◆張 雪

防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性分析

◆張 雪

（哈爾濱鐵道職業(yè)技術(shù)學(xué)院 黑龍江 150000）

隨著網(wǎng)絡(luò)技術(shù)與社會(huì)的不斷深入融合，網(wǎng)絡(luò)安全問(wèn)題已成為制約社會(huì)經(jīng)濟(jì)發(fā)展的核心問(wèn)題之一。近年來(lái)，一些不法分子利用網(wǎng)絡(luò)安全漏洞從事非法活動(dòng)，以牟取不法利益，在這種情況下，應(yīng)用防火墻技術(shù)的網(wǎng)絡(luò)安全防御體系由此而生。本文從網(wǎng)絡(luò)安全問(wèn)題的現(xiàn)狀、防火墻技術(shù)的現(xiàn)狀和運(yùn)用等三個(gè)方面出發(fā)，著重研究防火墻技術(shù)，防止來(lái)自外部的攻擊行為，確保系統(tǒng)的數(shù)據(jù)和通訊安全。

網(wǎng)絡(luò)安全；防火墻技術(shù)；防御體系

1 網(wǎng)絡(luò)中存在的安全問(wèn)題

與歐美國(guó)家相比，我國(guó)的網(wǎng)絡(luò)技術(shù)發(fā)展時(shí)間較短，但發(fā)展速度很快，便捷的網(wǎng)絡(luò)購(gòu)物，移動(dòng)支付給人民帶來(lái)諸多的科技紅利。但隨之而來(lái)的與網(wǎng)絡(luò)安全事件也屢見(jiàn)不鮮，我國(guó)的網(wǎng)絡(luò)安全防御系統(tǒng)也應(yīng)與時(shí)俱進(jìn)，不斷提高和完善自我。目前，有兩個(gè)因素制約了我國(guó)網(wǎng)絡(luò)安全防御體系的發(fā)展。第一，人的因素是在網(wǎng)絡(luò)安全領(lǐng)域中最薄弱的環(huán)節(jié)，也就是說(shuō)在防御體系建設(shè)中要重點(diǎn)關(guān)注對(duì)用戶(hù)的管理，提高其安全意識(shí)。第二，從技術(shù)手段出發(fā)，不僅要引進(jìn)歐美國(guó)家先進(jìn)的軟硬件產(chǎn)品，還要開(kāi)發(fā)自主知識(shí)產(chǎn)權(quán)的軟硬件設(shè)備。因?yàn)?，過(guò)度依賴(lài)歐美國(guó)家信息安全產(chǎn)品不僅不安全，反而更加危險(xiǎn)。

1.1 對(duì)于網(wǎng)絡(luò)安全系統(tǒng)防御力不高

目前，受眾面最廣的網(wǎng)絡(luò)操作系統(tǒng)就是微軟的視窗操作系統(tǒng)，但該系統(tǒng)源碼封閉，不適用于國(guó)家機(jī)關(guān)、行政、金融、國(guó)防、軍事等具有戰(zhàn)略角色的服務(wù)器和主機(jī)。因此，這些部門(mén)的計(jì)算機(jī)往往會(huì)選擇源碼開(kāi)放的Linux操作系統(tǒng)，但無(wú)論哪種操作系統(tǒng)，在進(jìn)行網(wǎng)絡(luò)防護(hù)時(shí)技術(shù)相對(duì)而言還不成熟，這就有待于信息產(chǎn)業(yè)科研所、高校實(shí)驗(yàn)室以及國(guó)內(nèi)網(wǎng)絡(luò)安全專(zhuān)家和愛(ài)好者共同努力來(lái)進(jìn)行完善。

1.2 對(duì)安全監(jiān)測(cè)數(shù)據(jù)信息上存在的問(wèn)題

網(wǎng)絡(luò)用戶(hù)所使用的安全防御體系一般來(lái)說(shuō)都是來(lái)自于安全廠(chǎng)商開(kāi)發(fā)的一系列軟硬件產(chǎn)品，但這些產(chǎn)品從早期的瑞星、諾頓、卡巴斯基等防火墻軟件到現(xiàn)在市場(chǎng)份額較大的360安全衛(wèi)士都無(wú)法做到前瞻性，也就是說(shuō)這些產(chǎn)品都是基于病毒庫(kù)來(lái)對(duì)數(shù)據(jù)進(jìn)行比較、過(guò)濾和查殺的，對(duì)于變種的木馬和病毒沒(méi)有防御能力，這也就造成了諸如2017年出現(xiàn)的“敲詐者病毒”、“勒索病毒”頻發(fā)的現(xiàn)象。究其原因是網(wǎng)絡(luò)安全防御系統(tǒng)對(duì)具有入侵破壞行為特征的程序和數(shù)據(jù)監(jiān)測(cè)能力不足。

