導(dǎo)語(yǔ)：如何才能寫好一篇防火墻在網(wǎng)絡(luò)中的應(yīng)用，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；發(fā)展趨勢(shì)

一、防火墻技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的重要性

防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它在網(wǎng)絡(luò)安全應(yīng)用中的重要性主要包括以下幾個(gè)方面：

1.網(wǎng)絡(luò)安全的屏障

防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2.強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。

3.監(jiān)控網(wǎng)絡(luò)存取和訪問(wèn)

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。

4.防止內(nèi)部信息的外泄

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。

二、防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用現(xiàn)狀

隨著防火墻技術(shù)的不斷更新，新型的防火墻技術(shù)安全性能更高，它綜合了過(guò)濾和技術(shù)，克服二者在安全方面的缺陷，不僅覆蓋了傳統(tǒng)包過(guò)濾防火墻的全部功能，而且在全面對(duì)抗IP欺騙、ARP、ICMP、SYNFlood等共計(jì)手段方面有明顯的優(yōu)勢(shì)和效果，增強(qiáng)了服務(wù)，并使其與包過(guò)濾相融合，加上智能過(guò)濾技術(shù)，使得防火墻的安全性能有了長(zhǎng)足提高。目前新型防火墻技術(shù)主要包括以下幾種：

1.分布式防火墻技術(shù)，指那些駐留在網(wǎng)絡(luò)中主機(jī)如服務(wù)器或桌面機(jī)并對(duì)主機(jī)系統(tǒng)自身提供安全保護(hù)的軟件產(chǎn)品，廣義上講，分布式防火墻是一種新的防火墻體系結(jié)構(gòu)，包括用于內(nèi)外部網(wǎng)之間和內(nèi)網(wǎng)之間防護(hù)的網(wǎng)絡(luò)防火墻、對(duì)網(wǎng)絡(luò)中服務(wù)器和桌面機(jī)保護(hù)的主機(jī)防火墻、用于保護(hù)網(wǎng)絡(luò)中單一設(shè)備的中心邊界防火墻等。

2.嵌入式防火墻技術(shù)，指內(nèi)嵌于路由器或交換機(jī)的防火墻，通常也被稱為阻塞點(diǎn)防火墻，這種防火墻能彌補(bǔ)并改善各類安全能力不足的企業(yè)邊緣防火墻、基于主機(jī)的應(yīng)用程序、網(wǎng)絡(luò)程序、入侵檢測(cè)告警程序和防病毒程序等，確保企業(yè)內(nèi)部和外部的網(wǎng)絡(luò)安全。

3.職能防火墻技術(shù)，通過(guò)利用統(tǒng)計(jì)、記憶、概率和決策的職能方法對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的，由于這些方法多時(shí)人工職能學(xué)科采用的方法，也統(tǒng)稱為職能防火墻，通常這種防火墻的關(guān)鍵技術(shù)包括防攻擊技術(shù)、防掃描技術(shù)、防欺騙技術(shù)、入侵防御技術(shù)、包擦洗和協(xié)議正?；夹g(shù)、AAA技術(shù)等。

雖然防火墻技術(shù)越來(lái)越成熟，功能也越來(lái)越強(qiáng)大，但依然存在一些不足，主要表現(xiàn)在以下幾個(gè)方面：

1.不能防御不經(jīng)過(guò)防火墻的攻擊，顯而易見(jiàn)，若果防火墻布置在企業(yè)網(wǎng)絡(luò)的邊界 ，對(duì)進(jìn)出企業(yè)的信息進(jìn)行過(guò)濾，而企業(yè)內(nèi)部的電腦通過(guò)撥號(hào)網(wǎng)絡(luò)直接與外網(wǎng)連接的話，防火墻就不起作用。

2.不能防御計(jì)算機(jī)病毒的攻擊，計(jì)算機(jī)病毒攻擊的方式層出不窮，大多數(shù)防火墻都是根據(jù)系統(tǒng)存在的漏洞進(jìn)行攻擊，對(duì)于這種攻擊防火墻常常無(wú)能為力。

3.防火墻自身存在安全漏洞，無(wú)論是硬件還是軟件防火墻，都會(huì)或多或少的存在設(shè)計(jì)漏洞，一些不法分子可能會(huì)利用這些設(shè)計(jì)上的漏洞繞過(guò)防火墻對(duì)系統(tǒng)進(jìn)行攻擊。

4.對(duì)防御數(shù)據(jù)驅(qū)動(dòng)式的攻擊無(wú)能為力，作為一種常見(jiàn)的攻擊方式，但其每次通過(guò)防火墻時(shí)的數(shù)據(jù)卻都是符合規(guī)則的，但這些數(shù)據(jù)組合以后就會(huì)對(duì)系統(tǒng)進(jìn)行破壞。

5.以損失有用服務(wù)為代價(jià)，為了信息安全，我們通常會(huì)關(guān)閉一些不必要的服務(wù)，但這些服務(wù)中也有許多有價(jià)值的服務(wù)信息，雖然可以一定程度上提高計(jì)算機(jī)應(yīng)用的安全性，但也必須以放棄一部分使用價(jià)值為代價(jià)。

三、防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)

針對(duì)目前防火墻不能解決的問(wèn)題以及越來(lái)越多的網(wǎng)絡(luò)攻擊方式的出現(xiàn)，對(duì)防火墻技術(shù)也必將有更高的要求，未來(lái)將向高速度、多功能和安全性更高的方向發(fā)展，其未來(lái)發(fā)展趨勢(shì)可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)實(shí)現(xiàn)。

1.在防火墻包過(guò)濾技術(shù)發(fā)展方面，首先安全策略功能會(huì)更加強(qiáng)大，新的防火墻技術(shù)會(huì)把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能，使得用戶在身份驗(yàn)證方面的安全功能增強(qiáng)。其次，加強(qiáng)防火墻的多級(jí)過(guò)濾技術(shù)，通過(guò)多級(jí)的過(guò)濾技術(shù)并配合其它方面的鑒別手段，可以從不同層面過(guò)濾掉所有的源路由分組、假冒IP源地址、禁止出或入的協(xié)議、有害數(shù)據(jù)包、控制和監(jiān)測(cè)互聯(lián)網(wǎng)提供的所有通用服務(wù)等，在一定程度上彌補(bǔ)單獨(dú)過(guò)濾技術(shù)的不足。同時(shí)，新的防火墻技術(shù)或會(huì)增加更多的擴(kuò)展功能，甚至包括防病毒和入侵監(jiān)測(cè)等主流功能。

2.在防火墻體系結(jié)構(gòu)發(fā)展方面，隨著互聯(lián)網(wǎng)用戶的增加，以及用戶對(duì)網(wǎng)絡(luò)的更高要求，防火墻技術(shù)也必須以更加快速的數(shù)據(jù)處理來(lái)滿足顯示要求。目前出現(xiàn)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻都在不同程度上順應(yīng)著這種潮流，這兩種防火墻技術(shù)性能雖然得到了大幅度的提高，但是，它們依然有其不足之處，如基于ASIC的防火墻是使用專門餓硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，但純硬件的ASIC防火墻缺乏可編程性，使得其靈活性大打折扣。而基于網(wǎng)絡(luò)處理器的防火墻雖然屬于基于軟件的解決方案，而且靈活性更強(qiáng)，但其作用的發(fā)揮很大程度上取決于軟件性能的好壞。因此比較理想化的解決方案是增加ASIC芯片的可編程性，使其能夠更好的和軟件想配合，這樣才能同時(shí)滿足運(yùn)行性能和靈活性能的要求。

3.在防火墻的系統(tǒng)管理發(fā)展方面，分布式和分層的安全結(jié)構(gòu)的集中管理方式是未來(lái)的發(fā)展趨勢(shì)，這種集中的管理方式不僅能降低管理成本，而且能在網(wǎng)絡(luò)安全中保證策略的一致性，使得防火墻能夠起到快速響應(yīng)和快速防御的效果。其次，未來(lái)防火墻的系統(tǒng)管理方面將擁有更加強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能，通過(guò)這些方面的加強(qiáng)，能夠更早的發(fā)現(xiàn)潛在的威脅并采取有效地預(yù)防措施，在日常中，通過(guò)其日志分析功能，能夠及早的幫助計(jì)算機(jī)管理員發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞，對(duì)做到早預(yù)防和調(diào)整安全管理策略是必不可少的。最后，網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化也是未來(lái)的發(fā)展的趨勢(shì)，因?yàn)槟壳暗姆阑饓夹g(shù)難以滿足當(dāng)前的網(wǎng)絡(luò)安全要求，通過(guò)建立以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)提供更多的安全保障，使各安全技術(shù)各司其職，從各個(gè)方面防御外來(lái)入侵。

參考文獻(xiàn)

[1]馬東輝.入侵檢測(cè)系統(tǒng)與防火墻在教育網(wǎng)絡(luò)中的互動(dòng)應(yīng)用研究[D].中國(guó)石油大學(xué).2011年

[2]劉波.防火墻穿透技術(shù)的研究與實(shí)現(xiàn)[D].沈陽(yáng)工業(yè)大學(xué).2009年

[3]黃晗輝.防火墻規(guī)則的異常檢測(cè)及優(yōu)化研究[D].重慶大學(xué).2010年

[4]陳文惠.防火墻系統(tǒng)策略配置研究[D].中國(guó)科學(xué)技術(shù)大學(xué).2007年

篇2

關(guān)鍵詞：防火墻；數(shù)據(jù)包；；認(rèn)證

當(dāng)今我們已經(jīng)步入網(wǎng)絡(luò)信息時(shí)代，校園中的教職工和學(xué)生在通過(guò)校園網(wǎng)絡(luò)獲取信息的便利時(shí)，又滋生出了新的網(wǎng)絡(luò)安全問(wèn)題。為了盡量避免資料被丟失、數(shù)據(jù)被篡改、密碼被盜等惡性事件的發(fā)生，在校園網(wǎng)絡(luò)中應(yīng)建立起一套網(wǎng)絡(luò)安全體系，特別是從制度和措施上建立起有自己特色的網(wǎng)絡(luò)安全體系。其中“防火墻”是其必須要考慮的安全保障技術(shù)之一。

防火墻（硬件或軟件）是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

根據(jù)其防范的方式和側(cè)重點(diǎn)的不同，防火墻可分為三大類。

（1）數(shù)據(jù)包過(guò)濾：數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目標(biāo)地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。

數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性和透明性好，它通常安裝在路由器上，路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

（2）應(yīng)用級(jí)網(wǎng)關(guān)：應(yīng)用級(jí)網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過(guò)濾和應(yīng)用級(jí)網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。

（3）服務(wù)：服務(wù)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的鏈接，由兩個(gè)終止服務(wù)器上的鏈接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能達(dá)到服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

