萬焱

[摘要]本文主要剖析防火墻安全技術(shù)，首先介紹了互聯(lián)網(wǎng)絡(luò)面臨的各種安全威脅，然后詳細(xì)介紹了互聯(lián)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包過濾技術(shù)、代理技術(shù)、地址翻譯技術(shù)等，并且針對互聯(lián)網(wǎng)絡(luò)的防火墻配置方案進(jìn)行介紹，從而保障了互聯(lián)網(wǎng)絡(luò)的安全。

[關(guān)鍵詞]防火墻；安全威脅；數(shù)據(jù)包過濾；地址翻譯

[中圖分類號]G642 [文獻(xiàn)標(biāo)識碼]A [文章編號]1671-5918（2016）08-0125-02

doi：10.3969/j.issn.1671-5918.2016.08.058[本刊網(wǎng)址]http：//www.hbxb.net

一、概述

經(jīng)濟(jì)基礎(chǔ)決定上層建筑，日益提升的國民經(jīng)濟(jì)使得人們迫切希望在基礎(chǔ)設(shè)施建設(shè)和精神文明建設(shè)方面得到更高的發(fā)展?？茖W(xué)技術(shù)水平的不斷提高，使得計算機成為了千家萬戶必不可少的基礎(chǔ)設(shè)備，而與之對應(yīng)的互聯(lián)網(wǎng)絡(luò)的應(yīng)用也隨之廣泛。當(dāng)前我國社會已經(jīng)步入了信息時代，數(shù)字化、網(wǎng)絡(luò)化、信息化的處理方式已經(jīng)是當(dāng)前的主要潮流，也必然是日后各行各業(yè)快速發(fā)展所依賴的必需設(shè)施，互聯(lián)網(wǎng)絡(luò)的開放性、共享性等基本特性都為人們的日常生產(chǎn)生活帶來了極大的便利，讓人們時時刻刻享受著更加優(yōu)質(zhì)的生活。然而，互聯(lián)網(wǎng)絡(luò)的快速發(fā)展也為其自身的安全性埋下了隱患，其自身的開發(fā)特性和共享特性，不僅方便了廣大的合法網(wǎng)民來享受網(wǎng)絡(luò)的便利服務(wù)，同時也為網(wǎng)絡(luò)惡意攻擊者提供了可乘之機。網(wǎng)絡(luò)惡意攻擊者利用網(wǎng)絡(luò)中存在的安全漏洞，根據(jù)自己特定的意圖非法獲取網(wǎng)絡(luò)中的資源，以達(dá)到自己惡意的攻擊目的，為社會的安定團(tuán)結(jié)以及企業(yè)的經(jīng)濟(jì)發(fā)展都帶來了很大的威脅和挑戰(zhàn)，如何有效地拒絕惡意攻擊者的攻擊鏈，有效地相應(yīng)網(wǎng)民的合法請求，是當(dāng)前互聯(lián)網(wǎng)絡(luò)亟須解決的難題。防火墻安全技術(shù)就是針對網(wǎng)絡(luò)非法訪問請求的問題而興起的網(wǎng)絡(luò)安全技術(shù)，是提升當(dāng)前互聯(lián)網(wǎng)絡(luò)安全等級、保護(hù)私密數(shù)據(jù)信息和網(wǎng)絡(luò)設(shè)備資源的有效手段，對于有效地防御網(wǎng)絡(luò)惡意攻擊起到了決定性作用。

二、網(wǎng)絡(luò)面臨的安全威脅

其實我們的互聯(lián)網(wǎng)絡(luò)是非常脆弱的，它無時無刻不在受到各種各樣的威脅。整體看來，互聯(lián)網(wǎng)絡(luò)受到的安全威脅主要分為兩類。第一類是包括地震、山洪、海嘯等自然災(zāi)害或者火災(zāi)等人為的意外事故外部安全威脅，另一類則是網(wǎng)絡(luò)內(nèi)部的惡意攻擊、木馬病毒感染、數(shù)據(jù)泄露或損壞、網(wǎng)絡(luò)黑客非法入侵等各種內(nèi)在的網(wǎng)絡(luò)威脅。相對于第一類來說，第二類安全威脅更加難以預(yù)防和抵御，也為整個互聯(lián)網(wǎng)絡(luò)的安全應(yīng)用帶來了極大的挑戰(zhàn)。