2 針對(duì)網(wǎng)絡(luò)安全對(duì)防火墻技術(shù)的應(yīng)用分析

網(wǎng)絡(luò)防火墻是保障網(wǎng)絡(luò)安全的第一道屏障。針對(duì)網(wǎng)絡(luò)應(yīng)用來(lái)說(shuō)，網(wǎng)絡(luò)防火墻可分為軟件防火墻和硬件防火墻。PC（Personal Compute）作為網(wǎng)絡(luò)節(jié)點(diǎn)入網(wǎng)時(shí)可選擇軟件防火墻，因?yàn)檐浖阑饓δ軓?qiáng)大、配置靈活，同時(shí)其價(jià)格低廉，但其缺點(diǎn)也顯而易見(jiàn)，即穩(wěn)定性和可靠性較低，這一特性正好適用于對(duì)安全性要求高的個(gè)人PC機(jī)和工作站。網(wǎng)絡(luò)服務(wù)器作為提供網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)在入網(wǎng)時(shí)可以選擇硬件防火墻，因?yàn)橛布阑饓哂嗅槍?duì)性功能，模塊擴(kuò)展也較容易，但其缺點(diǎn)也很明顯，即防火墻功能單一，配置不靈活，最重要的就是硬件防火墻的價(jià)格昂貴，中小型企業(yè)難以承擔(dān)。

3 防火墻技術(shù)的特點(diǎn)分析與運(yùn)用

3.1 防火墻技術(shù)的特點(diǎn)分析

（1）包過(guò)濾防火墻技術(shù)：包過(guò)濾防火墻技術(shù)的工作原理就是在防火墻上配置由外網(wǎng)進(jìn)入到內(nèi)網(wǎng)的數(shù)據(jù)過(guò)濾規(guī)則，這些規(guī)則主要是基于IP（Internet Protocol）數(shù)據(jù)報(bào)報(bào)頭部分檢測(cè)的，其中包括源端和目的端的端口號(hào)規(guī)則、協(xié)議類(lèi)型過(guò)濾規(guī)則、來(lái)源端和目的端的IP地址過(guò)濾規(guī)則和數(shù)據(jù)報(bào)的出入接口過(guò)濾規(guī)則。該類(lèi)型的防火墻基本工作流程為首先當(dāng)某一數(shù)據(jù)報(bào)與過(guò)濾規(guī)則不匹配時(shí)，且允許通過(guò)，則防火墻轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)；當(dāng)數(shù)據(jù)報(bào)與過(guò)濾規(guī)則匹配，且禁止通過(guò)，則防火墻丟棄該數(shù)據(jù)報(bào)，不允許其通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)。然而，包過(guò)濾防火墻技術(shù)又存在一定的局限性。因?yàn)樵摷夹g(shù)的基本工作原理是基于檢測(cè)IP數(shù)據(jù)報(bào)報(bào)頭的，所以包過(guò)濾防火墻無(wú)法對(duì)諸如FTP、RPC、X-Windows這些基于服務(wù)的協(xié)議進(jìn)行有效的過(guò)濾，從宏觀(guān)上防御體系不能完全依賴(lài)包過(guò)濾防火墻技術(shù)保證網(wǎng)絡(luò)系統(tǒng)的安全性。

（2）應(yīng)用級(jí)防火墻技術(shù)：應(yīng)用級(jí)防火墻技術(shù)的防御對(duì)象為OSI七層結(jié)構(gòu)中的應(yīng)用層，它可以對(duì)基于HTTP、HTTPS以及FTP等服務(wù)進(jìn)行數(shù)據(jù)的校驗(yàn)與保護(hù)。同時(shí)應(yīng)用級(jí)防火墻又成為代理服務(wù)器防火墻，它位于客戶(hù)端和服務(wù)器之間，對(duì)于客戶(hù)端來(lái)說(shuō)它就是一臺(tái)真正的服務(wù)器；對(duì)于服務(wù)器來(lái)說(shuō)他就是一臺(tái)真正的客戶(hù)端。它在客戶(hù)端和服務(wù)器之間充當(dāng)轉(zhuǎn)接的作用，屏蔽了客戶(hù)端和服務(wù)器的直接連接，外網(wǎng)的非法數(shù)據(jù)和程序也就很難直接越過(guò)防火墻進(jìn)入到內(nèi)網(wǎng)之中，有效的保護(hù)了內(nèi)網(wǎng)的安全。

（3）狀態(tài)檢測(cè)型防火墻技術(shù)：狀態(tài)檢測(cè)防火墻技術(shù)較上述兩種類(lèi)型的防火墻效率更高、安全性更好。它的工作原理為在OSI的網(wǎng)絡(luò)層上利用某種脫離分析算法，將網(wǎng)絡(luò)層中與應(yīng)用層有關(guān)的數(shù)據(jù)分離出來(lái)進(jìn)行分析，然后按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行丟棄或者轉(zhuǎn)發(fā)。這種類(lèi)型的防火墻不僅僅關(guān)系數(shù)據(jù)包的信源和信宿，而且還關(guān)心數(shù)據(jù)包的狀態(tài)，尤其是對(duì)于UDP協(xié)議數(shù)據(jù)包的校驗(yàn)最為適合。但狀態(tài)監(jiān)測(cè)防火墻也有其固有的缺點(diǎn)，例如校驗(yàn)過(guò)程以算法為核心，勢(shì)必會(huì)影響效率，增大數(shù)據(jù)包延遲時(shí)間；對(duì)垃圾郵件、廣告、木馬的校驗(yàn)率不高。