根據(jù)以上特點(diǎn)，校園網(wǎng)絡(luò)在設(shè)置防火墻時(shí)應(yīng)當(dāng)從以下幾個(gè)方面著手。

（1）入侵檢測(cè)：具有黑客普通攻擊的實(shí)時(shí)檢測(cè)技術(shù)。實(shí)時(shí)防護(hù)來(lái)自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒絕服務(wù)和許多其它攻擊。并且在檢測(cè)到有攻擊行為時(shí)能通過(guò)電子郵件或其它方式通知系統(tǒng)管理員。

（2）工作模式選擇：目前市面上的防火墻都會(huì)具備三種不同的工作模式，路由模式、NAT模式和透明模式。我們選擇的是透明模式，防火墻過(guò)濾通過(guò)防火墻的封包，而不會(huì)修改數(shù)據(jù)包包頭中的任何源或目的地的信息。所有接口運(yùn)行起來(lái)都像是同一網(wǎng)絡(luò)中的一部分。此時(shí)防火墻的作用更像是Layer2（第二層）交換機(jī)或橋接器。在透明模式下，接口的IP地址被設(shè)置為0.0.0.0, 防火墻對(duì)于用戶來(lái)說(shuō)是可視或透明的。

（3）策略設(shè)置：防火墻可以提供具有單個(gè)進(jìn)入和退出點(diǎn)的網(wǎng)絡(luò)邊界。由于所有信息流都必須通過(guò)此點(diǎn)，因此可以篩選并引導(dǎo)所有通過(guò)執(zhí)行策略組列表產(chǎn)生的信息流。策略能允許、拒絕、加密、認(rèn)證、排定優(yōu)先次序、調(diào)度以及監(jiān)控嘗試從一個(gè)安全段流到另一個(gè)安全段的信息流。可以決定哪些用戶和信息能進(jìn)入和離開以及它們進(jìn)入和離開的時(shí)間和地點(diǎn)。

（4）管理界面：管理一個(gè)防火墻的方法一般來(lái)說(shuō)有兩種：圖形化界面和命令行界面，我們選擇為通過(guò)web方式和java等程序編寫的圖形化界面進(jìn)行遠(yuǎn)程管理。

（5）內(nèi)容過(guò)濾：面對(duì)當(dāng)前互聯(lián)網(wǎng)上的各種有害信息，我們的防火墻還增加了URL阻斷、關(guān)鍵詞檢查、Java Ap-ple、ActiveX和惡意腳本過(guò)濾等。

（6）防火墻的性能考慮：防火墻的性能對(duì)于一個(gè)防火墻來(lái)說(shuō)是至關(guān)重要的，它決定了每秒鐘可能通過(guò)防火墻的最大數(shù)據(jù)流量，以bps為單位，從幾十兆到幾百兆不等。千兆防火墻還會(huì)達(dá)到幾個(gè)G的性能。要充分進(jìn)行性價(jià)比的考慮。

（7）用戶認(rèn)證：要建立完善的用戶認(rèn)證機(jī)制，可以指定內(nèi)部用戶必須經(jīng)過(guò)認(rèn)證，方可訪問(wèn)不可信網(wǎng)絡(luò)。防火墻可以限定只有授權(quán)用戶可以通過(guò)防火墻進(jìn)行一些有限制的活動(dòng)，可以使用內(nèi)建用戶數(shù)據(jù)庫(kù)、外部Raduis數(shù)據(jù)庫(kù)或IP/MAC綁定等多種認(rèn)證方式，對(duì)于內(nèi)部網(wǎng)絡(luò)的安全又多了一層保障。

總之，要做到校園網(wǎng)絡(luò)安全，防火墻技術(shù)是非常重要的網(wǎng)絡(luò)安全屏障之一，但要確保網(wǎng)絡(luò)安全仍必須要從全方位著手，重點(diǎn)還要從管理和安全意識(shí)上下功夫。否則即使技術(shù)上再先進(jìn)，也有可能因?yàn)槿藶榈氖韬龃笠舛斐少Y料丟失、泄密等。

參考文獻(xiàn)：

[1]唐正軍, 李建華. 入侵檢測(cè)技術(shù)[M]. 北京: 清華大學(xué)出版社, 2004.

[2]馬曉春.防火墻技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用研究[D].西安:西北工業(yè)大學(xué)，2005.

篇3

關(guān)鍵詞 防火墻；計(jì)算機(jī)網(wǎng)絡(luò)；應(yīng)用；探討

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）21-0107-01

近年來(lái)，黑客攻擊網(wǎng)站的事情時(shí)有發(fā)生。盡管網(wǎng)絡(luò)給我們帶來(lái)了便利，但因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題而出現(xiàn)的個(gè)人信息泄露、網(wǎng)銀密碼泄露等事件屢見(jiàn)不鮮。為了維護(hù)我們?cè)诰W(wǎng)絡(luò)上應(yīng)享有的正當(dāng)權(quán)益以及保護(hù)我們的個(gè)人信息，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的探討是很有必要的。

1 防火墻技術(shù)的簡(jiǎn)介

防火墻是一種由軟件和硬件結(jié)合起來(lái)而形成的網(wǎng)絡(luò)安全系統(tǒng)。防火墻的主要作用是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一個(gè)篩選的過(guò)程，避免外部網(wǎng)絡(luò)的不安全因素進(jìn)入內(nèi)部網(wǎng)絡(luò)并給內(nèi)部網(wǎng)絡(luò)造成損壞。防火墻的這個(gè)作用能有效避免內(nèi)部網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)的病毒的入侵，使內(nèi)部網(wǎng)絡(luò)的文件丟失或者被盜取給內(nèi)部網(wǎng)絡(luò)用戶帶來(lái)?yè)p失。防火墻除了能將外部網(wǎng)絡(luò)的不安全因素篩選出來(lái)以外，還能使內(nèi)部網(wǎng)絡(luò)的用戶設(shè)置允許訪問(wèn)內(nèi)部網(wǎng)絡(luò)的名單，這一特點(diǎn)給計(jì)算機(jī)的網(wǎng)絡(luò)安全帶來(lái)了很大的保障。內(nèi)部網(wǎng)絡(luò)用戶設(shè)置了內(nèi)部網(wǎng)絡(luò)的訪問(wèn)名單以后，只有有訪問(wèn)權(quán)限的人才能進(jìn)入內(nèi)部網(wǎng)絡(luò)，沒(méi)有訪問(wèn)權(quán)限的人則無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)。防火墻的這個(gè)特性能極大地避免外來(lái)者未經(jīng)用戶允許進(jìn)入內(nèi)部網(wǎng)絡(luò)的情況的發(fā)生。

2 防火墻技術(shù)的類型

防火墻技術(shù)可以有很多種分類的方法，其中包括依據(jù)構(gòu)成防火墻的物質(zhì)的不同來(lái)對(duì)防火墻進(jìn)行分類、依據(jù)防火墻針對(duì)安全問(wèn)題的解決方法來(lái)對(duì)防火墻進(jìn)行分類、依據(jù)防火墻的構(gòu)造來(lái)對(duì)防火墻進(jìn)行分類以及依據(jù)防火墻起作用的地方來(lái)對(duì)防火墻進(jìn)行分類。

2.1 依據(jù)構(gòu)成防火墻的物質(zhì)的不同來(lái)對(duì)防火墻進(jìn)行分類

依據(jù)構(gòu)成防火墻的物質(zhì)的不同來(lái)對(duì)防火墻進(jìn)行分類的話可以把防火墻分為三個(gè)類型。這種分類分出來(lái)的防火墻類型是軟件構(gòu)成的防火墻、硬件構(gòu)成的防火墻以及芯片構(gòu)成的防火墻。

軟件構(gòu)成的防火墻有一定的局限性，只有在指定的計(jì)算機(jī)上，軟件構(gòu)成的防火墻才能工作。如今的計(jì)算機(jī)操作系統(tǒng)非常多，不同的計(jì)算機(jī)操作系統(tǒng)的兼容性也不一樣。就比如在某些操作系統(tǒng)中軟件構(gòu)成的防火墻能工作，但在其他的操作系統(tǒng)中軟件構(gòu)成的防火墻不能工作。因此要想軟件構(gòu)成的防火墻工作，就要選對(duì)能使防火墻適應(yīng)的操作系統(tǒng)。

硬件構(gòu)成的防火墻是以PC作為它的間架結(jié)構(gòu)的。硬件構(gòu)成的防火墻沒(méi)有獨(dú)有的硬件平臺(tái)。在中關(guān)村等電子產(chǎn)品比較豐富的地方，出售的防火墻都是這種類型的硬件構(gòu)成的防火墻。

芯片構(gòu)成的防火墻與硬件構(gòu)成的防火墻相比較最大的特點(diǎn)就是有它自己的獨(dú)立的硬件平臺(tái)，它和軟件構(gòu)成的防火墻相比較而言芯片構(gòu)成的防火墻沒(méi)有軟件構(gòu)成的防火墻所具有的操作系統(tǒng)。但因?yàn)樾酒瑯?gòu)成的防火墻有著獨(dú)特的芯片，因此芯片構(gòu)成的防火墻在所有防火墻種類中的工作速度最快以及解決問(wèn)題的能力要更強(qiáng)。

2.2 依據(jù)防火墻針對(duì)安全問(wèn)題的解決方法來(lái)對(duì)防火墻進(jìn)行分類

依據(jù)防火墻真的安全問(wèn)題的解決方法來(lái)進(jìn)行分類可以把防火墻分為三個(gè)類型。運(yùn)用這種方法進(jìn)行分類所得出來(lái)的防火墻的類型分別是包過(guò)濾類型的防火墻、應(yīng)用以及類型的防火墻和狀態(tài)監(jiān)測(cè)類型的防火墻。

包過(guò)濾類型的防火墻顧名思義就是通過(guò)對(duì)文件進(jìn)行過(guò)濾來(lái)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的的防火墻。它所運(yùn)行的地方是在網(wǎng)絡(luò)層和傳輸層，文件如果通過(guò)了過(guò)濾是安全的就會(huì)被傳輸進(jìn)內(nèi)部網(wǎng)絡(luò)，如果文件沒(méi)有通過(guò)過(guò)濾被檢測(cè)出來(lái)存在安全問(wèn)題，那么，這個(gè)文件就會(huì)被丟棄，不會(huì)讓它進(jìn)入到用戶的內(nèi)部網(wǎng)絡(luò)。

應(yīng)用以及類型的防火墻的運(yùn)行原理是對(duì)不同的應(yīng)用程序?qū)嵭胁煌?，用這種方法來(lái)完成對(duì)外部數(shù)據(jù)傳輸進(jìn)內(nèi)部網(wǎng)絡(luò)的監(jiān)控。

外部網(wǎng)絡(luò)的信息傳入到內(nèi)部網(wǎng)絡(luò)時(shí)會(huì)進(jìn)行分類，狀態(tài)監(jiān)測(cè)類型的防火墻的運(yùn)行原理就是把這些分類以后的信息進(jìn)行調(diào)整，然后根據(jù)不同時(shí)段所分類出來(lái)的信息進(jìn)行一個(gè)總的判斷，最后來(lái)判定能不能讓信息進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

