◆梅 強 王 華

（江西工程學(xué)院 江西 338000）

防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

◆梅 強 王 華

（江西工程學(xué)院 江西 338000）

近年來隨著信息技術(shù)的發(fā)展，也推動了各個領(lǐng)域的發(fā)展，同時網(wǎng)路技術(shù)應(yīng)用極大的方便了用戶，為用戶搜集信息、儲存信息以及應(yīng)用信息等提供了有效途徑，與此同時網(wǎng)絡(luò)中也存在一些不法分子以及網(wǎng)絡(luò)黑客，這些網(wǎng)絡(luò)不法分子利用各種手段獲取網(wǎng)絡(luò)用戶的信息，對用戶信息安全構(gòu)成威脅，而防火墻技術(shù)的應(yīng)用極大的提高了網(wǎng)絡(luò)安全性，為用戶信息安全提供了保障。

防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用

0 前言

目前網(wǎng)絡(luò)已經(jīng)逐漸被應(yīng)用于軍事、政治、經(jīng)濟、金融、個人生活等大大小小的領(lǐng)域，網(wǎng)絡(luò)安全直接關(guān)系到國家信息安全以及用戶個人信息及財產(chǎn)安全，因此，近年來網(wǎng)絡(luò)安全問題越來越受到重視，防火墻技術(shù)是目前保證網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一，它通過各種軟件與系統(tǒng)對網(wǎng)絡(luò)用戶信息進行保護，有效的提高了網(wǎng)絡(luò)應(yīng)用安全性，使用戶可以放心進行網(wǎng)絡(luò)信息共享，為互聯(lián)網(wǎng)的應(yīng)用與發(fā)展做出了巨大的貢獻。

1 防火墻概述

防火墻是網(wǎng)絡(luò)系統(tǒng)中用于隔離外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)的一種控制防御系統(tǒng)，它要對網(wǎng)絡(luò)數(shù)據(jù)以及網(wǎng)絡(luò)環(huán)境安全進行檢測，做出通信決策，如果系統(tǒng)檢查傳輸數(shù)據(jù)安全就允許通信，若傳輸數(shù)據(jù)不具備安全性就阻斷數(shù)據(jù)信息，同時防火墻還能保護內(nèi)部網(wǎng)絡(luò)信息結(jié)構(gòu)以及網(wǎng)絡(luò)運行狀態(tài)的安全，避免內(nèi)部網(wǎng)絡(luò)信息泄露，防火墻可以單一的向內(nèi)部網(wǎng)絡(luò)提供特有的審計安全控制點，以達到保護內(nèi)部網(wǎng)絡(luò)信息安全，阻斷不良信息入侵的目的。防火墻的主要作用是在安全性能較小的網(wǎng)絡(luò)環(huán)境下，為內(nèi)部網(wǎng)絡(luò)提供一個相對安全的環(huán)境，它不僅要對網(wǎng)絡(luò)信息結(jié)構(gòu)進行分析，還要對一些不良信息進行限制，是一種軟硬件兼有的形式。

防火墻功能主要有以下幾種，（1）控制網(wǎng)絡(luò)站點的訪問，防火墻具有允許某些外部網(wǎng)絡(luò)主機可以訪問內(nèi)部網(wǎng)絡(luò)，或者禁止某些外部網(wǎng)絡(luò)主機訪問內(nèi)部網(wǎng)絡(luò)的功能，同時防火墻還對一些特殊站點的訪問權(quán)限進行控制。（2）對危險性服務(wù)信息的控制，防火墻可限制其他用戶進入內(nèi)部網(wǎng)絡(luò)，將非法用戶或者具有危險性的信息過濾出去，避免內(nèi)部網(wǎng)絡(luò)存在安全隱患。（3）防火墻具有集中進行安全保護的功能，防火墻能夠?qū)⒕W(wǎng)絡(luò)完全管理簡單化，在防火墻系統(tǒng)中進行集中性的安全加固，而不是將安全性分布在各個不同主機上，特別對一些機密性極強的信息[1]。例如，用戶口令、密碼、身份信息等，要將這些機密信息集中放在防火墻系統(tǒng)中，使防火墻系統(tǒng)對其進行集中安全保護。（4）具有強化用戶對網(wǎng)絡(luò)站點資源私有的功能，防火墻能夠成功的封鎖內(nèi)部網(wǎng)絡(luò)資源信息，使因特網(wǎng)外部的主機不能獲取該網(wǎng)絡(luò)站點的地址，有效的保護了內(nèi)部網(wǎng)絡(luò)信息，使外部攻擊者無法進入內(nèi)部網(wǎng)絡(luò)獲取有用數(shù)據(jù)信息。

2 防火墻技術(shù)構(gòu)建

2.1 屏蔽路由器技術(shù)