就一般的網(wǎng)絡(luò)攻擊而言，形式各種各樣，但是總體看來主要包括以下幾個方面：（1）網(wǎng)絡(luò)竊聽，即方法記錄網(wǎng)絡(luò)其他用戶的傳輸數(shù)據(jù)、私密文件、鍵盤敲擊記錄等；（2）網(wǎng)絡(luò)欺騙，即通過各種方法手段來篡改或改變合法資源，最終實現(xiàn)獲取關(guān)鍵數(shù)據(jù)信息的社會工程學(xué)攻擊手段；（3）拒絕服務(wù)攻擊，主要是利用軟件中或者網(wǎng)絡(luò)協(xié)議中存在的安全漏洞，通過資源耗盡的方式或者其他欺騙手段，使正常服務(wù)的設(shè)備不能對合法的請求進(jìn)行相應(yīng)的攻擊手段；（4）數(shù)據(jù)攻擊，主要包括利用程序或者系統(tǒng)中的安全漏洞實現(xiàn)SQL注入、XSS攻擊、緩沖區(qū)溢出攻擊等各種攻擊形式。

而這些網(wǎng)絡(luò)攻擊的具體實現(xiàn)，則是通過各種技術(shù)或者工具來實現(xiàn)。網(wǎng)絡(luò)竊聽或欺騙，大都使用木馬或其他惡意代碼片段，通過植入正常合法的程序或者系統(tǒng)中運行，最終為網(wǎng)絡(luò)攻擊者提供了攻擊后門或者將系統(tǒng)的接口或基本信息反彈到惡意攻擊者的電腦上，然后通過執(zhí)行攻擊代碼或者指令實現(xiàn)對網(wǎng)絡(luò)設(shè)備的控制或者實現(xiàn)對內(nèi)部核心數(shù)據(jù)的竊取等攻擊目的。拒絕服務(wù)攻擊即為DoS攻擊或DDoS攻擊，一般實現(xiàn)手段是借助一些第三方的攻擊工具，是提供正常服務(wù)的服務(wù)器不能在響應(yīng)合法用戶的合法請求。有的是利用分布式的攻擊電腦向目標(biāo)機器發(fā)送大量類似合法的請求，從而將服務(wù)器的資源耗盡，進(jìn)而拒絕合法用戶的請求，有的則是利用服務(wù)器自身軟件或者協(xié)議的軟件漏洞，發(fā)送特殊的TCP或IP數(shù)據(jù)包，使服務(wù)器停滯或者死機，進(jìn)而不能提供正常的服務(wù)。除此之外，針對網(wǎng)絡(luò)的工具手段五花八門，攻擊方法和形式也多種多樣，這些網(wǎng)絡(luò)攻擊手段都時時刻刻威脅著互聯(lián)網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)數(shù)據(jù)的安全。

三、防火墻的關(guān)鍵技術(shù)

理想的互聯(lián)網(wǎng)絡(luò)，首先是安全的，也就是說在整個應(yīng)用過程中，互聯(lián)網(wǎng)絡(luò)能夠提供不間斷的網(wǎng)絡(luò)服務(wù)，同時能夠保障互聯(lián)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息的完整性、保密性、真實性等，如果想要實現(xiàn)這些特性，則是需要從計算機科學(xué)、密碼學(xué)、信息安全技術(shù)、應(yīng)用數(shù)據(jù)技術(shù)等諸多領(lǐng)域人手，來開展互聯(lián)網(wǎng)絡(luò)安全可靠的實施工作。而防火墻安全技術(shù)則是其中應(yīng)用最為廣泛的安全技術(shù)之一。

防火墻技術(shù)是一種隔離技術(shù)，也是一種邊界安全技術(shù)，即通過關(guān)鍵的技術(shù)手段將存在安全威脅的網(wǎng)絡(luò)攻擊隔離在外，將自己私有的局域網(wǎng)絡(luò)或者私密的數(shù)據(jù)保護(hù)起來的一種技術(shù)手段。隨著科學(xué)技術(shù)的發(fā)展，防火墻技術(shù)也多種多樣，針對不同的網(wǎng)絡(luò)、服務(wù)器、網(wǎng)絡(luò)設(shè)備或者其他隔離目的，可以采用不同的防火墻技術(shù)來實現(xiàn)。