2.3 依據(jù)防火墻的構(gòu)造來(lái)對(duì)防火墻進(jìn)行分類

依據(jù)防火墻的構(gòu)造可以把防火墻分為三個(gè)類型。這三種類型的防火墻分別是只有一個(gè)主機(jī)的防火墻、由集成電路構(gòu)成的防火墻以及分布式防火墻。只有一個(gè)主機(jī)的防火墻是比較老的防火墻，目前大部分防火墻都不只有一個(gè)主機(jī)，其主要原因是因?yàn)樗膬r(jià)格比較昂貴。由集成電路構(gòu)成的防火墻就目前來(lái)說(shuō)是這三種防火墻中應(yīng)用得最多最廣的，它的價(jià)格比只有一個(gè)主機(jī)的防火墻要便宜許多。而分布式防火墻是最新的一種防火墻，它的性能是非常優(yōu)秀的，但因?yàn)樵谌N防火墻中它的價(jià)格最貴，所以在目前應(yīng)用得并不是很廣泛。

2.4 依據(jù)防火墻起作用的地方來(lái)對(duì)防火墻進(jìn)行分類

依據(jù)防火墻起作用的地方來(lái)對(duì)防火墻進(jìn)行分類的話可以將防火墻分為三類，分別是位于網(wǎng)絡(luò)邊界的防火墻、軟件構(gòu)成的防火墻以及分布式的防火墻。

位于網(wǎng)絡(luò)邊界的防火墻工作的地方是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界上，它所工作的原理是通過(guò)把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開來(lái)達(dá)到保護(hù)用戶的內(nèi)部網(wǎng)絡(luò)的目的。位于網(wǎng)絡(luò)邊界的防火墻一般都是由硬件構(gòu)成的防火墻，因此如果要買的話金額是比較多的。

軟件構(gòu)成的防火墻通常都工作于單獨(dú)的內(nèi)部網(wǎng)絡(luò)，只保護(hù)一臺(tái)計(jì)算機(jī)，這種防火墻的購(gòu)買金額是最低的，因此，它的防護(hù)作用也是最差的。

分布式的防火墻在上文已經(jīng)提到過(guò)了，它的構(gòu)建是最復(fù)雜的，它的構(gòu)建既有軟件也有硬件。分布式防火墻不僅可以對(duì)外部網(wǎng)絡(luò)的文件傳輸進(jìn)行篩選，還能對(duì)內(nèi)部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)進(jìn)行過(guò)濾。

3 防火墻的作用

防火墻的作用經(jīng)過(guò)歸納總結(jié)一共有5個(gè)：①過(guò)濾掉不安全的文件；②避免外人在未經(jīng)主人允許的情況下進(jìn)入內(nèi)部網(wǎng)絡(luò)；③禁止用戶訪問(wèn)一些非法的網(wǎng)站；④對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控；⑤避免用戶的文件被非法盜取。

4 小結(jié)

本文簡(jiǎn)要介紹了防火墻的概念涵義以及防火墻的種類，并就防火墻種類的劃分原則進(jìn)行了簡(jiǎn)單介紹，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全勢(shì)必會(huì)成為人們關(guān)注的焦點(diǎn)問(wèn)題，我們必須基于現(xiàn)有的防火墻水平，不斷創(chuàng)新防護(hù)技術(shù)，實(shí)現(xiàn)更好的防護(hù)效果。

參考文獻(xiàn)

[1]林漢祥.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（15）.

[2]白會(huì)民.基于防火墻技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題探討[J].消費(fèi)電子·理論版，2013（2）.

[3]張潤(rùn)秋，張慶敏，張愷.基于防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全防護(hù)的認(rèn)識(shí)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（15）.

篇4

【關(guān)鍵詞】 ISA 防火墻 多重網(wǎng)絡(luò)

ISA firewall technology in the enterprise application of multi-networking

Abstract： With the continuous development of network information technology， enterprise network is facing more and more applications and challenges， and firewall technology is the key to communication and communication between the internal network and the external Internet network. This paper introduces the realization of ISA firewall technology in the complex network environment， analyzes the characteristics and advantages of the technology， and explains its practical significance in the multi network information management.

Key Words：ISA； Firewall； Multi-networking

引言

對(duì)現(xiàn)代企業(yè)而言，互聯(lián)網(wǎng)已成為一個(gè)不可或缺的平臺(tái)，經(jīng)過(guò)幾十年的發(fā)展，Internet已將幾乎所有企業(yè)網(wǎng)絡(luò)直接或間接的聯(lián)接起來(lái)。在這個(gè)無(wú)處不在的網(wǎng)絡(luò)體系中，從使用范圍和安全角度來(lái)劃分，企業(yè)網(wǎng)絡(luò)的應(yīng)用一般可分為內(nèi)部網(wǎng)絡(luò)（Internal network）和外部網(wǎng)絡(luò)（External network）應(yīng)用。通過(guò)防火墻、路由器等軟硬件措施可保障各個(gè)應(yīng)用的安全運(yùn)行和相互聯(lián)系。隨著我國(guó)信息化進(jìn)程的進(jìn)一步加快，企業(yè)網(wǎng)絡(luò)應(yīng)用的環(huán)境也變得日益復(fù)雜、多樣和多變。許多企業(yè)需要通過(guò)Internet連接總公司網(wǎng)絡(luò)、各地分公司網(wǎng)絡(luò)、外地VPN（虛擬專用網(wǎng)絡(luò)）客戶端、DMZ（屏蔽子網(wǎng)絡(luò)）、各種受保護(hù)的專用網(wǎng)絡(luò)（如：電話會(huì)議、視頻會(huì)議網(wǎng)絡(luò)）等，如何將這些網(wǎng)絡(luò)聯(lián)接起來(lái)，并且確保網(wǎng)絡(luò)之間傳送數(shù)據(jù)的安全性，成為各級(jí)企業(yè)網(wǎng)絡(luò)管理人員所要解決的問(wèn)題。也就是說(shuō)，隨著業(yè)務(wù)規(guī)模的日益擴(kuò)大和應(yīng)用需求的不斷增多，原本形式單一的企業(yè)網(wǎng)絡(luò)面臨復(fù)雜多重網(wǎng)絡(luò)環(huán)境的挑戰(zhàn)。

一、多重網(wǎng)絡(luò)環(huán)境中的應(yīng)用需求

天華化工機(jī)械及自動(dòng)化研究設(shè)計(jì)院有限公司（天華院）是中國(guó)化工集團(tuán)公司旗下重要的集科技、研發(fā)、生產(chǎn)制造為一體的企業(yè)。該院的企業(yè)網(wǎng)絡(luò)與Internet的連接原本是由Windows Server2003提供服務(wù)器和防火墻管理，網(wǎng)絡(luò)系統(tǒng)僅滿足于本企業(yè)的Internet/Intranet應(yīng)用需求，提供較單一的內(nèi)網(wǎng)Web、E-mail以及其它網(wǎng)絡(luò)應(yīng)用服務(wù)。該網(wǎng)絡(luò)按照B類私用網(wǎng)絡(luò)編址，在局域網(wǎng)內(nèi)沒(méi)有劃分VLAN，僅按照分屬部門的不同劃分了IP地址段。

2012年起，集團(tuán)公司為逐步整合和加強(qiáng)對(duì)子公司的信息管理，統(tǒng)一規(guī)劃了其下屬企業(yè)的網(wǎng)絡(luò)布局，在全國(guó)各地為各個(gè)分支機(jī)構(gòu)提供SSL VPN接入服務(wù)，子公司、下屬各企業(yè)通過(guò)VPN專線安全的接入化工集團(tuán)內(nèi)部網(wǎng)絡(luò)，訪問(wèn)集團(tuán)的Protal、OA、集團(tuán)郵箱、ERP、視頻會(huì)議等應(yīng)用系統(tǒng)。

從表1可以看出，根據(jù)新的網(wǎng)絡(luò)規(guī)劃，天華院企業(yè)內(nèi)部網(wǎng)絡(luò)需重新劃分為多個(gè)VLAN，以便為規(guī)范管理不同的設(shè)備、應(yīng)用服務(wù)。同時(shí)，由于管理的需要，院區(qū)內(nèi)不同的研究所、設(shè)計(jì)室和部門，甚至同一部門中的不同個(gè)人因?yàn)槁殑?wù)、職責(zé)的不同，也擁有不盡相同的內(nèi)外網(wǎng)（Intranet/Internet）訪問(wèn)權(quán)限和對(duì)各類網(wǎng)絡(luò)應(yīng)用的使用權(quán)限，這些權(quán)限務(wù)必能夠通過(guò)隨時(shí)根據(jù)需要進(jìn)行調(diào)整和變更。為根據(jù)這些原則能夠方便的管理處于企業(yè)園區(qū)內(nèi)不同樓宇、不同物理節(jié)點(diǎn)上的計(jì)算機(jī)及其使用者，必須由服務(wù)器提供管控手段。另外，由于引入視頻會(huì)議的實(shí)際情況，需要同時(shí)引入兩個(gè)不同運(yùn)營(yíng)商的網(wǎng)絡(luò)線路，中國(guó)電信20M帶寬光纜提供基礎(chǔ)的Internet接入服務(wù)，中國(guó)移動(dòng)2M光纜提供專線視頻會(huì)議服務(wù)。整個(gè)網(wǎng)絡(luò)環(huán)境由于應(yīng)用需求的猛增和管理控制的多樣變得愈加復(fù)雜，為網(wǎng)絡(luò)管理部門提出了新的要求和難題。

二、ISA Server的技術(shù)特點(diǎn)

ISA（Internet Security and Acceleration）Server是Microsoft推出的集防火墻、服務(wù)器于一身的服務(wù)器端軟件，它同時(shí)有服務(wù)器（客戶端共享上網(wǎng)）、防火墻（安全連接Internet、安全網(wǎng)絡(luò)內(nèi)各項(xiàng)服務(wù)如Web、FTP、E-mail到Internet上、提供安全的VPN連接）功能。當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet時(shí)，Internet為企業(yè)提供與客戶、合作伙伴和員工連接的機(jī)會(huì)。這種機(jī)會(huì)的存在，同時(shí)也帶來(lái)了與安全、性能和管理性等有關(guān)的風(fēng)險(xiǎn)和問(wèn)題。ISA Server提供了多層企業(yè)防火墻，來(lái)幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問(wèn)。ISA的服務(wù)器中的“緩存”功能是業(yè)界最好、速度最快的，使得企業(yè)網(wǎng)絡(luò)可以通過(guò)從本地提供對(duì)象（而不是通過(guò)擁擠的Internet）來(lái)節(jié)省網(wǎng)絡(luò)帶寬并提高Web訪問(wèn)速度。

