李旭東

（湖南師范大學(xué)附屬中學(xué) 410006）

防火墻技術(shù)的應(yīng)用意義與網(wǎng)絡(luò)防范措施

李旭東

（湖南師范大學(xué)附屬中學(xué) 410006）

網(wǎng)絡(luò)社會對人們生活和生產(chǎn)的影響是非常深刻的，防火墻已經(jīng)成為網(wǎng)絡(luò)中不可缺少的一部分，利用防火墻可以有效強化內(nèi)部網(wǎng)的安全性。本文主要針對網(wǎng)絡(luò)背景下防火墻技術(shù)防護(hù)措施進(jìn)行分析。

防火墻技術(shù)；網(wǎng)絡(luò)安全；防護(hù)措施

在IT行業(yè)的發(fā)展之下，網(wǎng)絡(luò)時代對于人們的影響也越來越深遠(yuǎn)，網(wǎng)絡(luò)已經(jīng)成為了人們生活與工作中的重要內(nèi)容，由于網(wǎng)絡(luò)是可以共享的，因此，不存在絕對的安全，必須要有更加完善的網(wǎng)絡(luò)技術(shù)才能夠保障網(wǎng)絡(luò)的安全。防火墻技術(shù)就是其中的關(guān)鍵技術(shù)。防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，合理應(yīng)用防火墻可以有效保證數(shù)據(jù)信息的安全性。

1 防火墻技術(shù)的應(yīng)用意義

防火墻是本地網(wǎng)絡(luò)與外地網(wǎng)絡(luò)間的隔離防御系統(tǒng)，應(yīng)用防火墻可以有效避免網(wǎng)絡(luò)受到外界因素的干擾，是一種典型的隔離和控制技術(shù)。防火墻可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)不受侵犯，對于不確定的、不安全的數(shù)據(jù)進(jìn)行有效隔離過濾，從而達(dá)到降低內(nèi)部網(wǎng)信息受侵犯的風(fēng)險的目的，強化內(nèi)部網(wǎng)絡(luò)的環(huán)境安全。從邏輯層面來看，防火墻兼具分析器和限制器的功能，可以在邏輯上分離內(nèi)網(wǎng)與外網(wǎng)，防火墻可以設(shè)置在計算機上，也可以固定于路由器中。防火墻的功能非常全面：

（1）優(yōu)化網(wǎng)絡(luò)安全性能：應(yīng)用防火墻可以有效降低網(wǎng)絡(luò)的安全風(fēng)險，讓MFS的進(jìn)出都能夠受到網(wǎng)絡(luò)的保護(hù)。同時，防火墻還可以讓網(wǎng)絡(luò)免受路由器的影響，將各類不安全因素杜絕。

（2）提升網(wǎng)絡(luò)安全，防火墻可以利用身份認(rèn)證、審計等軟件來執(zhí)行站點安全策略，與傳統(tǒng)安全防護(hù)模式相比，防火墻無論是在安全性還是在經(jīng)濟(jì)性上，都更加理想。

（3）保護(hù)信息安全，防火墻可以對內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，對重點網(wǎng)絡(luò)進(jìn)行隔離防護(hù)，有效避免局部網(wǎng)絡(luò)安全問題的產(chǎn)生，還可以提供身份驗證、網(wǎng)絡(luò)加密等功能，避免內(nèi)部信息泄露。

防火墻多是由一組或者單個的系統(tǒng)組成，其本質(zhì)屬于隔離技術(shù)，防火墻的應(yīng)用可以避免從因特網(wǎng)流入的信息進(jìn)入到防火墻中，對于所有的信息，防火墻都會進(jìn)行詳細(xì)的檢查，可以有效保護(hù)用戶數(shù)據(jù)的安全性。從技術(shù)層面而言，網(wǎng)絡(luò)防火墻屬于訪問控制技術(shù)的一種類型，在不安全網(wǎng)絡(luò)與機構(gòu)網(wǎng)絡(luò)之間設(shè)置好防火墻可以避免信息資源非法訪問，換言之，防火墻是門檻，負(fù)責(zé)控制進(jìn)出通信，可以保證網(wǎng)絡(luò)不受外來因素的攻擊，當(dāng)然，防火墻并非因特網(wǎng)與網(wǎng)絡(luò)的隔離，也可以應(yīng)用在企業(yè)部門網(wǎng)絡(luò)的隔離上。