屏蔽路由器技術(shù)是構(gòu)建防火墻技術(shù)的基礎(chǔ)，該技術(shù)可以分別通過主機屏蔽實現(xiàn)，也可以使生產(chǎn)廠家在產(chǎn)品生產(chǎn)時直接實現(xiàn)，屏蔽路由器是連接外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的主要通道，所有的網(wǎng)絡(luò)數(shù)據(jù)、信息報文都要通過屏蔽路由器這一通道進行監(jiān)測和檢查，及時過濾掉不安全數(shù)據(jù)及報文，同時還需要在屏蔽路由器中安裝相關(guān)網(wǎng)絡(luò)地址層的信息過濾軟件，有效的實現(xiàn)屏蔽路由器信息過濾作用，大多數(shù)路由器在生產(chǎn)時已經(jīng)具備了信息過濾的選項功能，其用法也比較簡單[2]。

2.2 屏蔽子網(wǎng)技術(shù)

屏蔽子網(wǎng)技術(shù)是指在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立一個獨立存在的子網(wǎng)，使子網(wǎng)將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開，并用兩臺分組過濾器將子網(wǎng)與內(nèi)網(wǎng)和外網(wǎng)隔離開，兩臺分組過濾器分別對內(nèi)網(wǎng)與外網(wǎng)中的數(shù)據(jù)、報文進行控制和過濾，但內(nèi)網(wǎng)和外網(wǎng)均不能穿過屏蔽子網(wǎng)進行通信。要想實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的通信，可以在屏蔽子網(wǎng)中設(shè)置一個堡壘主機，使其對外網(wǎng)與內(nèi)網(wǎng)進行代理通信，兩方通信信息需要受到兩臺分組過濾器的過濾方能實現(xiàn)，以此保證內(nèi)外網(wǎng)絡(luò)安全通信。

2.3 屏蔽主機網(wǎng)關(guān)技術(shù)

屏蔽主機網(wǎng)關(guān)技術(shù)在構(gòu)建防火墻中具有簡單、安全、方便操作的特點，因此得到廣泛應(yīng)用，主要通過在內(nèi)部網(wǎng)絡(luò)中安裝一個主機，在外部網(wǎng)絡(luò)中安裝一個分組過濾路由器，并在外部網(wǎng)絡(luò)分組過濾路由器中設(shè)置一些特定過濾規(guī)則，使內(nèi)部網(wǎng)絡(luò)主機成為外部網(wǎng)絡(luò)指定、唯一到達的主機，相當于對外部網(wǎng)絡(luò)進行授權(quán)，使其可以訪問內(nèi)部網(wǎng)絡(luò)，這有效的避免了內(nèi)部主機受到不被授權(quán)的其他外部網(wǎng)絡(luò)的入侵，即使內(nèi)部網(wǎng)絡(luò)既不具備子網(wǎng)又不具備屏蔽路由器，其變化仍不會對保護系統(tǒng)產(chǎn)生影響。

3 防火墻技術(shù)在網(wǎng)絡(luò)完全中的應(yīng)用

3.1 代理防火墻技術(shù)的應(yīng)用

代理防火墻技術(shù)主要在網(wǎng)絡(luò)應(yīng)用層，通過對用戶使用協(xié)議的分析，對用戶網(wǎng)絡(luò)操作行為進行控制，允許用戶操作協(xié)議中存在的代理行為，禁止訪問在協(xié)議中沒有被允許的其他信息，通過有效的協(xié)議過濾方式，實現(xiàn)保證網(wǎng)絡(luò)信息安全的功能，代理防火墻技術(shù)的應(yīng)用主要包括以下幾點：

（1）回路級代理服務(wù)器，這種代理服務(wù)器適用于多個協(xié)議，但不能對協(xié)議進行解釋，需要以其他方式獲取網(wǎng)絡(luò)信息，因此，該代理服務(wù)器對修改用戶程序要求較高，回路級代理服務(wù)器是一種具有國際標準的網(wǎng)絡(luò)應(yīng)用層保護技術(shù)，接受保護的網(wǎng)絡(luò)用戶，如果需要將本機與外部網(wǎng)絡(luò)進行信息交流，在回路級代理服務(wù)器中檢查用戶的網(wǎng)絡(luò)地址和通信目的地址，并經(jīng)過確認，就可以與外部網(wǎng)絡(luò)服務(wù)器進行連接，用戶不需要登錄防火墻，在使用過程中完全感覺不到防火墻系統(tǒng)的存在，用戶網(wǎng)絡(luò)與外部網(wǎng)絡(luò)信息較為透明，極大的方便了用戶使用，也充分保證了網(wǎng)絡(luò)安全[3]。

