張 靜 / 山東協(xié)和學(xué)院

計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)分析

張 靜 / 山東協(xié)和學(xué)院

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展, 安全性已成為網(wǎng)絡(luò)互聯(lián)技術(shù)中的關(guān)鍵問題。本文介紹了防火墻的定義, 較全面論述了防火墻的分類及防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價值, 簡要分析了防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的優(yōu)勢。

網(wǎng)絡(luò)安全；防火墻；包過濾

引言

計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要有：信息在傳輸?shù)倪^程中，數(shù)據(jù)被篡改和復(fù)制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴(yán)重影響著計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴(yán)重后果。為了構(gòu)建安全可靠的網(wǎng)絡(luò)安全環(huán)境，我國除了從法律和政策方面建立網(wǎng)絡(luò)安全體系，還從技術(shù)方面進(jìn)行完善。由于網(wǎng)絡(luò)內(nèi)部和外部環(huán)境的特殊性，因此防火墻技術(shù)是目前保護(hù)網(wǎng)絡(luò)安全最為有效的技術(shù)。不僅能夠?qū)W(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行檢查，還能對整個網(wǎng)絡(luò)進(jìn)行監(jiān)控。

1.防火墻概述

防火墻是一個軟硬件結(jié)合的系統(tǒng)，處于專用網(wǎng)和公用網(wǎng)之間，為內(nèi)部網(wǎng)構(gòu)造一個安全屏障。其主要原理即在Intranet和Internet間建立一個安全網(wǎng)關(guān)，以達(dá)到保護(hù)內(nèi)部網(wǎng)用戶免受非法用戶侵入的目的。

對一臺聯(lián)網(wǎng)計(jì)算機(jī)來說，所有進(jìn)出的數(shù)據(jù)都必須經(jīng)過一個特定的軟硬件設(shè)備，這個設(shè)備就是防火墻。

對一個網(wǎng)絡(luò)而言，所謂“防火墻”，是一套特定的方法和技術(shù)，能將內(nèi)部網(wǎng)和外部網(wǎng)隔離開來。防火墻能在兩個相互通信的網(wǎng)絡(luò)之間建立一個訪問控制，它能實(shí)現(xiàn)兩個功能，一將不符合條件的用戶或數(shù)據(jù)隔離在網(wǎng)絡(luò)外部，二允許符合條件的用戶或數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)。換句話說，數(shù)據(jù)通過防火墻，是內(nèi)部網(wǎng)成員與外部通信的必要條件。

2.防火墻分類

按過濾和檢測方式的不同，防火墻可分為包過濾型防火墻、狀態(tài)檢測型防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻以及應(yīng)用代理型防火墻。

2.1 包過濾型防火墻

包過濾型防火墻工作在 OSI 參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址, 目的地址, 端口號和協(xié)議類型等標(biāo)志確定是否允許通過, 只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被阻擋丟棄。包過濾的優(yōu)點(diǎn)是:一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò); 數(shù)據(jù)包過濾對用戶透明;過濾路由器速度快、效率高。缺點(diǎn)在于只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷, 不能徹底防止地址欺騙; 一些應(yīng)用協(xié)議不適合數(shù)據(jù)包過濾; 正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略; 不能防范黑客攻擊, 不支持應(yīng)用層協(xié)議, 不能處理新的安全威脅。

2.2 狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻基于連接的狀態(tài)檢測機(jī)制, 將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待, 構(gòu)成連接狀態(tài)表, 通過規(guī)則表與狀態(tài)表的配合, 對表中的各個連接狀態(tài)因素加以識別。這種動態(tài)連接表中的記錄可以是以前的通信信息, 也可以是其他相關(guān)應(yīng)用程序的信息, 因此, 與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比, 它具有更好的靈活性、安全性、可伸縮性和擴(kuò)展性以及應(yīng)用范圍廣等優(yōu)點(diǎn)。缺點(diǎn)是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯, 特別是在同時有許多種連接激活的時候, 或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。

2.3 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）型防火墻

NAT 是一種用于把 IP 地址轉(zhuǎn)換成臨時的外部的、注冊的 IP的地址標(biāo)準(zhǔn), 用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的 IP 地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時, 系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接, 這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時, 它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況, 而只是通過一個開放的 IP 地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。NAT 過程對于用戶來說是透明的, 不需要用戶進(jìn)行設(shè)置, 用戶只要進(jìn)行常規(guī)操作即可。

2.4 應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是工作在 OSI 的最高層即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流, 通過對每種應(yīng)用服務(wù)編制專門的代理程序, 實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其優(yōu)點(diǎn)是安全性較高, 可以針對應(yīng)用層進(jìn)行偵測和掃描, 對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響, 代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,因而增加了系統(tǒng)管理的復(fù)雜性。

3.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的優(yōu)勢

防火墻技術(shù)與其他計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)相比，具有明顯的優(yōu)勢，在安全防護(hù)中占據(jù)主要地位，提升計(jì)算機(jī)網(wǎng)絡(luò)的防護(hù)水平。

3.1 準(zhǔn)確識別網(wǎng)絡(luò)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全攻擊來自于不同層次，攻擊種類呈現(xiàn)多樣化的發(fā)展趨勢，防火墻技術(shù)在不斷變化的攻擊行為中，主動識別攻擊路徑和方式，判斷攻擊行為的屬性，提出有效的保護(hù)措施，防火墻技術(shù)處于更新、升級的狀態(tài)，適應(yīng)變化過快的攻擊行為，體現(xiàn)準(zhǔn)確識別的優(yōu)勢，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)處于安全的環(huán)境中，優(yōu)化計(jì)算機(jī)的運(yùn)行，防止網(wǎng)絡(luò)數(shù)據(jù)被惡意損壞、竊取。

