吳佳鋒

摘 要：防火墻作為提高網(wǎng)絡安全性的主要措施之一，在日益發(fā)展的信息技術(shù)和網(wǎng)絡技術(shù)背景下，將面臨更大的挑戰(zhàn)，因此，還需要對其作進一步研究。對網(wǎng)絡防火墻作的作用進行了分析，并對其關鍵技術(shù)進行了簡要探討。

關鍵詞：網(wǎng)絡安全；嵌入式防火墻；黑客；訪問記錄

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.06.135

在計算機網(wǎng)絡應用效率不斷提高的背景下，其中的安全問題也面臨著更大的挑戰(zhàn)。防火墻是提高網(wǎng)絡環(huán)境安全性的主要方式之一，要想合法、有效和完整地保證計算機網(wǎng)絡安全，就需要進一步研究其關鍵技術(shù)。因此，我們應結(jié)合網(wǎng)絡安全需求，不斷優(yōu)化和完善，爭取進一步提高防火墻的保護作用。

1 網(wǎng)絡防火墻作用分析

1.1 提高網(wǎng)絡的安全性

防火墻可有效限制非法用戶的入侵行為，比如，網(wǎng)絡破壞者或黑客等進入網(wǎng)絡內(nèi)部時，可禁止安全脆弱性服務和未授權(quán)的通信進出網(wǎng)絡，從而通過此種方式避免來自網(wǎng)絡的安全威脅。

1.2 限制暴露用戶點

采用防火墻可實現(xiàn)對內(nèi)部網(wǎng)絡的劃分，對網(wǎng)絡中的網(wǎng)段進行隔離，避免對一個網(wǎng)段造成影響的安全威脅利用整個網(wǎng)絡傳播，從而對局部重點或敏感網(wǎng)絡安全問題進行限制，最終確保全局網(wǎng)絡的正常運行。此外，防火墻還可以保護一個網(wǎng)段不受到來自其他網(wǎng)段的攻擊，通過用戶身份認證的方式保證用戶的合法性，即防火墻以事先確定的安全檢查策略為基礎，確定內(nèi)部用戶可享有的服務權(quán)限。

1.3 網(wǎng)絡訪問記錄和監(jiān)控

所有在單一網(wǎng)絡接入點進出的信息都必須經(jīng)過防火墻，因此，防火墻可以對網(wǎng)絡存取和訪問的各類信息進行收集并記錄，且防火墻還可以對網(wǎng)絡運行環(huán)境進行監(jiān)控，一旦發(fā)現(xiàn)安全威脅，則會及時報警。

1.4 網(wǎng)絡地址轉(zhuǎn)化

網(wǎng)絡防火墻可作為部署NAT的邏輯地址，在一定程度上緩解地址空間短缺問題，同時，還能消除結(jié)構(gòu)在變換ISP時產(chǎn)生的重新編址問題。

2 網(wǎng)絡防火墻關鍵技術(shù)分析

2.1 數(shù)據(jù)包過濾技術(shù)

包過濾技術(shù)，即在網(wǎng)絡環(huán)境中的適當位置對數(shù)據(jù)包進行選擇性通過處理。其中，數(shù)據(jù)包的選擇依據(jù)為系統(tǒng)內(nèi)設置的過濾原則，對于滿足過濾規(guī)則的數(shù)據(jù)包可執(zhí)行轉(zhuǎn)發(fā)或丟棄處理；對于未滿足過濾原則的數(shù)據(jù)包則進行刪除處理。此項技術(shù)的主要目的是對進出網(wǎng)絡的數(shù)據(jù)信息進行控制和操作，以過濾原則為基礎，對進出網(wǎng)絡的數(shù)據(jù)進行過濾，并選擇相應方式進行處理。此外，包過濾技術(shù)還可以分析并監(jiān)控整個信息系統(tǒng)的運行狀態(tài)和會話，保證整個網(wǎng)絡運行環(huán)境的安全性；可控制站點與站點、網(wǎng)絡與網(wǎng)絡和站點與網(wǎng)絡之間的相互訪問，但不可以對傳輸?shù)臄?shù)據(jù)內(nèi)容進行控制。

