何曉敏

[摘 要]隨著越來(lái)越重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ)，用戶面臨的威脅形形色色，各類網(wǎng)絡(luò)安全問題日益突出。尤其是黑客、計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的危害，使得人們不得不重視防火墻技術(shù)。防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，是在網(wǎng)絡(luò)的內(nèi)部與外部之間實(shí)施安全防范的系統(tǒng)安全。只有了解了現(xiàn)有防火墻的安全特征，才能完善安全防范手段，實(shí)現(xiàn)下一代防火墻的安全使用。根據(jù)互聯(lián)網(wǎng)目前的系統(tǒng)管理現(xiàn)狀，本文就針對(duì)下一代防火墻的安全特征進(jìn)行分析，探討其未來(lái)發(fā)展趨勢(shì)。

[關(guān)鍵詞]下一代防火墻；安全特征；發(fā)展趨勢(shì)

中圖分類號(hào)：TM215 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導(dǎo)下，互聯(lián)網(wǎng)的飛速發(fā)展給人們的生活帶來(lái)便捷，人們對(duì)互聯(lián)網(wǎng)的依賴程度加大。但是，近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅越來(lái)越多的人為攻擊事件，數(shù)量劇烈上升趨勢(shì)。人們的利益受到威脅，對(duì)互聯(lián)網(wǎng)的放火墻安全性能產(chǎn)生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭(zhēng)取解決下一代互聯(lián)網(wǎng)的安全威脅。

1.研究防火墻安全特征

1.1 互聯(lián)網(wǎng)面對(duì)的安全威脅

自莫里斯蠕蟲病毒出現(xiàn)以來(lái)，病毒的數(shù)量呈爆炸式增長(zhǎng)，安全漏洞數(shù)量增長(zhǎng)較快，系統(tǒng)或軟件的嚴(yán)重級(jí)別漏洞增多。同時(shí)，黑客等網(wǎng)絡(luò)不法分子通過網(wǎng)絡(luò)技術(shù)，攻破用戶防火墻，帶來(lái)安全威脅。對(duì)于銀行系統(tǒng)、商業(yè)系統(tǒng)、政府和軍事領(lǐng)域而言，這些比較敏感的系統(tǒng)和部門對(duì)公共通信網(wǎng)絡(luò)中存儲(chǔ)與傳輸?shù)臄?shù)據(jù)安全問題尤為關(guān)注。目前，最常見的安全問題是網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷、計(jì)算機(jī)病毒、身份信息竊取、網(wǎng)絡(luò)釣魚詐騙及分布式拒絕服務(wù)。其中計(jì)算機(jī)病毒并不獨(dú)立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯(lián)網(wǎng)金融的發(fā)展，人們的身份信息與銀行資產(chǎn)很容易被黑客侵入，個(gè)人和企業(yè)的信息輕而易舉被竊取，造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術(shù)標(biāo)準(zhǔn)

在2005、2006年，防火墻標(biāo)準(zhǔn)進(jìn)行了重新編制，只針對(duì)包過濾和應(yīng)用級(jí)防火墻技術(shù)，其中代理服務(wù)器要求和并列到應(yīng)用級(jí)防火墻技術(shù)中進(jìn)行描述。先后形成了《GB/T20010—2005信息安全技術(shù)包過濾防火墻評(píng)估準(zhǔn)則》。GB/T20281—2006標(biāo)準(zhǔn)則吸收了原來(lái)國(guó)家標(biāo)準(zhǔn)的所有重要內(nèi)容。該標(biāo)準(zhǔn)將防火墻通用技術(shù)要求分為功能、性能、安全和保證四大類。其中，功能要求是對(duì)防火墻產(chǎn)品應(yīng)具備的安全功能提出具體的要求，包括包過濾、應(yīng)用代理、內(nèi)容過濾、安全審計(jì)和安全管理等；安全要求是對(duì)防火墻自身安全和防護(hù)能力提出具體的要求；保證要求則針對(duì)防火墻開發(fā)者和防火墻自身提出具體的要求。性能要求是對(duì)防火墻產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)做出規(guī)定。同時(shí)，將防火墻產(chǎn)品進(jìn)行安全等級(jí)劃分。安全等級(jí)分為三個(gè)級(jí)別，逐級(jí)提高，功能強(qiáng)弱、安全強(qiáng)度和保證要求的高低是等級(jí)劃分的具體依據(jù)，功能、安全為該標(biāo)準(zhǔn)的安全功能要求內(nèi)容。這是我國(guó)信息安全標(biāo)準(zhǔn)中第一次將性能值進(jìn)行量化的標(biāo)準(zhǔn)。

1.3 采用防火墻系統(tǒng)的必要性

隨著越來(lái)越多重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ)，信息安全問題已經(jīng)成為威脅民生、社會(huì)、甚至國(guó)家安全的重要問題。從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的角度來(lái)看，防火墻是指強(qiáng)加于兩個(gè)網(wǎng)絡(luò)之間邊界處，以保護(hù)內(nèi)部網(wǎng)絡(luò)免遭外部網(wǎng)絡(luò)威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術(shù)作為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的最常用技術(shù)之一，當(dāng)前全球約有三分之一的計(jì)算機(jī)是處于防火墻的保護(hù)之下。防火墻在不危機(jī)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和其他資源的前提下，允許本地用戶使用外部網(wǎng)絡(luò)資源，并將外部未授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外，從而解決了因連接外部網(wǎng)絡(luò)所帶來(lái)的安全問題。

2.分析下一代防火墻的發(fā)展趨勢(shì)

2.1 防火墻發(fā)展的新技術(shù)趨勢(shì)