（一）數(shù)據(jù)包過濾技術(shù)

數(shù)據(jù)包過濾技術(shù)是指對互聯(lián)網(wǎng)中在路由跳轉(zhuǎn)的數(shù)據(jù)包進(jìn)行有效篩選過濾的一種技術(shù)。我們知道，不同局域網(wǎng)絡(luò)是通過廣域網(wǎng)連接起來的，這就有了內(nèi)網(wǎng)和外網(wǎng)的區(qū)別，而防火墻就是搭建在內(nèi)網(wǎng)與外網(wǎng)之間，實現(xiàn)網(wǎng)絡(luò)隔離的技術(shù)。如果外網(wǎng)的數(shù)據(jù)想要進(jìn)入內(nèi)網(wǎng)，或者內(nèi)網(wǎng)的數(shù)據(jù)想要進(jìn)入外網(wǎng)，就必須先要經(jīng)過防火墻過濾，如果發(fā)送的數(shù)據(jù)包不符合某項數(shù)據(jù)包過濾的規(guī)則，那么該數(shù)據(jù)包就是一個可疑的數(shù)據(jù)包，路由器將拒絕數(shù)據(jù)傳送，從而有效地實現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)之間的隔離。

此時的數(shù)據(jù)包過濾防火墻，其實就是一個帶有數(shù)據(jù)包過濾功能的路由器，在網(wǎng)絡(luò)搭建時，對路由器進(jìn)行過濾規(guī)則配置，如添加可以TP等，當(dāng)有符合規(guī)則的數(shù)據(jù)包發(fā)送過來，防火墻就會采用相應(yīng)的措施。此時的防火墻，會對所有的內(nèi)網(wǎng)到外網(wǎng)和外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行逐一過濾，以判斷其與過濾規(guī)則的匹配程度，所以對于數(shù)據(jù)包過濾防火墻而言，規(guī)則設(shè)置是非常重要的。值得注意的事，在網(wǎng)絡(luò)安全的數(shù)據(jù)包過濾規(guī)則設(shè)定時，可以采用白名單策略或者采用黑名單策略的方式來設(shè)置，這可以根據(jù)網(wǎng)絡(luò)安全需求以及安全等級要求來選擇。白名單策略是允許通過策略，這個策略要相對嚴(yán)格很多，也就是說，在指定的規(guī)則里面，只有符合要求的才允許通過，防火墻會繼續(xù)發(fā)送該數(shù)據(jù)包，只要不在白名單規(guī)則內(nèi)的數(shù)據(jù)包，防火墻一律丟棄你。而黑名單策略則是拒絕通過策略，這個策略要寬松很多，也就是說，在指定的規(guī)則里面，只要符合黑名單規(guī)則里面的數(shù)據(jù)包，防火墻一律丟棄，只要不符合的數(shù)據(jù)包，防火墻一律允許通過。由于不在規(guī)則內(nèi)的數(shù)據(jù)包類型非常多，所以黑名單允許通過的數(shù)據(jù)包要遠(yuǎn)遠(yuǎn)大于白名單允許通過的數(shù)據(jù)包。

（二）代理技術(shù)

代理技術(shù)是指在使用代理服務(wù)器的方式，將需要把保護(hù)的網(wǎng)絡(luò)資源隔離開來，來自外網(wǎng)的訪問請求，首先需要發(fā)送到代理服務(wù)器，代理服務(wù)器經(jīng)過相應(yīng)的處理后再轉(zhuǎn)發(fā)給網(wǎng)絡(luò)系統(tǒng)或資源。代理技術(shù)實現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)的有效隔離，即使是外網(wǎng)有惡意攻擊者來攻擊保護(hù)資源，也需要首先經(jīng)過代理服務(wù)器，而代理服務(wù)器自身的身份認(rèn)證技術(shù)、詳細(xì)日志記錄功能以及日志內(nèi)容審計功能等，都是對內(nèi)網(wǎng)資源有效的保護(hù)。特別的，代理技術(shù)的實現(xiàn)，是通過服務(wù)器作為代理來操作的，那么該防火墻的設(shè)備性能是非常優(yōu)越的，可以在代理服務(wù)器上設(shè)置非常強大的安全規(guī)則和審計，從而有效地保障內(nèi)網(wǎng)與外網(wǎng)之間的隔離，使內(nèi)網(wǎng)資源得到有效保護(hù)。

