◆宋 杰

基于防火墻技術(shù)的園區(qū)網(wǎng)安全研究

◆宋 杰

(中國航發(fā)北京航科發(fā)動(dòng)機(jī)控制系統(tǒng)科技有限公司 北京 102200)

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)的有效應(yīng)用，在給人們帶來方便的同時(shí)，網(wǎng)絡(luò)當(dāng)中的不安全因素也給人們帶來了一定的影響。人們對(duì)于安全問題也是越來越重視，如何不斷加強(qiáng)以及提升安全信息技術(shù)對(duì)于社會(huì)信息化的發(fā)展有著直接的影響。我國已有很多院校、企業(yè)等單位建立了自己的園區(qū)網(wǎng)，網(wǎng)絡(luò)防火墻技術(shù)在信息安全領(lǐng)域扮演著十分重要的角色。本文就對(duì)基于防火墻技術(shù)的園區(qū)網(wǎng)安全進(jìn)行分析和探討。

防火墻技術(shù)；園區(qū)網(wǎng)；安全

1 園區(qū)網(wǎng)與互聯(lián)網(wǎng)的安全問題

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全性可以將其定義為：確保網(wǎng)絡(luò)服務(wù)的適用性以及網(wǎng)絡(luò)信息的整體性，前者需要所有的用戶能夠?qū)τ谒跈?quán)的服務(wù)進(jìn)行有效選擇，后者主要就是需要確保網(wǎng)絡(luò)信息資源的準(zhǔn)確性、完整性和及時(shí)性。網(wǎng)絡(luò)系統(tǒng)的安全性在受到相關(guān)影響之后，通常會(huì)造成網(wǎng)絡(luò)系統(tǒng)很難準(zhǔn)確、及時(shí)地提供相應(yīng)的服務(wù)功能，以及相關(guān)的信息資源被更改或者其信息被泄露等。因此，加強(qiáng)園區(qū)網(wǎng)的安全建設(shè)主要就是在確保當(dāng)前網(wǎng)絡(luò)開放性的基礎(chǔ)上，采用科學(xué)合理的措施和技術(shù)來確保信息系統(tǒng)的安全以及完整。

園區(qū)網(wǎng)的安全問題現(xiàn)狀主要表現(xiàn)如下幾個(gè)方面:

第一，黑客攻擊：當(dāng)前黑客通常主要采用網(wǎng)絡(luò)實(shí)施攻擊，并且采用網(wǎng)絡(luò)監(jiān)聽相關(guān)的賬號(hào)以及密碼；第二，拒絕服務(wù)攻擊: 這種方式是一種破壞式的攻擊方式，比如，“電子郵件炸彈”，其主要就是能夠在很短的時(shí)間之內(nèi)受到大量的垃圾郵件，從而對(duì)正常的業(yè)務(wù)運(yùn)行受到影響。第三，網(wǎng)絡(luò)計(jì)算機(jī)病毒的威脅：計(jì)算機(jī)病毒對(duì)于計(jì)算機(jī)系統(tǒng)有著很大的威脅，在當(dāng)前的互聯(lián)網(wǎng)環(huán)境下，病毒傳播的傳遞非常的快，并且傳播的面積也逐漸也擴(kuò)大，很難降低徹底講出，對(duì)于網(wǎng)絡(luò)系統(tǒng)有著非常大的影響。第四，網(wǎng)絡(luò)系統(tǒng)的脆弱性: 從互聯(lián)網(wǎng)開始發(fā)展起來就在一定意義上缺少相應(yīng)的安全體系，因此也就存在一定的安全隱患和自身所擁有的缺陷等。第五，人為因素：在當(dāng)前安全網(wǎng)絡(luò)體系當(dāng)中，人為因素對(duì)于網(wǎng)絡(luò)安全性在一定意義上有著很大的安全隱患。

2 防火墻網(wǎng)絡(luò)安全技術(shù)的相關(guān)概述

2.1防火墻的基本概念

防火墻本來指用于防止火災(zāi)蔓延的隔斷墻，在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下，防火墻被引申為保護(hù)網(wǎng)絡(luò)安全的防護(hù)墻。防火墻主要包括分離器、分析器和限制器。通常情況下，防火墻是主機(jī)、軟件和路由器的多種組合。但是，從本質(zhì)上來說，防火墻屬于計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)裝置，用于保護(hù)網(wǎng)絡(luò)和用戶資源。而從技術(shù)方面來說，防火墻技術(shù)屬于一種訪問控制技術(shù)，主要在不安全網(wǎng)絡(luò)和機(jī)構(gòu)網(wǎng)絡(luò)之間設(shè)置障礙，組織非法信息訪問網(wǎng)絡(luò)，進(jìn)而保護(hù)網(wǎng)絡(luò)的安全性。