包過濾技術(shù)實現(xiàn)的基礎為過濾路由器，它是一種硬件設備，可以對普通路由器進行功能性擴展，以及PC機安裝相應軟件，比如常見的通過修改Linux內(nèi)核，即可以讓Linux主機具備包過濾功能。包過濾防護墻一般安裝在路由器、服務器或雙宿網(wǎng)關等位置，從而起到相應的防護作用。

2.2 分布式防火墻技術(shù)

分布式防護墻技術(shù)是一種新型的防火墻體系結(jié)構(gòu)，主要包括主機防護墻、網(wǎng)絡防火墻和中心管理三個部分。其中，主機防火墻的主要作用為充當網(wǎng)絡服務器和保護桌面系統(tǒng)，主機的物理位置可以選在企業(yè)網(wǎng)內(nèi)或外；一般需要將網(wǎng)絡防火墻設置在內(nèi)部網(wǎng)絡、外部網(wǎng)絡、內(nèi)網(wǎng)與子網(wǎng)之間，主要支持內(nèi)網(wǎng)可能存在的IP和非IP協(xié)議；中心管理是分布式防火墻技術(shù)的核心部分，主要起到收集、匯總?cè)罩竞桶踩呗苑职l(fā)的作用，并將防火墻安全防護系統(tǒng)延伸到網(wǎng)絡中作用于各主機。這種防護技術(shù)可以實現(xiàn)對網(wǎng)絡邊界、網(wǎng)絡內(nèi)部各節(jié)點和各子網(wǎng)之間的安全防護，具有錯層次、多協(xié)議和內(nèi)外綜合防護的優(yōu)點。

2.3 嵌入式防火墻技術(shù)

嵌入式防火墻即內(nèi)嵌于路由器或交換機的防火墻，現(xiàn)在其已經(jīng)成為部分路由器的標準配置。在安裝時，用戶可以購買防火墻模塊，并將其安裝到已有的交換機或路由器中即可。這種防火墻技術(shù)可作用于網(wǎng)絡中的每一臺PC、服務器或筆記本。分布于整個網(wǎng)絡的嵌入式防火墻可使用戶更加方便地訪問信息，且用戶所具有的各項網(wǎng)絡資源不會被暴露在非法入侵者面前。此外，嵌入式防火墻分布結(jié)構(gòu)還可以避免因系統(tǒng)中一臺端點被入侵，進而影響整個網(wǎng)絡的情況發(fā)生，同時，還可以以身份驗證的方式確保用戶的合法身份，允許其進入具備限制訪問權(quán)限的計算機系統(tǒng)中，從而保證非法用戶無法進入系統(tǒng)。

可以將嵌入式防火墻技術(shù)具有的安全防范功能進一步延伸到邊緣防火墻范圍之外，甚至可以分布到網(wǎng)絡的各個終端，即使是攻擊者通過了防火墻的防護，并取得了運行防火墻主機的控制權(quán)，也無法對其他主機進行攻擊。

3 結(jié)束語

防火墻是維護網(wǎng)路系統(tǒng)安全運行的重要方式之一，現(xiàn)已經(jīng)被廣泛應用于計算機防護中。在計算機網(wǎng)絡技術(shù)和信息技術(shù)快速發(fā)展的背景下，網(wǎng)絡運行安全面臨著更大的挑戰(zhàn)。因此，我們需要對所有的防火墻技術(shù)進行分析，并在現(xiàn)有基礎上，對各項新型技術(shù)進行研究，從而不斷提高防火墻的安全防護效果。

參考文獻

[1]鄭偉.基于防火墻的網(wǎng)絡安全技術(shù)的研究[D].長春：吉林大學，2012.

〔編輯：張思楠〕