ISA Server為各種類型的網(wǎng)絡(luò)提供了高級(jí)保護(hù)、易用性和快速、安全的訪問(wèn)。它尤其適合于保護(hù)需要為不同地域設(shè)置多重防火墻陣列的大型企業(yè)網(wǎng)絡(luò)，通過(guò)狀態(tài)信息包檢測(cè)、應(yīng)用層過(guò)濾、和全面的工具，穿越不同的網(wǎng)絡(luò)層面，保護(hù)您企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)、服務(wù)、和數(shù)據(jù)的安全。相對(duì)于其他防火墻解決方案，Microsoft ISA Server的主要優(yōu)勢(shì)包括了它的高級(jí)應(yīng)用層檢測(cè)和保護(hù)功能，易于使用，提供快速、安全的Internet訪問(wèn)的能力，分布式防火墻集中管理能力，以及易于與目前的防火墻和 VPN 結(jié)構(gòu)集成的功能。

三、ISA 在多重網(wǎng)絡(luò)中的技術(shù)實(shí)現(xiàn)

天華院原有的網(wǎng)絡(luò)系統(tǒng)即是由Windows Server2003提供簡(jiǎn)單Web服務(wù)，由于網(wǎng)絡(luò)結(jié)構(gòu)形式比較簡(jiǎn)單，僅僅使用二層交換設(shè)備。為在多重網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)新的服務(wù)功能，網(wǎng)絡(luò) 升級(jí)改造并引入了ISA Server企業(yè)版防火墻系統(tǒng)，同時(shí)增加三層交換設(shè)備解決網(wǎng)絡(luò)中的子網(wǎng)劃分問(wèn)題。

3.1 防火墻

首先，須將ISA Server設(shè)置為整個(gè)企業(yè)網(wǎng)絡(luò)的防火墻（Perimeter Firewall），增加一個(gè)DMZ網(wǎng)絡(luò)區(qū)域來(lái)專門放置要的服務(wù)器。也就是說(shuō)，在這個(gè)架構(gòu)中，ISA Server通過(guò)三個(gè)接口將三個(gè)網(wǎng)絡(luò)聯(lián)接起來(lái)：內(nèi)部網(wǎng)絡(luò)（Intranet）、互聯(lián)網(wǎng)（Internet）、邊界網(wǎng)絡(luò)（Perimeter network）。其中，邊界網(wǎng)絡(luò)又稱為DMZ（Demilitarized Zone，非軍事區(qū)）或是屏蔽子網(wǎng)絡(luò)（Screened subnet），在這個(gè)區(qū)域?qū)ｉT放一些重要的服務(wù)器。將企業(yè)內(nèi)部的Web、FTP、E-mail CNKI Server等放置在這個(gè)區(qū)域內(nèi)，最重要的作用是這些服務(wù)器不但現(xiàn)在可以服務(wù)于內(nèi)部網(wǎng)絡(luò)，將來(lái)可能要通過(guò)ISA安全的到互聯(lián)網(wǎng)上。

3.2 通過(guò)三層交換實(shí)現(xiàn)VLAN

根據(jù)集團(tuán)公司對(duì)企業(yè)網(wǎng)絡(luò)統(tǒng)一規(guī)劃要求和對(duì)子網(wǎng)分配方案，天華院的企業(yè)網(wǎng)絡(luò)需要重新劃分為多個(gè)VLAN。原有的二層交換機(jī)屬數(shù)據(jù)鏈路層設(shè)備，可以識(shí)別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā)，并將這些MAC地址與對(duì)應(yīng)的端口記錄在自己內(nèi)部的一個(gè)地址表中。盡管基于MAC地址的VLAN能夠在二層交換機(jī)上實(shí)現(xiàn)，但這種方法通常所以這種劃分方法通常適用于小型局域網(wǎng)。是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果網(wǎng)絡(luò)日趨擴(kuò)大，用戶日益增多，配置工作是非常累的，而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶的MAC地址，查詢起來(lái)相當(dāng)不容易。因此，有必要引入新的三層交換設(shè)備。三層交換機(jī)就是具有部分路由器功能的交換機(jī)，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，所具有的路由功能也是為這目的服務(wù)的，三層交換技術(shù)就是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。在三層交換中可以采用基于端口的VLAN，這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。對(duì)于不同部門需要互訪時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過(guò)濾。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的VLAN組即可，適合于任何大小的網(wǎng)絡(luò)。

為在資源優(yōu)化的前提下劃分VLAN，天華院的網(wǎng)絡(luò)設(shè)備采用二、三層交換設(shè)備混搭的模式來(lái)實(shí)現(xiàn)。將一臺(tái)三層交換機(jī)作為中心交換設(shè)備，院區(qū)內(nèi)其它研究所、設(shè)計(jì)室、部門根據(jù)原有物理位置、工作職責(zé)分配和連接方式的不同劃分為多個(gè)VLAN。

3.3 路由、網(wǎng)絡(luò)規(guī)則

篇5

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用探究

當(dāng)前，隨著社會(huì)的進(jìn)步和科學(xué)的發(fā)展，以互聯(lián)網(wǎng)為代表的先進(jìn)技術(shù)逐漸深入人們的工作和生活，并帶來(lái)了巨大的便利。而互聯(lián)網(wǎng)技術(shù)作為一把“雙刃劍”，其網(wǎng)絡(luò)安全問(wèn)題也時(shí)刻威脅著人們的生產(chǎn)生活，盡管其影響力大、破壞性強(qiáng)，但在入侵過(guò)程中卻往往難以被人察覺(jué)。從本質(zhì)來(lái)說(shuō)，網(wǎng)絡(luò)安全能夠通過(guò)訪問(wèn)控制和通信安全兩種服務(wù)來(lái)保障自身安全，而防火墻是網(wǎng)絡(luò)入口的首要防線，這種服務(wù)要達(dá)到最佳效果，需要防火墻技術(shù)與加密技術(shù)聯(lián)合防護(hù)。實(shí)踐證明，防火墻技術(shù)的網(wǎng)絡(luò)防御效果顯著，并且能夠廣泛用于各個(gè)領(lǐng)域，有效保障網(wǎng)絡(luò)安全。隨著科學(xué)的發(fā)展，防火墻技術(shù)也會(huì)不斷進(jìn)步與發(fā)展，實(shí)時(shí)保障用戶的網(wǎng)絡(luò)安全。

1概述

1．1基本概念

所謂防火墻，就其概念而言來(lái)源于建筑學(xué)，意指防止火災(zāi)從建筑物燃燒至另一建筑物的阻礙物，而網(wǎng)絡(luò)上防火墻意指防止網(wǎng)絡(luò)入侵的阻擋技術(shù)。有些工程師將防火墻定義為：計(jì)算機(jī)系統(tǒng)中所有通信無(wú)論是由內(nèi)部到外部或是外部到內(nèi)部都必須經(jīng)過(guò)的，并且只有內(nèi)部訪問(wèn)權(quán)的通信方允許通過(guò)的技術(shù)。實(shí)質(zhì)上，防火墻即為一種隔離控制技術(shù)，以增強(qiáng)系統(tǒng)內(nèi)部網(wǎng)絡(luò)的可靠性，保障用戶安全為目的。

1．2基本功能

作為保障用戶網(wǎng)絡(luò)安全的重要技術(shù)，防火墻主要有以下基本功能：（1）防止用戶內(nèi)部信息的泄露。使用防火墻技術(shù)能夠?qū)⒂?jì)算機(jī)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，隔離重點(diǎn)網(wǎng)，以防出現(xiàn)局部網(wǎng)不安全造成全局網(wǎng)不安全的現(xiàn)象。此外，防火墻技術(shù)通過(guò)對(duì)進(jìn)入系統(tǒng)的用戶身份進(jìn)行嚴(yán)格驗(yàn)證，對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)技術(shù)加密，能夠有效防止入侵者竊取用戶數(shù)據(jù)信息。（2）增強(qiáng)網(wǎng)絡(luò)安全策略。防火墻能夠利用其執(zhí)行站點(diǎn)的安全模式把保障系統(tǒng)安全的相應(yīng)指令、加密等軟件與防火墻連接在一起，與傳統(tǒng)防護(hù)模式中各個(gè)系統(tǒng)主機(jī)共同處理網(wǎng)絡(luò)安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網(wǎng)絡(luò)安全。主要表現(xiàn)在防火墻可以阻止不安全的進(jìn)程，減小入侵風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全。此外，防火墻還能拒絕部分來(lái)自路由的攻擊，并報(bào)告給網(wǎng)絡(luò)管理員，以盡可能減少對(duì)其他用戶造成麻煩的情況。（4）網(wǎng)絡(luò)存取及訪問(wèn)監(jiān)控審計(jì)。防火墻能有效記錄網(wǎng)絡(luò)活動(dòng)并對(duì)可疑動(dòng)作提供報(bào)警功能。為管理員提供誰(shuí)在訪問(wèn)網(wǎng)絡(luò)、在網(wǎng)絡(luò)上做什么等信息，當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

2防火墻的分類

2.1電路級(jí)網(wǎng)關(guān)防火墻

電路級(jí)網(wǎng)關(guān)防火墻是目前較為常見(jiàn)的一種防火墻，其本質(zhì)是一個(gè)用于監(jiān)控客戶機(jī)或服務(wù)器的通用服務(wù)器，它主要通過(guò)作用于OSI互聯(lián)網(wǎng)模型中的會(huì)話層或者TCP協(xié)議的TCP層來(lái)實(shí)現(xiàn)其功用。這種防火墻技術(shù)雖然也可應(yīng)用于多個(gè)協(xié)議，但缺陷在于對(duì)同一協(xié)議棧運(yùn)行的不同應(yīng)用無(wú)法及時(shí)識(shí)別，因此此類防火墻也就不用設(shè)置相應(yīng)模塊來(lái)應(yīng)對(duì)不同的應(yīng)用。在實(shí)際工作中，電路級(jí)網(wǎng)關(guān)防火墻的服務(wù)器會(huì)對(duì)客戶端進(jìn)行部分修改，當(dāng)客戶端發(fā)送相應(yīng)的請(qǐng)求，服務(wù)器便對(duì)請(qǐng)求進(jìn)行接收，并客戶端完成網(wǎng)絡(luò)的連接工作?？梢钥闯?，此類防火墻能夠?qū)⒕W(wǎng)絡(luò)信息進(jìn)行隱藏，保障信息安全。

