崔嘉

[摘要]論文針對(duì)目前網(wǎng)絡(luò)發(fā)展的需要以及防火墻技術(shù)的重要性，描述了防火墻的原理和基本功能，并通過對(duì)防火墻技術(shù)的分析，增強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)能力和防御能力。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；防火墻技術(shù)

1 引言

隨著社會(huì)的發(fā)展，計(jì)算機(jī)的應(yīng)用也越來越廣泛，網(wǎng)絡(luò)安全逐漸受到社會(huì)各界的廣泛關(guān)注。在計(jì)算機(jī)網(wǎng)絡(luò)安全中，防火墻技術(shù)是一個(gè)非常重要的手段，發(fā)揮著非常重要的作用。在計(jì)算機(jī)網(wǎng)絡(luò)安全方面，目前已經(jīng)提出了幾種技術(shù)保護(hù)手段，而防火墻技術(shù)就是其中較為典型的技術(shù)之一，不但安全保護(hù)效果好，還可以提供健康安全的營造運(yùn)行環(huán)境，為網(wǎng)絡(luò)安全提供強(qiáng)大的技術(shù)支撐保障。

2 防火墻技術(shù)分析

2.1 防火墻的組成和基本技術(shù)

防火墻的組成主要包含四個(gè)部分，分別是服務(wù)訪問規(guī)則、驗(yàn)證工具、網(wǎng)關(guān)、過濾器。防火墻基本技術(shù)包括包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。就包過濾技術(shù)而言，主要是選擇數(shù)據(jù)包，它按照系統(tǒng)預(yù)設(shè)的篩選規(guī)則，針對(duì)數(shù)據(jù)流中所有數(shù)據(jù)包進(jìn)行深入的檢查，包括源地址、目的地址、TCP連接狀態(tài)等，從而對(duì)數(shù)據(jù)包進(jìn)行判斷，確定其是否可以通過防火墻。包過濾技術(shù)的優(yōu)點(diǎn)是用戶無須登錄，也不需要改動(dòng)應(yīng)用程序，對(duì)于用戶來說，它是透明的。包過濾技術(shù)的缺點(diǎn)是因?yàn)檫^濾器的緣故，在內(nèi)部系統(tǒng)與外部系統(tǒng)之間，可以直接進(jìn)行數(shù)據(jù)包的交換，對(duì)于主機(jī)和路由器而言，其允許的所有服務(wù)，都將作為攻擊對(duì)象。一般情況下，包過濾技術(shù)僅僅是最外層的防線，當(dāng)前通常被用于路由器中。應(yīng)用網(wǎng)關(guān)技術(shù)是在網(wǎng)絡(luò)應(yīng)用層上，建立兩種功能，即過濾、轉(zhuǎn)發(fā)。針對(duì)網(wǎng)絡(luò)服務(wù)協(xié)議，采用數(shù)據(jù)過濾邏輯，在過濾的過程中，統(tǒng)計(jì)數(shù)據(jù)包，并進(jìn)行分析，從而形成報(bào)告。代理服務(wù)的含義是由于包過濾技術(shù)、應(yīng)網(wǎng)關(guān)技術(shù)具有一定的缺點(diǎn)，因此便引入了代理服務(wù)技術(shù)。

2.2 防火墻的基本功能

第一，過濾危險(xiǎn)服務(wù)，只有經(jīng)過授權(quán)的服務(wù)，才可以通過防火墻。第二，針對(duì)訪問站點(diǎn)進(jìn)行有效的控制，屏蔽非法用戶，并過濾特殊站點(diǎn)訪問，從而杜絕非法訪問。第三，集中安全保護(hù)。若在一個(gè)子網(wǎng)中，將軟件集中于防火墻，而非分散到主機(jī)，防火墻的保護(hù)作用會(huì)更加集中。第四，集中安全管理。針對(duì)企業(yè)內(nèi)部網(wǎng)，防火墻對(duì)其進(jìn)行集中安全管理，而不需要在所有機(jī)器上設(shè)置安全措施。第五，提高保密性。防火墻能夠防止Finger和DNs域名服務(wù)，同時(shí)對(duì)服務(wù)信息進(jìn)行封鎖。第六，日志記錄和統(tǒng)計(jì)。使用防火墻系統(tǒng)，可以對(duì)訪問站點(diǎn)進(jìn)行記錄，并提供統(tǒng)計(jì)數(shù)據(jù)。第七，策略執(zhí)行。防火墻能夠制定安全策略并執(zhí)行。