就目前國(guó)內(nèi)形勢(shì)而言，下一代防火墻發(fā)展的新技術(shù)趨勢(shì)有四方面。隨著運(yùn)行商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶對(duì)安全的關(guān)注，對(duì)防火墻高吞吐量、高性能連接處理能力的要求越來(lái)越迫切。傳統(tǒng)的硬件構(gòu)架已經(jīng)無(wú)法滿足用戶的需求，因此多核處理，ASIC加速芯片處理等技術(shù)紛紛登場(chǎng)，高性能成為新的技術(shù)趨勢(shì)。雖然IPv6在目前推廣和普及的力度較大，但新的安全問題也逐漸產(chǎn)生。在純IPv6網(wǎng)絡(luò)中，IPv6端與端的IPSec以及最終拜托NAT的發(fā)展構(gòu)架對(duì)防火墻產(chǎn)品的沖擊影響較大，但在IPv4/6共存階段，針對(duì)不同過渡協(xié)議混雜的背景，防火墻產(chǎn)品還是有著技術(shù)發(fā)展和實(shí)現(xiàn)的需求，所以使防火墻適用于IPv4/6也是重要技術(shù)趨勢(shì)之一。基于防火墻用戶的配置策略，應(yīng)用深層控制技術(shù)開始越來(lái)越多的被提及。同時(shí)，隨著云時(shí)代的到來(lái)，各類云服務(wù)逐漸進(jìn)入普通大眾的生活。防火墻的安全性能也伴隨著云技術(shù)的發(fā)展開發(fā)出云服務(wù)虛擬化技術(shù)。

2.2 下一代互聯(lián)網(wǎng)高性能防火墻標(biāo)準(zhǔn)

據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2013年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，對(duì)原有《GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》進(jìn)行修訂，由于下一代互聯(lián)網(wǎng)的特性是防火墻功能屬性，所以維持原有標(biāo)準(zhǔn)名稱。該標(biāo)準(zhǔn)與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類，加強(qiáng)了防火墻的應(yīng)用層控制能力，增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求，級(jí)別統(tǒng)一劃分為基本級(jí)和增強(qiáng)級(jí)。該標(biāo)準(zhǔn)安全功能主要對(duì)產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理三部分，其中網(wǎng)絡(luò)層控制主要包括包過濾、NAT、狀態(tài)檢測(cè)、策略路由等方面。這些安全功能新標(biāo)準(zhǔn)要求將大大提高下一代防火墻的安全特性。在環(huán)境適應(yīng)性要求方面，該標(biāo)準(zhǔn)對(duì)下一代防火墻產(chǎn)品的部署模式及下一代互聯(lián)網(wǎng)環(huán)境的適應(yīng)性支持進(jìn)行了要求。同時(shí)，該標(biāo)準(zhǔn)的性能要求對(duì)下一代防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速率和最大事務(wù)等性能指標(biāo)進(jìn)行了要求。

2.3 網(wǎng)絡(luò)安全的實(shí)現(xiàn)

網(wǎng)絡(luò)安全的實(shí)現(xiàn)是多方面的。訪問控制是網(wǎng)絡(luò)安全防御和保護(hù)的主要策略。進(jìn)行訪問控制的目的是保護(hù)網(wǎng)絡(luò)資源不被非法使用和非法訪問?？刂朴脩艨梢栽L問網(wǎng)絡(luò)資源的范圍，為網(wǎng)絡(luò)訪問提供限制，只允許訪問權(quán)限的用戶訪問網(wǎng)絡(luò)資源。且隨著當(dāng)前通信技術(shù)的快速發(fā)展，用戶對(duì)信息的安全處理、安全存儲(chǔ)、安全傳輸?shù)男枰苍絹?lái)越迫切，并受到了廣泛關(guān)注。信息在網(wǎng)絡(luò)傳輸?shù)陌踩{是由于TPC/IP協(xié)議所固有的，因此數(shù)據(jù)加密技術(shù)成為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的必然選擇。病毒防護(hù)主要包括計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除。最理想的防止病毒攻擊的方法就是預(yù)防，在第一時(shí)間內(nèi)阻止病毒進(jìn)入系統(tǒng)。攻擊防御對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的傳輸行為進(jìn)行實(shí)時(shí)監(jiān)視，在惡意行為被發(fā)動(dòng)時(shí)及時(shí)進(jìn)行阻止，攻擊防御可以針對(duì)特征分析及分析做出判斷。同時(shí)，網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”。因此，除了運(yùn)用各種安全技術(shù)之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結(jié)語(yǔ)

總而言之，事物的發(fā)展過程是曲折的，前途是光明的。隨著人類在經(jīng)濟(jì)、工業(yè)、軍事領(lǐng)域方面越來(lái)越多地依賴信息化管理和處理，由于信息網(wǎng)絡(luò)在設(shè)計(jì)上對(duì)安全問題的忽視，以及爆發(fā)性應(yīng)用背后存在的使用和管理上的脫節(jié)，使互聯(lián)網(wǎng)中信息的安全性逐漸受到嚴(yán)重威脅，實(shí)用和安全矛盾逐漸顯現(xiàn)。而下一代防火墻的安全特性隨著互聯(lián)網(wǎng)的發(fā)展是不斷改進(jìn)，進(jìn)行高性能技術(shù)的研究，已有所成果。所以，關(guān)于下一代防火墻的安全特性我們要抱有積極的態(tài)度。

參考文獻(xiàn)

[1] 吳秀梅.防火墻技術(shù)及應(yīng)用教程[M].北京：清華大學(xué)出版社.2010.

[2] 黎連業(yè)，張維.防火墻及其應(yīng)用技術(shù).清華大學(xué)，2004.