2.2應(yīng)用級(jí)網(wǎng)關(guān)防火墻

應(yīng)用級(jí)網(wǎng)關(guān)防火墻是一種應(yīng)用服務(wù)器，主要在內(nèi)、外部網(wǎng)絡(luò)在進(jìn)行網(wǎng)絡(luò)交換申請(qǐng)服務(wù)時(shí)起連接的功能，其工作方式如下：（1）驗(yàn)證用戶是否符合進(jìn)入條件，如若驗(yàn)證成功，則將用戶請(qǐng)求發(fā)送到內(nèi)部網(wǎng)絡(luò)的主機(jī)，此時(shí)也會(huì)對(duì)用戶進(jìn)行的操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)；若發(fā)現(xiàn)危險(xiǎn)或疑似危險(xiǎn)則阻斷訪問(wèn)。（2）當(dāng)用戶是由內(nèi)部網(wǎng)絡(luò)申請(qǐng)連接外部網(wǎng)絡(luò)時(shí)，防火墻工作模式會(huì)先對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)送的請(qǐng)求進(jìn)行接收和檢查，若合乎要求，防火墻將請(qǐng)求發(fā)送至外部網(wǎng)絡(luò)。由此看出，這兩種工作的工作方式恰好相反。應(yīng)用級(jí)網(wǎng)關(guān)防火墻的優(yōu)勢(shì)在于方便配置、工作環(huán)境良好，它在內(nèi)外網(wǎng)主機(jī)之間起連接作用，而不允許其直接連接，能夠有效保障使用過(guò)程中的安全性。此外，這種服務(wù)器還能夠?qū)τ脩舻牟僮饔涗浀酶釉敱M。

2.3靜態(tài)包過(guò)濾防火墻

靜態(tài)包過(guò)濾防火墻作用于網(wǎng)格層，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行全面分析，再根據(jù)相應(yīng)安全策略對(duì)信息過(guò)濾，其篩選Internet防火墻路由器內(nèi)部網(wǎng)…堡壘主機(jī)原則是以所監(jiān)測(cè)到的數(shù)據(jù)包的初始信息為基礎(chǔ)，允許授權(quán)信息進(jìn)出，限制危險(xiǎn)信息進(jìn)出。當(dāng)前，路由器被廣泛用于網(wǎng)絡(luò)的信息傳輸，連接在內(nèi)、外部網(wǎng)路之間，因此是影響網(wǎng)絡(luò)安全的重要因素之一。而包過(guò)濾型防火墻就是一種專門對(duì)路由器產(chǎn)生作用的技術(shù)，因此從某種意義上說(shuō)靜態(tài)包過(guò)濾防火墻也是一種包過(guò)濾路由器。靜態(tài)包過(guò)濾防火墻的優(yōu)勢(shì)在于簡(jiǎn)單實(shí)用，運(yùn)行速度快，且透明性較高。這種防火墻技術(shù)的工作運(yùn)用同應(yīng)用層沒(méi)有關(guān)系，這就意味著不用對(duì)用戶主機(jī)的應(yīng)用程序進(jìn)行修改，配置和使用都顯得較為方便。它的缺點(diǎn)在于這種防火墻需要對(duì)TCL、IP等相應(yīng)協(xié)議有較深的認(rèn)識(shí)；另外這種防火墻技術(shù)不能夠?qū)τ脩舻牟僮鬟M(jìn)行鑒別。

2.4狀態(tài)監(jiān)測(cè)型防火墻

狀態(tài)監(jiān)測(cè)型防火墻的作用機(jī)制在于使用了在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎來(lái)實(shí)現(xiàn)其作用和功能。這種防火墻工作在網(wǎng)絡(luò)層與鏈路層之間，可以對(duì)網(wǎng)絡(luò)通信進(jìn)行跟蹤監(jiān)測(cè)，并對(duì)相關(guān)狀態(tài)信息進(jìn)行提?。淮送?，狀態(tài)型監(jiān)測(cè)防火墻還能對(duì)動(dòng)態(tài)鏈接表中的狀態(tài)和信息進(jìn)行儲(chǔ)存，并及時(shí)更新，通過(guò)信息積累不斷為下面的通信檢查提供數(shù)據(jù)支撐。狀態(tài)監(jiān)測(cè)型防火墻的另一大優(yōu)勢(shì)在于可以為類似NFS的基于端口動(dòng)態(tài)分配協(xié)議的應(yīng)用提供技術(shù)支持和類似DNS的無(wú)連接的協(xié)議提供應(yīng)用支撐，相對(duì)而言，型網(wǎng)關(guān)防護(hù)墻和靜態(tài)包過(guò)濾型防火墻則不能支持以上應(yīng)用。綜上所述，狀態(tài)型防火墻能夠有效減少端口開放時(shí)間，并提供相應(yīng)服務(wù)支撐。它的缺點(diǎn)在于會(huì)默許內(nèi)部主機(jī)與外部網(wǎng)絡(luò)不通過(guò)第三方直接連接，對(duì)部分網(wǎng)絡(luò)安全隱患難以起到防護(hù)作用；此外，狀態(tài)監(jiān)測(cè)型防火墻不能夠?qū)τ脩舨僮鬟M(jìn)行鑒別。

3防火墻在網(wǎng)絡(luò)安全訪問(wèn)控制中的應(yīng)用

3.1雙宿主主機(jī)模式

雙宿主主機(jī)模式是通過(guò)主機(jī)的使用來(lái)實(shí)現(xiàn)的，這臺(tái)主機(jī)擁有用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個(gè)接口。防火墻將雙宿主網(wǎng)關(guān)置于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，以阻斷IP層之間的數(shù)據(jù)傳輸。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的主機(jī)不能夠直接進(jìn)行通信，它們都只能與網(wǎng)關(guān)進(jìn)行通信，而內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信需要利用應(yīng)用層的數(shù)據(jù)共享或服務(wù)達(dá)成。

3.2屏蔽主機(jī)模式

屏蔽主機(jī)防火墻主要由堡壘主機(jī)和過(guò)濾路由器兩部分組成，其中堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，過(guò)濾器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。堡壘主機(jī)作為連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的唯一通道，使得外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都只能連接到堡壘主機(jī)，當(dāng)內(nèi)部網(wǎng)絡(luò)有通信需求時(shí)，必須先到堡壘主機(jī)，堡壘主機(jī)再進(jìn)行判斷，并決定是否允許連接到外部網(wǎng)絡(luò)。因此，入侵者要想實(shí)現(xiàn)對(duì)用戶電腦的入侵，必須首先將主機(jī)攻克，方能到達(dá)內(nèi)部網(wǎng)絡(luò)，主機(jī)結(jié)構(gòu)如圖1所示。

3．3屏蔽子網(wǎng)模式

屏蔽子網(wǎng)包括堡壘主機(jī)以及兩個(gè)包過(guò)濾器等部分，其內(nèi)、外部網(wǎng)絡(luò)主機(jī)間設(shè)置具有隔離功能的子網(wǎng)，以形成隔離區(qū)，設(shè)置屏蔽子網(wǎng)的作用在于防止MAIL、Web服務(wù)器等公共服務(wù)直接通過(guò)內(nèi)外部網(wǎng)絡(luò)。通常情況下，內(nèi)、外部網(wǎng)絡(luò)都能夠訪問(wèn)屏蔽子網(wǎng)，而不允許穿過(guò)子網(wǎng)進(jìn)行通信，這種配置使得當(dāng)堡壘主機(jī)被攻克時(shí)，內(nèi)部網(wǎng)絡(luò)仍然可以受到來(lái)自包過(guò)濾路由器的保護(hù)。這種屏蔽子網(wǎng)防火墻的最大好處在于為計(jì)算機(jī)多提供一層防護(hù)，因?yàn)楸仨毠タ藘蓚€(gè)路由器和一個(gè)網(wǎng)關(guān)才能成功入侵。

4防火墻未來(lái)發(fā)展趨勢(shì)與展望

防火墻技術(shù)作為保障網(wǎng)絡(luò)安全的重要舉措之一，未來(lái)必將得到發(fā)展和更新。筆者認(rèn)為未來(lái)的防火墻技術(shù)將朝著多元化、智能化、高速化方向發(fā)展，可全面保障用戶信息、應(yīng)用程序與操作過(guò)程的安全，且會(huì)具有如下新的優(yōu)點(diǎn)：（1）高速性?，F(xiàn)階段，防火墻的運(yùn)行速度不夠快的問(wèn)題突出，而隨著科學(xué)技術(shù)的發(fā)展，防火墻將會(huì)更多與芯片技術(shù)相融合，利用芯片提升計(jì)算的速度和精度，最終成為以芯片技術(shù)為主的全硬件型網(wǎng)關(guān)，大幅度提升網(wǎng)絡(luò)安全。（2）智能化?，F(xiàn)階段，網(wǎng)絡(luò)安全威脅主要包括病毒傳播、網(wǎng)絡(luò)攻擊、內(nèi)容控制，其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對(duì)這些形式的威脅似乎沒(méi)有明顯效果，因此未來(lái)的防火墻技術(shù)一定是朝智能化方向發(fā)展的。（3）多元化。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，多種網(wǎng)絡(luò)模式已被運(yùn)用，未來(lái)的防火墻將會(huì)形成一種可隨意伸縮的模塊化解決方案，為不同網(wǎng)絡(luò)設(shè)置不同技術(shù)的防火墻，為用戶提供多元化的保障。

5結(jié)語(yǔ)

隨著人們對(duì)網(wǎng)絡(luò)技術(shù)的運(yùn)用越來(lái)越多，依賴性越來(lái)越強(qiáng)，人們對(duì)網(wǎng)絡(luò)安全也越加重視。實(shí)踐表明，防火墻在保障網(wǎng)絡(luò)安全方面成效顯著。為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)安全威脅，防火墻技術(shù)需要不斷地更新和發(fā)展，在保障網(wǎng)絡(luò)安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網(wǎng)絡(luò)安全，采用先進(jìn)技術(shù)，才能形成全方位的防御體系，保護(hù)人們的信息資源。

作者:張林 單位:中國(guó)航空動(dòng)力機(jī)械研究所

參考文獻(xiàn)

篇6

關(guān)鍵詞：網(wǎng)絡(luò)；防火墻；過(guò)濾；網(wǎng)絡(luò)安全；應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）30-7199-02

網(wǎng)絡(luò)技術(shù)的不斷更新，特別是互聯(lián)網(wǎng)絡(luò)的覆蓋，給人們的工作和生活都帶來(lái)前所未有的沖擊，在享受網(wǎng)絡(luò)帶給人民的便捷的同時(shí)，威脅網(wǎng)絡(luò)安全的各種病毒軟件正給整個(gè)網(wǎng)絡(luò)系統(tǒng)提出了新的挑戰(zhàn)。信息是有價(jià)值的，如何確保網(wǎng)絡(luò)信息的安全性，網(wǎng)絡(luò)防火墻的應(yīng)用，正是為了有效規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)的攻擊，為網(wǎng)絡(luò)用戶以及整個(gè)互聯(lián)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行提供了保障。本文結(jié)合網(wǎng)絡(luò)防火墻的工作原理，通過(guò)對(duì)其技術(shù)領(lǐng)域的分析和探討，來(lái)提高對(duì)網(wǎng)絡(luò)防火墻的應(yīng)用。