（2）應(yīng)用代理服務(wù)器，應(yīng)用代理服務(wù)器是代理防火墻技術(shù)的關(guān)鍵部分，主要在網(wǎng)絡(luò)應(yīng)用層中為網(wǎng)絡(luò)提供授權(quán)代理服務(wù)及授權(quán)檢查，應(yīng)用代理服務(wù)器既可以為用戶授權(quán)也可以隱蔽網(wǎng)絡(luò)內(nèi)部地址信息，即使用戶IP地址被盜用，盜用者也不能通過身份認證進行登錄，由此可見，應(yīng)用代理服務(wù)器在網(wǎng)絡(luò)安全中的應(yīng)用，使主機在訪問受保護的內(nèi)部網(wǎng)絡(luò)時，必須要通過有效的身份認證，只有通過身份認證才能進行訪問，以此保護網(wǎng)絡(luò)安全。

3.2 狀態(tài)檢測防火墻技術(shù)的應(yīng)用

狀態(tài)檢測防火墻技術(shù)通過在網(wǎng)絡(luò)層獲取信息，之后將信息交給防火墻，使防火墻在應(yīng)用層中提取安全策略信息，并將提取出的信息進行分析對比，通過分析檢測信息的安全性，進一步做出信息決策，狀態(tài)檢測防火墻技術(shù)應(yīng)用主要表現(xiàn)如下：

（1）對網(wǎng)絡(luò)各層進行控制與監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡(luò)層的安全漏洞，并將網(wǎng)絡(luò)層存在的惡意攻擊現(xiàn)象以及安全隱患進行記錄，為網(wǎng)絡(luò)系統(tǒng)管理員提供信息依據(jù)，以便網(wǎng)絡(luò)管理員對漏洞進行修補，以此做到網(wǎng)絡(luò)安全保護。（2）狀態(tài)檢測防火墻技術(shù)，對在檢測時發(fā)現(xiàn)的安全問題進行自主匹配處理，判斷攻擊行為，并隨時阻斷攻擊行為，對網(wǎng)絡(luò)進行實時保護和控制，同時，在網(wǎng)絡(luò)層以及網(wǎng)絡(luò)高層狀態(tài)下，仍能夠有效的檢測網(wǎng)絡(luò)動態(tài)，使防火墻利用相同的信息處理方式以及策略對網(wǎng)絡(luò)層的漏洞進行處理。

3.3 包過濾防火墻技術(shù)的應(yīng)用

包過濾防火墻技術(shù)是在網(wǎng)絡(luò)地址層實現(xiàn)的，可以利用網(wǎng)絡(luò)路由器完成，在網(wǎng)絡(luò)端口、主機等控制與訪問方面應(yīng)用效果更佳，它主要用來監(jiān)視網(wǎng)絡(luò)流出與流入的地址信息，并檢查所有通過防火墻的網(wǎng)絡(luò)地址信息、目標地址、源端口等。

包過濾防火墻技術(shù)主要應(yīng)用于：對不安全的網(wǎng)絡(luò)進行封鎖、阻斷地址信息欺騙行為、設(shè)置相應(yīng)的服務(wù)端口，包過濾防火墻技術(shù)中對有所需要的系統(tǒng)進行開放，同時包過濾防火墻技術(shù)由CPU過濾處理報文，處理速度非?？欤踔量梢院雎圆挥?，此外，包過濾防火墻技術(shù)比較透明，對客戶的正常使用沒有影響，用戶幾乎感覺不到有該技術(shù)的存在。包過濾防火墻技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中，在標準的路由器軟件中都安裝了相應(yīng)的包過濾功能，不需要增加安裝費用，一定程度上節(jié)省了用戶的支出，此外該技術(shù)在應(yīng)用中不需要用戶進行密碼和用戶名登錄，方便了用戶的操作使用，包過濾防火墻技術(shù)運行速度較快，使用戶輕松、方便的進行信息過濾，有效的提高了網(wǎng)絡(luò)安全性。但包過濾防火墻技術(shù)訪問控制列表還存在一定的復(fù)雜性，需要網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)服務(wù)進行深入了解，以便使包過濾防火墻技術(shù)應(yīng)用效果最佳。

4 結(jié)論

綜上所述，防火墻技術(shù)是保證網(wǎng)絡(luò)安全的關(guān)鍵，目前防火墻已經(jīng)得到普遍應(yīng)用與推廣，同時，防火墻技術(shù)也在不斷改進和完善，以便有效應(yīng)對網(wǎng)絡(luò)攻擊者的攻擊，雖然防火墻技術(shù)有了較大的進步，但還存在一些不足，需要進一步改進和提高，為保證網(wǎng)絡(luò)安全，為用戶提供安全的信息交流環(huán)境提供可靠依據(jù)。

[1]遲秀偉，唐朔飛，季振州，李鑫．狀態(tài)檢測防火墻中幾種協(xié)議的結(jié)構(gòu)設(shè)計[J]．計算機應(yīng)用研究，2016．

[2]李彥軍，屠全良，郝夢巖．基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置策略[J]．太原大學(xué)學(xué)報，2016．

[3]王代潮，曾德超．防火墻技術(shù)的演變及其發(fā)展趨勢分析[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015．