2.2防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理及特征

首先，從防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理來說，其工作原理使防火墻按照預(yù)先規(guī)定的規(guī)則和配置對(duì)通過防火墻的數(shù)據(jù)進(jìn)行監(jiān)控，并對(duì)沒有授權(quán)的數(shù)據(jù)進(jìn)行限制。并且，防火墻會(huì)記錄相關(guān)信息的聯(lián)接來源、闖入者企圖以及服務(wù)器的通信量，以便于網(wǎng)絡(luò)管理人員的跟蹤和監(jiān)測(cè)；其次，從防火墻的特性來說，所有計(jì)算機(jī)網(wǎng)絡(luò)信息都必須通過防火墻。并且，只有被計(jì)算機(jī)網(wǎng)絡(luò)允許的、受到網(wǎng)絡(luò)保護(hù)的信息才能夠通過防火墻。另外，防火墻會(huì)記錄所通過的信息和活動(dòng)，并對(duì)網(wǎng)絡(luò)供給進(jìn)行告警和檢測(cè)。

圖1 作為防火墻主體部分的包過濾器示意圖

2.3防火墻網(wǎng)絡(luò)安全技術(shù)的主要功能

首先，防火墻網(wǎng)絡(luò)安全技術(shù)具有認(rèn)證功能，能夠?qū)π畔⑸矸葸M(jìn)行認(rèn)證，以保證數(shù)據(jù)發(fā)送者的可靠性和真實(shí)性；其次，防火墻網(wǎng)絡(luò)安全技術(shù)具有完整性功能，能夠?qū)ξ词跈?quán)修改的信息進(jìn)行探測(cè)和標(biāo)記，保證信息的完整性；其三，防火墻網(wǎng)絡(luò)安全技術(shù)具有訪問控制功能，能夠控制訪問者，并決定是否允許訪問者進(jìn)入，以避免惡意攻擊和不允許訪問的訪問者進(jìn)入網(wǎng)絡(luò)系統(tǒng)；其四，防火墻技術(shù)具有審計(jì)功能，能夠連續(xù)記錄系統(tǒng)的重要事件，并將所記錄的信息提供給網(wǎng)絡(luò)系統(tǒng)的管理人員；最后，防火墻技術(shù)具有訪問執(zhí)行功能，之后信息完整性檢測(cè)和信息認(rèn)證都通過之后，信息才會(huì)通過防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部。

3 基于防火墻技術(shù)的園區(qū)網(wǎng)安全研究

3.1內(nèi)部網(wǎng)絡(luò)應(yīng)用

園區(qū)網(wǎng)承載的業(yè)務(wù)非常多，因此網(wǎng)絡(luò)的安全可靠性也就在一定意義上會(huì)提升。防火墻的安全可靠性是確保網(wǎng)絡(luò)安全的基礎(chǔ)，也需要加強(qiáng)重視。通常，相對(duì)于高端防火墻來講需要在以下相關(guān)方面加強(qiáng)重視：

（1）軟件系統(tǒng)可靠性

對(duì)于通信產(chǎn)品來說，軟件系統(tǒng)很重要。一些廠家往往選取FreeBSD 等開源代碼對(duì)其實(shí)施修改，這種方式在一般的環(huán)境中基本上能夠有效支持，但是在一些大型的以及復(fù)雜的園區(qū)當(dāng)中就顯得非常不足，只有類似像H3C 的Comware、CISCO 的IOS 這一級(jí)別的軟件，在一定意義上才能夠保證系統(tǒng)的安全可靠。

（2）設(shè)備級(jí)冗余機(jī)制

電源的冗余等方式只能對(duì)系統(tǒng)內(nèi)部相關(guān)的模塊異常情況進(jìn)行處理，很難確保在一些情況下使得系統(tǒng)易于斷網(wǎng)，因此最好在此基礎(chǔ)上對(duì)一些較為重要的部件采用全冗余設(shè)計(jì)。另外，雙機(jī)設(shè)備通常作為對(duì)單點(diǎn)故障進(jìn)行處理的方式已經(jīng)顯得非常成熟，然而對(duì)于傳統(tǒng)的雙機(jī)方案其主要采用的是VRR P或者動(dòng)態(tài)路由方式來進(jìn)行流量切換，在切換當(dāng)中的時(shí)間都需要采用秒來計(jì)算；相對(duì)于一些視頻業(yè)務(wù)，秒級(jí)別的方式也很難符合要求的，因此可以采用H3C F5000 這種控制和轉(zhuǎn)發(fā)平面完全物理分離的相關(guān)機(jī)制保證毫秒級(jí)的快速收斂和切換。