1 對(duì)網(wǎng)絡(luò)防火墻的定義

網(wǎng)絡(luò)防火墻作為確保網(wǎng)絡(luò)安全運(yùn)行的重要設(shè)備和功能，正在被越來(lái)越多網(wǎng)絡(luò)管理者所關(guān)注，作為第一道安全防線，網(wǎng)絡(luò)防火墻通過(guò)對(duì)來(lái)自公網(wǎng)和內(nèi)網(wǎng)的各類訪問(wèn)請(qǐng)求進(jìn)行有效分類和組織，通過(guò)過(guò)濾、、地址遷移等方式來(lái)最大限度的阻止網(wǎng)絡(luò)中的非法入侵和攻擊，確保網(wǎng)絡(luò)系統(tǒng)和各類信息資源、數(shù)據(jù)的安全。同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)防火墻進(jìn)行安全策略管理，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)出入口的信息流的有效控制，不僅能為企業(yè)的網(wǎng)絡(luò)系統(tǒng)提供安全保障，同時(shí)也對(duì)來(lái)自外網(wǎng)的訪問(wèn)進(jìn)行篩選和甄別，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行的有效監(jiān)控和防范。

網(wǎng)絡(luò)防火墻不同于建筑中的隔離墻，它是從網(wǎng)絡(luò)管理的理論中引申出來(lái)的確保網(wǎng)絡(luò)安全的防護(hù)軟硬件系統(tǒng)。從管理邏輯上說(shuō)，網(wǎng)絡(luò)防火墻主要有分析模塊，對(duì)風(fēng)險(xiǎn)的分離模塊，以及對(duì)服務(wù)的限制模塊，從工作本質(zhì)上講，網(wǎng)絡(luò)防火墻作為保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息安全的保護(hù)裝置，主要是通過(guò)對(duì)來(lái)自網(wǎng)內(nèi)、外的訪問(wèn)請(qǐng)求進(jìn)行安全監(jiān)測(cè)和審核，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)間的各類請(qǐng)求進(jìn)行有效控制的訪問(wèn)機(jī)制，換句話說(shuō)，網(wǎng)絡(luò)防火墻就像是一道門檻，對(duì)門內(nèi)、外兩個(gè)方向的信息進(jìn)行控制，當(dāng)有非法的請(qǐng)求出現(xiàn)時(shí)，將此進(jìn)行隔離并清除，當(dāng)有正常訪問(wèn)請(qǐng)求出現(xiàn)時(shí)，確保正常訪問(wèn)的運(yùn)行。

2 網(wǎng)絡(luò)防火墻的功能

網(wǎng)絡(luò)防火墻通過(guò)設(shè)置好的訪問(wèn)規(guī)章和機(jī)制，來(lái)監(jiān)控通過(guò)網(wǎng)絡(luò)防火墻的數(shù)據(jù)流，對(duì)于非法的、試圖惡意闖入的訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)和跟蹤，以便于對(duì)其進(jìn)行隔離和清除。為此，網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)管理中的作用主要表現(xiàn)在以下幾點(diǎn)。

1）網(wǎng)絡(luò)防火墻是促進(jìn)網(wǎng)絡(luò)安全的屏障

在對(duì)網(wǎng)絡(luò)防火墻進(jìn)行相應(yīng)的安全設(shè)置后，比如通過(guò)對(duì)NFS協(xié)議進(jìn)行禁止，可以防范非法用戶通過(guò)此協(xié)議來(lái)攻擊網(wǎng)絡(luò)安全，同時(shí)，通過(guò)對(duì)網(wǎng)絡(luò)路由中的源路由攻擊和ICMP重定向進(jìn)行設(shè)置，也可以加以防范此類攻擊。

2）優(yōu)化網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)防火墻的防范功能是與網(wǎng)絡(luò)安全策略相一致的，通過(guò)對(duì)網(wǎng)絡(luò)防火墻進(jìn)行有效的設(shè)置，如對(duì)口令、密碼、驗(yàn)證等信息進(jìn)行配置，可以實(shí)現(xiàn)對(duì)來(lái)自網(wǎng)內(nèi)外的訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一的管理。

3）加強(qiáng)對(duì)訪問(wèn)和存取操作的有效監(jiān)控和審核

網(wǎng)絡(luò)防火墻通過(guò)對(duì)來(lái)自網(wǎng)絡(luò)的各類訪問(wèn)進(jìn)行記錄并給出統(tǒng)計(jì)信息，當(dāng)發(fā)生網(wǎng)絡(luò)異常時(shí)，網(wǎng)絡(luò)防火墻可以提供向的監(jiān)測(cè)數(shù)據(jù)，通過(guò)對(duì)其進(jìn)行分辨和分析，對(duì)一些網(wǎng)絡(luò)的使用情況以及異常請(qǐng)求進(jìn)行有效的探測(cè)，為此，不僅能夠通過(guò)相應(yīng)的檢測(cè)信息，也能對(duì)網(wǎng)絡(luò)的使用需求或受到的威脅進(jìn)行有效防范。

4）預(yù)防內(nèi)部信息被盜

網(wǎng)絡(luò)防火墻不僅能夠有效防范外部的攻擊，也能對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的劃分，從而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)送的威脅進(jìn)行隔離，避免其對(duì)整個(gè)網(wǎng)絡(luò)造成的影響。

3 網(wǎng)絡(luò)防火墻的分類應(yīng)用

根據(jù)網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)管理中的功能不同，往往采用不同的防范機(jī)制，主要有。

1）從網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過(guò)濾

在現(xiàn)代網(wǎng)絡(luò)系統(tǒng)通信過(guò)程中，基于網(wǎng)絡(luò)層的防火墻主要是通過(guò)對(duì)數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢測(cè)來(lái)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制目的。根據(jù)系統(tǒng)管理員對(duì)網(wǎng)絡(luò)管理的需要，對(duì)通過(guò)路由器的所有數(shù)據(jù)包，進(jìn)行按事先設(shè)定的包過(guò)濾規(guī)則，從數(shù)據(jù)包的源地址，以及目標(biāo)地址等進(jìn)行檢測(cè)和判斷，通過(guò)一定的規(guī)則將其發(fā)送至不同的網(wǎng)路上，當(dāng)所有的包都到達(dá)目的地時(shí)，再通過(guò)一定包合并規(guī)則實(shí)現(xiàn)數(shù)據(jù)包的組裝，從而完成信息的有效傳輸。

2）通過(guò)服務(wù)來(lái)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的規(guī)避

通常所說(shuō)的是就對(duì)來(lái)自網(wǎng)絡(luò)的請(qǐng)求通過(guò)服務(wù)器來(lái)實(shí)現(xiàn)信息的傳輸。比如來(lái)自網(wǎng)內(nèi)的用戶發(fā)出服務(wù)請(qǐng)求，首先經(jīng)由服務(wù)器的判斷，合法的請(qǐng)求可以通過(guò)服務(wù)器再將請(qǐng)求連接至應(yīng)用服務(wù)器，應(yīng)用服務(wù)器將相應(yīng)傳遞給服務(wù)器，服務(wù)器再將相應(yīng)發(fā)送給網(wǎng)絡(luò)請(qǐng)求。于是，服務(wù)器在實(shí)現(xiàn)網(wǎng)絡(luò)通信的過(guò)程中，充當(dāng)了中介的作用。

3）通過(guò)地址遷移的方式來(lái)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制

在企業(yè)網(wǎng)內(nèi)部使用的IP地址，通常稱為虛擬地址或本地地址，在與外網(wǎng)進(jìn)行交互的時(shí)候，需要通過(guò)NAT路由器來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)IP地址的映射，從而實(shí)現(xiàn)了數(shù)據(jù)包的跨網(wǎng)傳輸?shù)男枰Ｔ谶@種地址遷移機(jī)制下，既有分組過(guò)濾的功能，又有應(yīng)用的設(shè)計(jì)思路，通過(guò)NAT路由器來(lái)實(shí)現(xiàn)了對(duì)請(qǐng)求的內(nèi)外網(wǎng)之間的數(shù)據(jù)服務(wù)。

4 結(jié)束語(yǔ)

總之，在網(wǎng)絡(luò)環(huán)境下，防火墻是確保網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵設(shè)備，通過(guò)對(duì)網(wǎng)絡(luò)防火墻的有效設(shè)置，充分發(fā)揮各類防火墻的防范優(yōu)勢(shì)，針對(duì)不同的企業(yè)應(yīng)用，從而實(shí)現(xiàn)最有效的網(wǎng)絡(luò)配置，為信息安全保駕護(hù)航。

參考文獻(xiàn)：

篇7

計(jì)算機(jī)病毒；防范；蠕蟲病毒；性能優(yōu)化

1.計(jì)算機(jī)病毒特性

計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：

寄生性：計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。

傳染性：計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。

潛伏性：有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。

隱蔽性：計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常，這類病毒處理起來(lái)通常很困難。

2.計(jì)算機(jī)病毒的表現(xiàn)形式

計(jì)算機(jī)受到病毒感染后，會(huì)表現(xiàn)出不同的癥狀，下邊把一些經(jīng)常碰到的現(xiàn)象列出來(lái)，供用戶參考。

機(jī)器不能正常啟動(dòng)：加電后機(jī)器根本不能啟動(dòng)，或者可以啟動(dòng)，但所需要的時(shí)間比原來(lái)的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。

運(yùn)行速度降低：如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí)，讀取數(shù)據(jù)的時(shí)間比原來(lái)長(zhǎng)，存文件或調(diào)文件的時(shí)間都增加了，那就可能是由于病毒造成的。

磁盤空間迅速變?。河捎诓《境绦蛞M(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。

文件內(nèi)容和長(zhǎng)度有所改變：一個(gè)文件存入磁盤后，本來(lái)它的長(zhǎng)度和其內(nèi)容都不會(huì)改變，可是由于病毒的干擾，文件長(zhǎng)度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無(wú)法顯示或顯示后又消失了。

經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象：正常的操作是不會(huì)造成死機(jī)現(xiàn)象的，即使是初學(xué)者，命令輸入不對(duì)也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī)，那可能是由于系統(tǒng)被病毒感染了。

外部設(shè)備工作異常：外部設(shè)備受系統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗(yàn)說(shuō)不清道不明的現(xiàn)象。

3.計(jì)算機(jī)病毒硬件防火墻

A.防火墻基礎(chǔ)原理

防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、服務(wù)。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)，并介紹一些防火墻的主流產(chǎn)品。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。

包過(guò)濾防火墻：包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)，用以過(guò)濾用戶定義的內(nèi)容，如IP地址。包過(guò)濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過(guò)濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知，也就是說(shuō)，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

應(yīng)用網(wǎng)關(guān)防火墻：應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。

狀態(tài)檢測(cè)防火墻：狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。

復(fù)合型防火墻：復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。

B.防火墻的初始配置

在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過(guò)程中需堅(jiān)持簡(jiǎn)單實(shí)用、全面深入、內(nèi)外兼顧的原則，從根本上對(duì)入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺等形成聯(lián)動(dòng)機(jī)制。