（三）IP地址翻譯技術(shù)

在互聯(lián)網(wǎng)絡(luò)中，每一個計算機的唯一標(biāo)識就是IP地址，即每個計算機想要訪問公網(wǎng)資源，必須具有獨立IP地址。然而IPv4地址資源已經(jīng)用完這已經(jīng)是一個現(xiàn)實，在公網(wǎng)上面，已經(jīng)沒有閑置的IPv4供其他局域網(wǎng)的用戶使用，這就給當(dāng)前互聯(lián)網(wǎng)絡(luò)的規(guī)模擴充帶來了極大的限制。當(dāng)然，現(xiàn)在IPv6協(xié)議的出現(xiàn)基本上解決了IP資源枯竭的問題，然而防火墻IP地址翻譯技術(shù)也在一定程度上，緩解了IPv4資源枯竭帶來的問題。

一般的，一個局域網(wǎng)只會從公網(wǎng)上分配若干個IP地址資源，根據(jù)這些IP資源，來確定該局域網(wǎng)在互聯(lián)網(wǎng)絡(luò)中的唯一性。而局域網(wǎng)絡(luò)內(nèi)部，則是使用自己的網(wǎng)關(guān)和掩碼，這樣一來，局域網(wǎng)內(nèi)的計算機在某個特定的IPv4網(wǎng)段內(nèi)部，數(shù)據(jù)急劇增加。然后TCP/IP協(xié)議是實現(xiàn)互聯(lián)網(wǎng)絡(luò)中兩個計算機的進(jìn)程之間的數(shù)據(jù)傳輸，也是通過IP來識別的，在不同局域網(wǎng)絡(luò)中的計算機的識別，則是通過IP地址翻譯技術(shù)來實現(xiàn)的。

四、防火墻安全方案部署

針對防火墻的部署，是實現(xiàn)安全邊界的部署，主要是在想保護(hù)和隔離的資源邊界部署防火墻。一般的，防火墻的部署主要在三個區(qū)域，第一個區(qū)域在外網(wǎng)與內(nèi)網(wǎng)的交界處設(shè)置防火墻，這樣從外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)以及從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)傳輸都會被防火墻的安全規(guī)則過濾，并且按照相應(yīng)的策略進(jìn)行處理，進(jìn)而實現(xiàn)網(wǎng)絡(luò)惡意攻擊的有效隔離；第二層防火墻一般部署在局域網(wǎng)中的服務(wù)器與局域網(wǎng)絡(luò)之間，實現(xiàn)系統(tǒng)服務(wù)器與局域網(wǎng)絡(luò)的隔離，服務(wù)器提供的服務(wù)為專門的服務(wù)器，防火墻可以實現(xiàn)對局域網(wǎng)訪問用戶的身份認(rèn)證以及相關(guān)操作和訪問的日志記錄，并且對訪問日志進(jìn)行安全審計以主動抵御網(wǎng)絡(luò)安全攻擊；第三層是在數(shù)據(jù)庫服務(wù)器與應(yīng)用服務(wù)器之間設(shè)置防火墻，很多局域網(wǎng)系統(tǒng)的核心價值是企業(yè)的數(shù)據(jù)信息，在應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間設(shè)置防火墻可以有效地加強整個應(yīng)用系統(tǒng)對數(shù)據(jù)訪問的控制，如果是非授權(quán)訪問或惡意操作，防火墻都會將該請求丟棄掉而拒絕發(fā)送，從而有效地保障核心數(shù)據(jù)的安全。

五、總結(jié)

防火墻技術(shù)在互聯(lián)網(wǎng)絡(luò)安全中應(yīng)用非常廣泛，是一種邊界安全的思想，實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間，或者是被保護(hù)資源與外界之間的隔離，通過各種防火墻安全技術(shù)，對來自外界的訪問進(jìn)行過濾審計，并且按照指定的策略對其進(jìn)行處理，從而有效地保障互聯(lián)網(wǎng)絡(luò)的安全。

（責(zé)任編輯：章樊）