù)信息排序，排序完之后發(fā)送到外部。另外還有三級(jí)并行管理技術(shù)，不僅包括線程管理技術(shù)并行，還包括指令管理技術(shù)并行與處理器管理技術(shù)并行，可以大大提高數(shù)據(jù)處理的效率。

利用 NP技術(shù)進(jìn)行包過濾防火墻技術(shù)管理的方法主要是樹算法，主要包括定義表、葉控制塊、查詢控制塊和直接表，主要的樹節(jié)點(diǎn)是LCB和PSCB，而樹節(jié)點(diǎn)PSCB的主要結(jié)構(gòu)是NBT和 LCBA，主要有一對(duì)，分別表示的是不同方向的兩個(gè)分支，樹結(jié)點(diǎn)LCB主要包括關(guān)鍵字、NLP和葉數(shù)據(jù)。

而在服務(wù)程序管理上，NP主要采用分組分類法計(jì)算相關(guān)數(shù)據(jù)，實(shí)現(xiàn)包過濾防火墻技術(shù)管理，主要通過樹算法的使用和分組分類服務(wù)進(jìn)行技術(shù)管理。

2.2 包過濾防火墻CAM管理技術(shù)要點(diǎn)

CAM是一種網(wǎng)絡(luò)信息存儲(chǔ)器。要想實(shí)現(xiàn)包過濾防火墻的有效技術(shù)管理，必須提高包過濾信息的效率，要讓用戶了解技術(shù)管理的主要規(guī)則，不斷進(jìn)行規(guī)則更新，在了解管理規(guī)則的基礎(chǔ)上實(shí)現(xiàn)技術(shù)管理和信息維護(hù)。因此，在包過濾防火墻技術(shù)管理當(dāng)中，搜索技術(shù)管理是主要核心內(nèi)容。

使用CAM技術(shù)，對(duì)CAM包過濾防火墻技術(shù)管理體系進(jìn)行完善，降低信息搜索難度，就可以加快信息搜索速度，圖1是包過濾防火墻CAM技術(shù)管理體系示意圖。

圖1 包過濾防火墻CAM技術(shù)管理體系示意圖

通過包過濾防火墻CAM技術(shù)管理，可以在多個(gè)相似數(shù)據(jù)信息的過濾下判斷出最優(yōu)的信息數(shù)據(jù)，還可以擴(kuò)大信息搜索的范圍，提高信息匹配準(zhǔn)確性，另外其信息擴(kuò)展性也是非常好的。

3 結(jié)語

綜上所述，本文主要對(duì)包過濾防火墻的主要結(jié)構(gòu)和管理技術(shù)要點(diǎn)進(jìn)行了分析，在使用CAM技術(shù)和NP技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了包過濾防火墻技術(shù)管理，因此，在包過濾防火墻防護(hù)實(shí)踐當(dāng)中，使用CAM管理技術(shù)和NP管理技術(shù)可以大大提高規(guī)則服務(wù)能力，采用樹算法可以提高技術(shù)管理的效率。相信隨著我國網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，一定可以創(chuàng)新出更多的包過濾防火墻管理技術(shù)，一定可以在實(shí)現(xiàn)CAM管理技術(shù)和NP管理技術(shù)有效結(jié)合的基礎(chǔ)上建立起完善的包過濾防火墻網(wǎng)絡(luò)信息安全防護(hù)體系。

[1]嚴(yán)峻，黃瑞.基于ACL的包過濾防火墻實(shí)驗(yàn)教學(xué)設(shè)計(jì)與實(shí)現(xiàn)[J].中國教育信息化?基礎(chǔ)教育.2014.

[2]陳賢敏.基于 Linux系統(tǒng)包過濾防火墻的實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代.2011.

[3]趙可新，陳玉芳.包過濾防火墻系統(tǒng)的設(shè)計(jì)與研究[J].現(xiàn)代電子技術(shù).2011.

[4]蒙磊，李雙虎，楊海艷等.基于 freebsd包過濾防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2014.

[5]郭娟，魏萌，朱鋒等.基于LINUX的防火墻技術(shù)及其功能實(shí)現(xiàn)[J].電腦開發(fā)與應(yīng)用.2012.