防火墻的具體配置步驟如下：

將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上。

打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。

運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在"附件"程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。

當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall>”的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。

輸入命令：enable，進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。

輸入命令：configure terminal，進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。

首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）。

Interface ethernet0 auto # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，“auto”選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interface ethernet1 auto

配置防火墻內(nèi)、外部網(wǎng)卡的IP地址。

IP address inside ip_address netmask# Inside代表內(nèi)部網(wǎng)卡

IP address outside ip_address netmask# outside代表外部網(wǎng)卡

指定外部網(wǎng)卡的IP地址范圍：global 1 ip_address-ip_address

指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址：nat 1 ip_address netmask

配置某些控制選項(xiàng)：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問(wèn)的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。

配置保存：wr memo

退出當(dāng)前模式：此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。

查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。

查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。

查看靜態(tài)地址映射：show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。

病毒防殺是信息安全的一個(gè)重要的組成部分，是保證信息安全無(wú)誤傳送的重要前提，本文較全面地介紹了各種計(jì)算機(jī)病毒的基本原理、常用技術(shù)，以及對(duì)抗計(jì)算機(jī)病毒的策略、方法與技術(shù)。內(nèi)容由淺入深、由易到難，注重理論聯(lián)系實(shí)際，在介紹原理的同時(shí)，盡量給出實(shí)例分析，以期增加手工分析、查殺病毒的經(jīng)驗(yàn)與能力。

篇8

關(guān)鍵詞：分布式防火墻；體系結(jié)構(gòu)；原理；應(yīng)用

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 09-0000-01

The Research and Implementation of Distributed Firewall

Zhang Jintao

(The College of Science and Technology of Guizhou University,Guiyang550004,China)

Abstract:Distributed in the traditional firewall,the firewall is based on the evolved,it plays an important role in network security.In this paper,the traditional firewall and distributed firewalls were introduced,and then distributed firewall architecture and working principle are described,on the basis of research and analysis of distributed firewall,application and implementation.

Keywords:Distributed firewall;Architecture;Principle;Application

一、防火墻的概念

（一）傳統(tǒng)防火墻。傳統(tǒng)的防火墻又叫邊界防火墻，是在內(nèi)部網(wǎng)和外部網(wǎng)之間搭建的一種屏障，它可以有效的實(shí)現(xiàn)內(nèi)外網(wǎng)之間的存取，同時(shí)它也是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一的一個(gè)出入口。傳統(tǒng)的防火墻技術(shù)主要有包過(guò)濾技術(shù)和服務(wù)器技術(shù)這兩種。其中，包過(guò)濾技術(shù)是通過(guò)路由器將通過(guò)它的兩個(gè)接口之間的IP進(jìn)行過(guò)濾，并對(duì)數(shù)據(jù)流中的每個(gè)數(shù)據(jù)進(jìn)行檢查，防止不安全的數(shù)據(jù)通過(guò)，從而實(shí)現(xiàn)了網(wǎng)絡(luò)的安全；帶來(lái)服務(wù)器技術(shù)主要是通過(guò)主機(jī)運(yùn)行服務(wù)程序，即應(yīng)用防火墻技術(shù)，它首先接受外來(lái)的連接請(qǐng)求，然后進(jìn)行安全檢查，再確保安全狀態(tài)之后，再實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)器的安全連接，另外，服務(wù)器還可以通過(guò)用戶認(rèn)證、日志和信息跟蹤等方式來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全流通。

（二）分布式防火墻。分布式防火墻是用于內(nèi)部網(wǎng)和外部網(wǎng)之間的，或者內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)產(chǎn)品。它最初是由美國(guó)AT&T的試驗(yàn)研究員提出來(lái)的，分布式防火墻有狹義和廣義之分，它是對(duì)主機(jī)系統(tǒng)提供安全防護(hù)的軟件。與傳統(tǒng)的防火墻技術(shù)相比，分布式防火墻技術(shù)更多一層安全保護(hù)層，它是對(duì)傳統(tǒng)防火墻技術(shù)的完善和發(fā)展。主機(jī)防火墻主要是負(fù)責(zé)安全策略的實(shí)施，對(duì)網(wǎng)絡(luò)的服務(wù)器和桌面進(jìn)行保護(hù)。

二、分布式防火墻的研究

（一）分布式防火墻的體系結(jié)構(gòu)。研究分布式防火墻的體系結(jié)構(gòu)，主要從以下幾點(diǎn)來(lái)分析：1.網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻是用于內(nèi)外部網(wǎng)絡(luò)之間的防護(hù)產(chǎn)品，它比傳統(tǒng)的防火墻更多一層防護(hù)，是網(wǎng)絡(luò)顯得更加安全可靠。2.主機(jī)防火墻。主機(jī)防火墻主要是針對(duì)主機(jī)，負(fù)責(zé)安全策略的實(shí)施，這種防火墻即可出現(xiàn)在內(nèi)部網(wǎng)絡(luò)中，也可以出現(xiàn)在外部網(wǎng)絡(luò)中。3.中心管理。分布式防火墻的中心管理是其安全檢測(cè)機(jī)制的一個(gè)重要組成部分，其安全策略是同一策劃和管理的，它必須根據(jù)不同的安全性要求來(lái)設(shè)置其在網(wǎng)絡(luò)中的任何位置，它是分布式防火墻最重要的一個(gè)部分。

（二）主機(jī)防火墻。主機(jī)防火墻主要包括：主機(jī)駐留、嵌入操作系統(tǒng)內(nèi)核、類似于個(gè)人防火墻這三種。

主機(jī)駐留是針對(duì)主機(jī)上運(yùn)行的具體應(yīng)用情況及對(duì)外提出具體服務(wù)而設(shè)置的一種安全策略。

嵌入操作系統(tǒng)內(nèi)核是主機(jī)防火墻安全運(yùn)行的一種形態(tài)，由于操作系統(tǒng)本身存在著一些安全問(wèn)題，因此主機(jī)防火墻也在主機(jī)上運(yùn)行，其運(yùn)行機(jī)制成為主機(jī)防火墻的關(guān)鍵技術(shù)之一，這就要求按照嵌入操作系統(tǒng)內(nèi)核的形態(tài)來(lái)運(yùn)行和完成。

類似于個(gè)人防火墻與桌面應(yīng)用的主機(jī)防火墻相類似，都有其對(duì)應(yīng)的個(gè)人系統(tǒng)，但是類似個(gè)人防火墻的管理方式不一樣，它不允許別人干涉，目的是為了防止外部的攻擊，它除了對(duì)桌面機(jī)起到保護(hù)的作用外，還可以對(duì)桌面機(jī)的外部訪問(wèn)進(jìn)行控制管理。

（三）分布式防火墻的工作原理。分布式防火墻的工作原理主要是從策略語(yǔ)言、系統(tǒng)管理工具和IP安全協(xié)議這三個(gè)方面進(jìn)行研究。1.策略語(yǔ)言。策略語(yǔ)言的運(yùn)用旨在標(biāo)識(shí)內(nèi)部主機(jī)，目前通常是通過(guò)IP地址來(lái)標(biāo)識(shí)內(nèi)部主機(jī)，但是這種方法安全性不夠高，還存在著一些安全問(wèn)題，因此在這一過(guò)程中，可以通過(guò)使用IP協(xié)議的密碼訪問(wèn)來(lái)標(biāo)識(shí)主機(jī)，提高其安全性。2.系統(tǒng)管理工具。系統(tǒng)管理工具的作用是將形成的文件傳給有防火墻保護(hù)的主機(jī)，這些主機(jī)的防火墻就是分布式防火墻。3.IP安全協(xié)議。該協(xié)議主要用于加密的保護(hù)，如AH協(xié)議和IKE協(xié)議等，它能夠?qū)崿F(xiàn)密鑰交換等功能。

三、分布式防火墻的應(yīng)用實(shí)現(xiàn)

1.網(wǎng)絡(luò)訪問(wèn)控制。分布式防火墻在網(wǎng)絡(luò)訪問(wèn)中的應(yīng)用控制，主要是通過(guò)網(wǎng)絡(luò)訪問(wèn)規(guī)則來(lái)實(shí)現(xiàn)控制和管理的，它可以通過(guò)控制該工作站的時(shí)間段內(nèi)是否被允許或者被禁止訪問(wèn)所規(guī)定的內(nèi)容，決定某個(gè)用戶是否可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器。2.應(yīng)用訪問(wèn)控制。分布式防火墻在應(yīng)用訪問(wèn)控制中的運(yùn)用也極其廣泛，它通過(guò)對(duì)網(wǎng)絡(luò)的通訊連接路程、網(wǎng)絡(luò)層、地址以及傳輸層和端口等過(guò)濾和檢查，以此來(lái)控制網(wǎng)絡(luò)的應(yīng)用請(qǐng)求，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的安全性。3.黑客攻擊的安全防護(hù)。分布式防火墻在防止黑客攻擊中具有廣泛的應(yīng)用，它主要通過(guò)抵御和拒絕服務(wù)攻擊、抵制欺騙式攻擊和PING攻擊和木馬等方式來(lái)實(shí)現(xiàn)其安全防護(hù)的作用，它對(duì)防止黑客的攻擊具有很重要的實(shí)際意義。4.系統(tǒng)工具的應(yīng)用。分布式防火墻在系統(tǒng)工具中的應(yīng)用主要包括設(shè)定參數(shù)，制定訪問(wèn)規(guī)則，備份和恢復(fù)數(shù)據(jù)以及模板的設(shè)置和管理等。5.VPN通信。分布式防火墻除了具有以上的功能之外，它還可以支持VPN通信，它把內(nèi)部主機(jī)和外部主機(jī)與防火墻之間采用隧道的技術(shù)方式來(lái)實(shí)現(xiàn)分布式防火墻的安全防護(hù)作用，通過(guò)這種方法，它可以使通信的雙方都必須經(jīng)過(guò)防火墻才能順利的進(jìn)行通訊活動(dòng)，分布式防火墻其本身所具備的邏輯網(wǎng)絡(luò)的概念，使得遠(yuǎn)程內(nèi)部主機(jī)和物理上的內(nèi)部主機(jī)沒(méi)有區(qū)別，從根本上接觸了安全防護(hù)存在的問(wèn)題。

四、結(jié)束語(yǔ)

目前，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用水平雖然在不斷的提高，但是網(wǎng)絡(luò)中的安全威脅種類和方式也越來(lái)越多，黑客攻擊，欺騙手段更加惡劣，這就使得分布式防火墻得到了長(zhǎng)足的進(jìn)步和發(fā)展，它是對(duì)傳統(tǒng)的防火墻技術(shù)的改進(jìn)和完善，相信隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，分布式防火墻技術(shù)也將會(huì)發(fā)揮著越來(lái)越重要的作用。

參考文獻(xiàn)：

[1]李倫,尹蘭.一種改進(jìn)的應(yīng)用網(wǎng)關(guān)防火墻系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用,2003,5:185-186