（3）自我故障檢測(cè)機(jī)制

相對(duì)于一些可靠性較高的設(shè)備來說，采用實(shí)時(shí)的運(yùn)行檢測(cè)裝置以及鏈路狀態(tài)檢測(cè)非常重要，除了采用CPU以及內(nèi)存利用率實(shí)時(shí)監(jiān)控之外，對(duì)于協(xié)議檢測(cè)、機(jī)箱溫度、風(fēng)扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測(cè)技術(shù)，都是一種提升可靠性的方式。

3.2網(wǎng)絡(luò)各層監(jiān)測(cè)和存儲(chǔ)應(yīng)用

在網(wǎng)絡(luò)層當(dāng)中采用狀態(tài)檢測(cè)防火墻能夠?qū)⑾嚓P(guān)的數(shù)據(jù)信息進(jìn)行截取，并且在每個(gè)應(yīng)用層當(dāng)中采用防火墻方式將相應(yīng)的安全管理方式存放在動(dòng)態(tài)表當(dāng)中，對(duì)后續(xù)的相關(guān)請(qǐng)求進(jìn)行分析并且做出相應(yīng)的決定，其對(duì)于網(wǎng)絡(luò)各層實(shí)施安全控制。在安全漏洞以及惡意攻擊方面，能夠及時(shí)的發(fā)現(xiàn)并且將其記錄，管理人員可以按照漏洞來查記錄將系統(tǒng)的配置進(jìn)行完善。對(duì)于狀態(tài)監(jiān)測(cè)防火墻來講，需要按照相應(yīng)的記錄狀態(tài)，在一定程度上和相應(yīng)的處理方式進(jìn)行有效結(jié)合，以此實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)控制。

3.3數(shù)據(jù)庫安全維護(hù)的應(yīng)用

數(shù)據(jù)庫作為信息資源有效儲(chǔ)存的一個(gè)區(qū)域，因此就需要加強(qiáng)防火墻的重視。采用防火墻能夠在一定意義上確保內(nèi)部和外部網(wǎng)絡(luò)的有效隔離，在此基礎(chǔ)上可以使得一些合法的信息進(jìn)入，一些非法和不合理的信息拒絕進(jìn)入，并且對(duì)于所產(chǎn)生的非法信息進(jìn)行及時(shí)的記錄并且存儲(chǔ)到數(shù)據(jù)庫當(dāng)中，防止其他相關(guān)的數(shù)據(jù)產(chǎn)生影響，避免網(wǎng)絡(luò)安全問題出現(xiàn)，并且還能夠保證區(qū)域網(wǎng)當(dāng)中產(chǎn)生相應(yīng)的問題對(duì)整體產(chǎn)生影響。防火墻能夠?qū)ο嚓P(guān)的數(shù)據(jù)實(shí)現(xiàn)有效分析，不但能夠?qū)?shù)據(jù)庫當(dāng)中的相關(guān)信息實(shí)現(xiàn)選擇，還能夠?qū)τ跀?shù)據(jù)庫當(dāng)中的相關(guān)網(wǎng)絡(luò)提供一定的服務(wù)。在網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行當(dāng)中對(duì)于防火墻的應(yīng)用能夠?qū)崿F(xiàn)對(duì)于數(shù)據(jù)庫信息的準(zhǔn)確查找，同時(shí)在產(chǎn)生安全隱患時(shí)，能對(duì)其實(shí)現(xiàn)攔截，將其及時(shí)的提供給使用人員作為依據(jù)，使得數(shù)據(jù)庫的安全性提升。

4 結(jié)語

隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)安全問題日益凸顯。計(jì)算機(jī)在實(shí)際的運(yùn)行當(dāng)中帶有相應(yīng)的病毒時(shí)，往往會(huì)造成計(jì)算機(jī)的系統(tǒng)產(chǎn)生崩潰，對(duì)于網(wǎng)絡(luò)安全產(chǎn)生很大的影響，也造成了嚴(yán)重的經(jīng)濟(jì)損失。 在當(dāng)前的網(wǎng)絡(luò)安全防護(hù)當(dāng)中，防火墻技術(shù)是非常普遍的，其在網(wǎng)絡(luò)安全應(yīng)用中有著非常重要的意義。

[1]王素紅.ARP攻擊與園區(qū)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2013.

[2]岳丹丹.入侵檢測(cè)與防火墻技術(shù)協(xié)同組建安全校園網(wǎng)[J].興義民族師范學(xué)院學(xué)報(bào)，2010.

[3]杜秀娟，金志剛，黃科軍，劉艷霞.基于防火墻的園區(qū)網(wǎng)VoIP的安全策略研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008.