3.2 防火墻技術(shù)的有效運(yùn)用

防火墻技術(shù)是網(wǎng)絡(luò)安全防御體系中的第一道屏障，其有效運(yùn)用直接決定著網(wǎng)絡(luò)系統(tǒng)的安全級(jí)別。不同的網(wǎng)絡(luò)其功能和需求也不相同，對(duì)網(wǎng)內(nèi)數(shù)據(jù)信息的安全級(jí)別要求也不一樣，在對(duì)網(wǎng)絡(luò)進(jìn)行防御體系構(gòu)建時(shí)就需要管理人員和技術(shù)人員首先對(duì)自己的網(wǎng)絡(luò)有一個(gè)清晰的認(rèn)識(shí)，然后依據(jù)本網(wǎng)絡(luò)的安全級(jí)別選擇相應(yīng)的軟硬件防護(hù)產(chǎn)品。然后無(wú)論何種安全級(jí)別的網(wǎng)絡(luò)，防火墻的運(yùn)用都是必不可少的。

防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中的重要作用，主要體現(xiàn)在以下五個(gè)方面：（1）防火墻能夠?qū)?lái)自外網(wǎng)的信息進(jìn)行非法數(shù)據(jù)的提取、分析、校驗(yàn)和過(guò)濾，然后通過(guò)相應(yīng)的規(guī)則和算法允許其通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)或直接丟棄；（2）防火墻對(duì)外網(wǎng)的登錄信息極其敏感，可以有效的截獲login信息，阻止非授權(quán)的賬戶(hù)遠(yuǎn)程登錄內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)的賬戶(hù)安全起著保護(hù)的作用；（3）防火墻能夠關(guān)閉主機(jī)終端不經(jīng)常使用的端口，對(duì)程序特定的端口進(jìn)行封閉后可以有效的防止特定程序?qū)W(wǎng)絡(luò)系統(tǒng)的破壞，例如禁用木馬的默認(rèn)端口等等；（4）防火墻還能對(duì)網(wǎng)絡(luò)攻擊發(fā)起警告，一旦網(wǎng)絡(luò)遭受到來(lái)自外部的攻擊，防火墻首先能夠屏蔽這種攻擊行為，其次對(duì)攻擊源進(jìn)行反跟蹤，分析、記錄，形成數(shù)學(xué)模型，提高防御能力；（5）從邏輯上講，防火墻實(shí)際上是網(wǎng)絡(luò)的一個(gè)分離器、分析器和限制器，它能夠有效的控制內(nèi)網(wǎng)和外網(wǎng)的所有信息傳輸過(guò)程，有效保證內(nèi)網(wǎng)數(shù)據(jù)的安全性。當(dāng)然，防火墻技術(shù)也有其一定的弊端，例如防火墻防外不防內(nèi)，它只能防護(hù)來(lái)自外部的攻擊，如果攻擊來(lái)自?xún)?nèi)部，則防火墻就失去了其存在的意義。另外，防火墻根據(jù)其工作原理的不同分為了很多類(lèi)型，每種類(lèi)型都有其優(yōu)缺點(diǎn)，隨著時(shí)代的不斷進(jìn)步，技術(shù)人員還要不斷完善防火墻技術(shù)，防御體系要向著綜合性的方向發(fā)展。

防火墻技術(shù)是保障計(jì)算機(jī)網(wǎng)絡(luò)安全的一項(xiàng)基本措施，因此，要不斷的將先進(jìn)的技術(shù)融入到防火墻防御體系的建設(shè)當(dāng)中，以對(duì)其不斷的進(jìn)行優(yōu)化管理，充分發(fā)揮防火墻的真正作用。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全中防火墻技術(shù)的有效運(yùn)用與分析要從實(shí)際的科學(xué)技術(shù)出發(fā)，將先進(jìn)的科學(xué)技術(shù)與實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)防火墻相結(jié)合，建立網(wǎng)絡(luò)信息安全管理系統(tǒng)，使計(jì)算機(jī)用戶(hù)的實(shí)際信息得到可靠的保護(hù)；將網(wǎng)絡(luò)安全管理與防火墻技術(shù)相結(jié)合，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行必要的檢查的同時(shí)，注重對(duì)系統(tǒng)本身的監(jiān)控管理，從而不斷的提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。

[1]駱兵. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦（理論版），2016.

[2]謝平.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用研究[J].通訊世界，2016.

[3]何承.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的有效運(yùn)用分析[J].福建質(zhì)量管理，2016.