2.3 非法攻擊防火墻的基本方法

防火墻可以有效地防范網(wǎng)絡(luò)安全，然而卻也有一定的局限性。防火墻無法防范的攻擊還有很多，比如不通過防火墻的攻擊、人為因素的攻擊等。

非法攻擊包括三種方式。

第一，通過子網(wǎng)進(jìn)行攻擊。對(duì)于防火墻來說，此類網(wǎng)址已經(jīng)獲得了信任，因此這種方法更容易被攻擊者采用。

第二，攻擊和干擾互相配合。這種方法主要是在攻擊的過程中，確保防火墻的繁忙，使之忘卻應(yīng)當(dāng)履行的防護(hù)職能。

第三，內(nèi)部攻擊。需要強(qiáng)調(diào)的是，在安裝防火墻之后，禁止隨意訪問，內(nèi)部人員就不能在空閑時(shí)期利用Teinet瀏覽郵件，因此便會(huì)引發(fā)個(gè)別人員的不滿。從而對(duì)防火墻進(jìn)行攻擊，威脅網(wǎng)絡(luò)安全。

當(dāng)前，黑客攻擊防火墻的方法有五種。

第一，IP地址欺騙。若要攻擊并突破防火墻，這種方法是最常見的，而且其它攻擊方法也是在這種方法的基礎(chǔ)上發(fā)展起來的。黑客通過假冒的IP地址，偽造并冒充成內(nèi)部數(shù)據(jù)分組，這種攻擊方法極具危險(xiǎn)性。

第二，IP分段攻擊。處理方法一般選擇對(duì)IP數(shù)據(jù)進(jìn)行分組分段，只支持最大的IP分段長度，在發(fā)送之后，并不立刻組裝單個(gè)分段，而是將其路由至目的地，將其集中于原始IP分組，除IP頭外，對(duì)于每個(gè)分組來說，包含的所有內(nèi)容就是一個(gè)ID號(hào)、一個(gè)分段補(bǔ)償值。由此便可以清晰的識(shí)別各分段，對(duì)于每個(gè)被分段的分組來說，能夠?qū)Ψ阑饓ο到y(tǒng)的安全造成極大的威脅。

第三，TCP序號(hào)攻擊。若要繞過防火墻系統(tǒng)，TCP序號(hào)攻擊是最有效的，同時(shí)也是最危險(xiǎn)的。利用Internet中安全漏洞，能夠欺騙安全系統(tǒng)。這種攻擊方法基于三步握手序列。它假設(shè)IP地址欺騙能夠?qū)⒓僭斓腎P分組送入內(nèi)部系統(tǒng)。

第四，計(jì)算機(jī)病毒攻擊。計(jì)算機(jī)病毒，可以視之為一種將自身復(fù)制為更大程序的代碼段，在程序運(yùn)行之初，它便開始執(zhí)行，通過將病毒復(fù)制，并對(duì)其它程序造成影響。病毒能夠經(jīng)過防火墻，駐留于E-mail消息內(nèi)。

第五，特洛伊木馬攻擊。特洛伊木馬：在合法程序內(nèi)隱藏，并偽裝預(yù)定功能，然而，通常用于繞過安全屏障，如防火墻。除此之外，還有很多攻擊方法，比如IP隧道攻擊、前綴掃描攻擊、報(bào)文攻擊等。