2 防火墻技術(shù)背景下的網(wǎng)絡(luò)安全防護(hù)問題

2.1 科學(xué)選擇防火墻

防火墻的實現(xiàn)方式是非常多的，在選擇防火墻之前，需要進(jìn)行需求和風(fēng)險分析，以此來制定防范策略，最大限度的保持防護(hù)方式以及安全政策的一致性。在評估防火墻性能與安全性時，要查看防火墻是否能夠正常工作，能不能阻擋惡意攻擊，如果防火墻被攻擊，會呈現(xiàn)出怎樣的狀態(tài)。一般情況下，防火墻的失效有四種類型：①在未受到破壞的情況下可以正常工作；②在受到破壞時可以重啟恢復(fù)；③禁止、關(guān)閉通行數(shù)據(jù)；④則關(guān)閉并且允許數(shù)據(jù)運行，其中一二兩種方式的防護(hù)性能最為理想，在選擇防火墻時，需要對其失效狀態(tài)進(jìn)行合理的驗證與評估。在防火墻投入運行后，需要及時的進(jìn)行動態(tài)性維護(hù)，對防火前的運行狀態(tài)進(jìn)行跟蹤維護(hù)，如果發(fā)現(xiàn)漏洞，要及時補救和更新。一般情況下，常用的防火墻類型主要以分布式防火墻為主，該種類型的防火墻有效增加了主機防護(hù)的防護(hù)功能，可以避免外部危險因素的影響，用戶還可以利用虛擬專用網(wǎng)、外聯(lián)網(wǎng)、內(nèi)部網(wǎng)來訪問，即便某個端點系統(tǒng)被入侵，其他的系統(tǒng)也不會受到影響。該種防火墻技術(shù)很好的保護(hù)了各類主機之間的通信，可以有效保證主機之間的通信。

2.2 制定出可靠的規(guī)則集

制定可靠規(guī)則集是保障防火墻性能順利實現(xiàn)的關(guān)鍵，如果防火墻規(guī)則集錯誤，即便再完善的防火墻，也無法起到應(yīng)有的作用：

2.2.1 完善安全性策略

在制定規(guī)則集前，相關(guān)人員需要掌握系統(tǒng)的安全策略，規(guī)則集需要滿足幾個條件，內(nèi)部員工不受訪問網(wǎng)絡(luò)的限制，外部員工可以使用web服務(wù)器登錄登錄，管理員可以遠(yuǎn)程訪問系統(tǒng)。第一項內(nèi)容容易實現(xiàn)，但是第二項和第三項就具備一定的難度，需要建立起web服務(wù)器與email服務(wù)器，將其設(shè)置于DMZ中，并設(shè)置好加密功能。

2.2.2 制定好規(guī)則次序

規(guī)則次序是非常重要的，會直接影響到防火墻的運行，多數(shù)防火墻都會遵照一定的順序來檢查數(shù)據(jù)包，看數(shù)據(jù)包是否與規(guī)則相對應(yīng)，如果檢查結(jié)果顯示匹配，就會停止檢查，若一直未檢查到匹配的規(guī)則，就會拒絕接收數(shù)據(jù)包。采取該種措施可以有效避免錯誤配置問題的發(fā)生。

2.2.3 落實規(guī)則集

在安全防范措施與規(guī)則次數(shù)被確診后，就需要逐條落實其中的規(guī)則，在落實時，可以將不必要防火墻關(guān)閉，并增加鎖定規(guī)則，除了管理員禁止其他無關(guān)人員訪問防火墻。可以允許內(nèi)部用戶通過郵件協(xié)議的方式訪問服務(wù)器，將各類常用規(guī)則設(shè)置在規(guī)則集上部，提升防火墻安全性。

2.2.4 更換控制

上述工作完成，合理的組織各項規(guī)則之后，需要標(biāo)注詳細(xì)且經(jīng)常對它們進(jìn)行更新。詳細(xì)的標(biāo)注能更好的指導(dǎo)人們認(rèn)識規(guī)則的具體內(nèi)容，更全面的掌握規(guī)則之后，出現(xiàn)的錯誤配置幾率就更小。如果一個機構(gòu)有多重防火墻，在修改規(guī)則的過程中，需要標(biāo)記清楚更改人員的姓名、原因以及時間。

3 小結(jié)

在信息化背景下，對網(wǎng)絡(luò)安全問題及其體系需要增強建設(shè)，而且應(yīng)該對防火墻技術(shù)加大研究力度，做好網(wǎng)絡(luò)防御工作。另一方面，應(yīng)該加大對于網(wǎng)絡(luò)犯罪的打擊力度，并對其犯罪手法進(jìn)行細(xì)致的分析與研究，如此，有助于提升互聯(lián)網(wǎng)絡(luò)安全性能的提升，并提高對其防護(hù)的技術(shù)水平。

[1]陳建強.基于計算機網(wǎng)絡(luò)防火墻的安全設(shè)計分析[J].電子技術(shù)與軟件工程，2013（16）.

[2]胡平，李臻，彭紀(jì)奎.基于入侵檢測的分布式防火墻的應(yīng)用研究[J].微電子學(xué)與計算機，2011（06）.

[3]錢誠，韓戴鴻，鄔顯豪，徐彬凌，胡大川.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（03）.

[4]鄭曉娟.安全網(wǎng)絡(luò)構(gòu)建中防火墻技術(shù)的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（03）.

TP393.0

A

1004-7344（2016）26-0273-01

2016-9-4