3.2 高效保護(hù)網(wǎng)絡(luò)系統(tǒng)

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中具有較高的保護(hù)能力，表現(xiàn)出高效的保護(hù)水平。攻擊者對計(jì)算機(jī)網(wǎng)絡(luò)采取的攻擊行為并不確定，防火墻迅速覺察具有危險性的攻擊活動，在最短的時間內(nèi)防止網(wǎng)絡(luò)系統(tǒng)被攻擊，一方面維持計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，另一方面保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體性能，強(qiáng)化網(wǎng)絡(luò)結(jié)構(gòu)，體現(xiàn)高效率的保護(hù)能力。

4.防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價值

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中確實(shí)得到廣泛應(yīng)用，體現(xiàn)防火墻技術(shù)的高效價值。針對防火墻技術(shù)的應(yīng)用價值，做如下分析：

4.1 代理技術(shù)的應(yīng)用價值

防火墻中的代理技術(shù)，具有一定的特殊性，其可在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的各項(xiàng)模塊發(fā)揮控制作用，時刻體現(xiàn)強(qiáng)效狀態(tài)。代理技術(shù)的價值體現(xiàn)為：該技術(shù)在內(nèi)外網(wǎng)之間發(fā)揮中轉(zhuǎn)作用，計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)網(wǎng)部分，只接受代理部分發(fā)出的請求，而外網(wǎng)請求直接被拒絕，該技術(shù)在內(nèi)網(wǎng)、外網(wǎng)的分割方面，發(fā)揮主要作用，杜絕出現(xiàn)內(nèi)外混淆的現(xiàn)象，所以代理技術(shù)在實(shí)現(xiàn)應(yīng)用價值方面，同樣面臨技術(shù)壓力。

4.2 檢測技術(shù)的應(yīng)用價值

檢測技術(shù)以計(jì)算機(jī)網(wǎng)絡(luò)的狀態(tài)為主，屬于新技術(shù)領(lǐng)域。檢測技術(shù)的運(yùn)行建立在狀態(tài)機(jī)制的基礎(chǔ)上，將外網(wǎng)傳入的數(shù)據(jù)包作為整體，準(zhǔn)確分析數(shù)據(jù)包的狀態(tài)內(nèi)容，檢測技術(shù)將分析結(jié)果匯總為記錄表，分為規(guī)則和狀態(tài)，比對兩表后識別數(shù)據(jù)狀態(tài)。目前，檢測技術(shù)應(yīng)用于各層網(wǎng)絡(luò)之間，獲取網(wǎng)絡(luò)連接的狀態(tài)信息，拓寬計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的范圍，由此提高網(wǎng)絡(luò)信息的運(yùn)行效率。

4.3 協(xié)議技術(shù)的應(yīng)用價值

協(xié)議技術(shù)主要是防止Dos攻擊，Dos攻擊容易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)以及服務(wù)器陷入癱瘓狀態(tài)，促使計(jì)算機(jī)網(wǎng)絡(luò)無法正常提供運(yùn)行信息，此類攻擊沒有限制要求，基本處于無限制攻擊狀態(tài)。防火墻利用協(xié)議技術(shù)，在此類攻擊中發(fā)揮主體保護(hù)，在協(xié)議技術(shù)參與下的防火墻技術(shù)，保護(hù)計(jì)算機(jī)的內(nèi)部網(wǎng)絡(luò)，提供各類網(wǎng)關(guān)服務(wù)，網(wǎng)關(guān)是連接服務(wù)器與信息的直接途徑，待防火墻回應(yīng)后，服務(wù)器才可運(yùn)行。防火墻促使服務(wù)器處于高度安全的環(huán)境中，規(guī)避外網(wǎng)攻擊，例如：當(dāng)外網(wǎng)向內(nèi)網(wǎng)發(fā)送請求信息時，防火墻通過SYN設(shè)置訪問上限，降低服務(wù)器承擔(dān)的攻擊壓力，同時完成數(shù)據(jù)包檢測。

5.結(jié)束語

總而言之，隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展和運(yùn)用，網(wǎng)絡(luò)為人們帶來便捷的同時，也帶來了一定的安全問題。由于網(wǎng)絡(luò)安全不僅與技術(shù)和管理有聯(lián)系，對網(wǎng)絡(luò)的使用和維護(hù)等也有聯(lián)系。雖然目前防火墻技術(shù)是防止網(wǎng)絡(luò)威脅的主要手段，但是由于網(wǎng)絡(luò)安全存在多方面，僅依靠防火墻技術(shù)是無法滿足人們對網(wǎng)絡(luò)安全的需求，因此，只有將網(wǎng)絡(luò)安全與防火墻技術(shù)結(jié)合進(jìn)行研究，才能提供更好的安全服務(wù)。

[1]孟慶威.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2013(6):170-171.

[2]王德山,王科超.試論計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(7):61-62.

[3]邵澤云,曹來成.網(wǎng)絡(luò)防火墻新技術(shù)的發(fā)展與應(yīng)用研究[J].信息安全與技術(shù),2015(05):119-121.

[4]李江華.防火墻技術(shù)更新研究[J].集寧師范學(xué)院學(xué)報(bào),2016(02):64-65.

[5]吳文臣.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息通信,2017(01):19-20.

張 靜(1985－)，女，山東濟(jì)寧人，碩士研究生，講師，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)防火墻，VPN。

2017年山東協(xié)和學(xué)院實(shí)驗(yàn)室開放項(xiàng)目(項(xiàng)目編號2017SYKF53)。