4 使用防火墻的幾點(diǎn)考慮

整體防護(hù)。在網(wǎng)絡(luò)安全理論體系中，有一項(xiàng)木桶理論，其含義是木桶盛水量不在于其本身的高度。而在于構(gòu)成木桶最短木條的高度。這在網(wǎng)絡(luò)安全的含義是，若要確保網(wǎng)絡(luò)安全，最重要的是對(duì)最薄弱之處的保護(hù)。所以對(duì)于防火墻技術(shù)，應(yīng)該綜合運(yùn)用，防御技術(shù)做到密切配合，實(shí)現(xiàn)聯(lián)防聯(lián)動(dòng)，彌補(bǔ)各個(gè)技術(shù)的不足之處，唯有如此，才可以確保網(wǎng)絡(luò)安全，做到整體防護(hù)。

防火墻的評(píng)估。對(duì)于當(dāng)前防火墻而言，通常集眾多功能于一身，對(duì)于其功能和性能的評(píng)估，通常選擇獨(dú)立評(píng)價(jià)，測(cè)試方法也是相互對(duì)立的，功能測(cè)試注重的是功能的多少，而性能測(cè)試注重的是應(yīng)用性能，然而，這些都無法完全彰顯防火墻實(shí)際性能。經(jīng)過測(cè)試之后，經(jīng)常會(huì)出現(xiàn)性能很高，然而在實(shí)踐過程中，表現(xiàn)的性能很低，這也是當(dāng)前防火墻技術(shù)面臨的主要問題之一。所以防火墻的評(píng)估，應(yīng)當(dāng)使性能和功能相結(jié)合，才可以最大程度地評(píng)價(jià)出防火墻的真實(shí)性能，確保評(píng)估有效性，從而充分發(fā)揮防火墻的作用。

性價(jià)比問題。通常來說，防火墻的使用者大多是大客戶，管理成本會(huì)很高。因此企業(yè)應(yīng)該做到的是根據(jù)企業(yè)需求，結(jié)合風(fēng)險(xiǎn)評(píng)估，正確判斷防火墻的安全防范能力，預(yù)估企業(yè)可承受的風(fēng)險(xiǎn)范圍，從而制定出科學(xué)的解決方案。對(duì)于高端的防火墻產(chǎn)品來說，其價(jià)格可能極高，其建設(shè)期也會(huì)很長，而對(duì)于低端產(chǎn)品來說，可能是免費(fèi)的。因此應(yīng)該充分重視防火墻的性價(jià)比問題，并考慮維護(hù)費(fèi)用。

管理決定安全。不管是傳統(tǒng)防火墻，還是當(dāng)代智能防火墻，若要確保網(wǎng)絡(luò)安全，都離不開人的參與，然而由于網(wǎng)絡(luò)管理員的能力和素質(zhì)參差不齊，并非都能滿足職業(yè)要求，因此管理也是網(wǎng)絡(luò)安全的重要環(huán)節(jié)。各種規(guī)則構(gòu)成了防火墻的靈魂，同時(shí)也是管理的最難之處，一旦出現(xiàn)錯(cuò)誤配置。則難以確保網(wǎng)絡(luò)安全。而且若規(guī)則順序發(fā)生改變，也會(huì)對(duì)網(wǎng)絡(luò)安全造成影響，因此規(guī)則越多，那么檢查和驗(yàn)證的難度也會(huì)越大。所以，從業(yè)人員的專業(yè)能力、管理制度都決定著防火墻的管理效能的實(shí)現(xiàn)。

5 結(jié)束語

由于計(jì)算機(jī)的應(yīng)用日益普遍，關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全受到社會(huì)的高度重視，安全保護(hù)技術(shù)越來越多，本文針對(duì)防火墻技術(shù)進(jìn)行分析，其原理是信息隔離，在交換信息時(shí)，形成防護(hù)屏障，不僅能夠屏蔽掉危險(xiǎn)信息，而且還可以強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)能力，增加防御能力。在計(jì)算機(jī)網(wǎng)絡(luò)安全中，防火墻技術(shù)能夠發(fā)揮出監(jiān)督和跟蹤作用，確保訪問信息的明確。