[2]高峰,盧尚瓊.分布式防火墻與校園網(wǎng)絡(luò)安全[J].計(jì)算機(jī)應(yīng)用研究,2003,1:77-79

篇9

【關(guān)鍵詞】信息安全； 威脅；防御策略；防火墻

1 計(jì)算機(jī)信息網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)信息網(wǎng)絡(luò)安全，是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性，通過(guò)相應(yīng)的安全技術(shù)和措施，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù)，防止遭到破壞或竊取，其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計(jì)算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計(jì)，通過(guò)分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達(dá)4369次。因此，隨著網(wǎng)絡(luò)一體化和互聯(lián)互通，我們必須加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范意思，提高防范手段。

2 計(jì)算機(jī)信息安全常見(jiàn)的威脅

以上這些因素都可能是計(jì)算機(jī)信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的，也是無(wú)法預(yù)測(cè)的；但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此，我們必須重視各種因素對(duì)計(jì)算機(jī)信息安全的影響，確保計(jì)算機(jī)信息資源萬(wàn)無(wú)一失。

3 計(jì)算機(jī)信息的安全的防御策略

根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況，我們采取可兩種措施：一是，采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運(yùn)行；二是，采用各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得到目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊的安全漏洞掃描，如測(cè)試弱口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境更安全，信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制的一個(gè)或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來(lái)看，防火墻是分離器、限制器和分析器；從物理上來(lái)看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以多種多樣，但是歸根結(jié)底他們都是一組硬件設(shè)備（路由器、主機(jī)）和軟件的組合體；從本質(zhì)上來(lái)看，防火墻是一種保護(hù)裝置，它用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽(yù)；從技術(shù)上來(lái)看，防火墻是一種訪問(wèn)控制技術(shù)，它在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)網(wǎng)絡(luò)信息資源的非法訪問(wèn)。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)（ipse）

采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題，也可以解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可以對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護(hù)。IP安全是整個(gè)TCP/IP 安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括：訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性、有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證

身份認(rèn)證的作用是阻止非法實(shí)體的不良訪問(wèn)。有多種方法可以認(rèn)證一個(gè)實(shí)體的合法性，密碼技術(shù)是最常用的，但由于在實(shí)際系統(tǒng)中有許多用戶采用很容易被猜測(cè)的單詞或短語(yǔ)作為密碼，使得該方法經(jīng)常失效。其他認(rèn)證方法包括對(duì)人體生理特征的識(shí)別、智能卡等。隨著模式識(shí)別技術(shù)的發(fā)展，身份識(shí)別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合，使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。

3.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是對(duì)入侵行為的檢測(cè)，他通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊，外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual private Network，VPN） 是一門網(wǎng)絡(luò)技術(shù)，提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式；是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立起一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面，我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制手段，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1）過(guò)濾掉不安全服務(wù)和非法用戶。

2）控制對(duì)特殊站點(diǎn)的訪問(wèn)。

3）提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

4.3 防火墻的優(yōu)點(diǎn)

1）防火墻能強(qiáng)化安全策略

因?yàn)镮nternet上每天都有上百萬(wàn)人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察"，它執(zhí)行站點(diǎn)的安全策略，僅僅容許"認(rèn)可的"和符合規(guī)則的請(qǐng)求通過(guò)。

2）防火墻能有效地記錄Internet上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

3）防火墻限制暴露用戶點(diǎn)

防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。

4）防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外。

4.4 防火墻的不足

1）防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào)，一些用戶可以形成與Internet的直接的連接，從而繞過(guò)防火墻，造成一個(gè)潛在的后門攻擊渠道。

2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測(cè)型。

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。但包過(guò)濾防火墻的缺點(diǎn)有三：一是，非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是，數(shù)據(jù)包的源地址、目的地址以及IP 的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是，無(wú)法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見(jiàn)的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時(shí)，NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址，并用一個(gè)偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個(gè)數(shù)據(jù)包返回到NAT系統(tǒng)，這一過(guò)程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。如果黑客在網(wǎng)上捕獲到這個(gè)數(shù)據(jù)包，他們也不能確定發(fā)送端的真實(shí)IP地址，從而無(wú)法攻擊內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)。NAT技術(shù)也存在一些缺點(diǎn)，例如，木馬程序可以通過(guò)NAT進(jìn)行外部連接，穿透防火墻。

型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品， 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)， 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對(duì)較慢。

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動(dòng)態(tài)包過(guò)濾防火墻?？偟膩?lái)說(shuō)，具有：高安全性，高效性，可伸縮性和易擴(kuò)展性。實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的，防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來(lái)加強(qiáng)安全保護(hù)，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來(lái)重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1）雙宿堡壘主機(jī)防火墻

一個(gè)雙宿主機(jī)是一種防火墻，擁有兩個(gè)聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如，一個(gè)網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上，另一個(gè)網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來(lái)完成。一般情況下，人們采用服務(wù)的方法，因?yàn)檫@種方法為用戶提供了更為方便的訪問(wèn)手段。

2）屏蔽主機(jī)防火墻

這種防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相聯(lián)接，而不讓它們直接與內(nèi)部主機(jī)相連。為了實(shí)現(xiàn)這個(gè)目的，專門設(shè)置了一個(gè)過(guò)濾路由器，通過(guò)它，把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機(jī)上。下圖顯示了屏蔽主機(jī)防火墻的結(jié)構(gòu)。

3）屏蔽主機(jī)防火墻

在這種體系結(jié)構(gòu)中，堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)，它是防火墻的第一道防線。屏蔽路由器需要進(jìn)行適當(dāng)?shù)呐渲茫顾械耐獠柯?lián)接被路由到堡壘主機(jī)上。并不是所有服務(wù)的入站聯(lián)接都會(huì)被路由到堡壘主機(jī)上，屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接（外部到內(nèi)部的主動(dòng)聯(lián)接）。

對(duì)于出站聯(lián)接（內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動(dòng)聯(lián)接），可以采用不同的策略。對(duì)于一些服務(wù)，如Telnet，可以允許它直接通過(guò)屏蔽路由器聯(lián)接到外部網(wǎng)而不通過(guò)堡壘主機(jī)；其他服務(wù)，如WWW和SMTP等，必須經(jīng)過(guò)堡壘主機(jī)才能聯(lián)接到Internet，并在堡壘主機(jī)上運(yùn)行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化，因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越受到人們的重視，以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，以及一般采取的幾種安全防范策略，主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻(xiàn)】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社，2009.

篇10

[關(guān)鍵詞] 信息安全防火墻過(guò)濾遷移

在信息社會(huì)中，信息具有和能源、物源同等的價(jià)值，在某些時(shí)候甚至具有更高的價(jià)值。具有價(jià)值的信息必然存在安全性的問(wèn)題，對(duì)于企業(yè)更是如此。經(jīng)濟(jì)社會(huì)的發(fā)展更要求各用戶之間的通信和資源共享，需要將一批計(jì)算機(jī)連成網(wǎng)絡(luò)才能保證電子商務(wù)活動(dòng)的正常開展，這樣就帶來(lái)了更多的安全隱患。特別是對(duì)當(dāng)今最大的網(wǎng)絡(luò)――國(guó)際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。信息的泄露問(wèn)題也變得日益嚴(yán)重，因此，計(jì)算機(jī)網(wǎng)絡(luò)的安全性問(wèn)題就變得越來(lái)越重要。

如何來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性呢？方法雖然很多，但防火墻技術(shù)絕對(duì)是其中最高效、實(shí)用的方法之一。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的過(guò)程中，防火墻作為第一道安全防線，正受到越來(lái)越多用戶的關(guān)注。通常一個(gè)公司在購(gòu)買網(wǎng)絡(luò)安全設(shè)備時(shí)，總是把防火墻放在首位。目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么，防火墻是如何保證網(wǎng)絡(luò)系統(tǒng)的安全，又如何實(shí)現(xiàn)自身安全的呢？本文從防火墻的概念出發(fā)，詳細(xì)分析了防火墻的功能，并按其保證安全方法的不同進(jìn)行了分類:包過(guò)濾式防火墻、服務(wù)式防火墻、地址遷移式防火墻等。

一、防火墻介紹

防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)分開的方法，是網(wǎng)絡(luò)之間一種特殊的訪問(wèn)控制設(shè)施。在Internet網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間設(shè)置的一道屏障，防止黑客進(jìn)入內(nèi)部網(wǎng)，由用戶制定安全訪問(wèn)策略，抵御各種侵襲的一種隔離技術(shù)。它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，將“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息；能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作；能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的安全技術(shù)包括包過(guò)濾技術(shù)、技術(shù)和地址遷移技術(shù)等。

二、防火墻的作用

1.作為網(wǎng)絡(luò)安全的屏障

只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2.可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻身上。

3.可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的?？梢郧宄阑饓κ欠衲軌虻謸豕粽叩奶綔y(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。

4.可以防止內(nèi)部信息的外泄

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

三、防火墻的技術(shù)分類

1.包過(guò)濾技術(shù)（Packet Filter）式防火墻

包過(guò)濾是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址，以及包所使用端口確定是否允許該類數(shù)據(jù)包通過(guò)。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來(lái)的信息都被分割成許許多多一定長(zhǎng)度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí)，路由器會(huì)讀取接收者的IP并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)后會(huì)在目的地重新組裝還原。包過(guò)濾式的防火墻會(huì)檢查所有通過(guò)信息包里的IP地址，并按照系統(tǒng)管理員所給定的過(guò)濾規(guī)則過(guò)濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話，從這個(gè)地址而來(lái)的所有信息都會(huì)被防火墻屏蔽掉。這種防火墻的用法很多，比如國(guó)家有關(guān)部門可以通過(guò)包過(guò)濾防火墻來(lái)禁止國(guó)內(nèi)用戶去訪問(wèn)那些違反我國(guó)有關(guān)規(guī)定或者“有問(wèn)題”的國(guó)外站點(diǎn)。

包過(guò)濾路由器的最大的優(yōu)點(diǎn)就是它對(duì)于用戶來(lái)說(shuō)是透明的，也就是說(shuō)不需要用戶名和密碼來(lái)登錄。這種防火墻速度快而且易于維護(hù)，通常做為第一道防線。包過(guò)濾路由器的弊端也是很明顯的，通常它沒(méi)有用戶的使用記錄，這樣就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過(guò)濾式的防火墻對(duì)黑客來(lái)說(shuō)是比較容易的。如“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對(duì)包過(guò)濾式防火墻發(fā)出一系列信息包，不過(guò)這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個(gè)包通過(guò)了防火墻，黑客便可以用這個(gè)IP地址來(lái)偽裝他們發(fā)出的信息。通常它沒(méi)有用戶的使用記錄，這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄；此外，配置繁瑣也是包過(guò)濾防火墻的一個(gè)缺點(diǎn)。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進(jìn)入你的系統(tǒng)，或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。它可以阻止外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn)，卻不能記錄內(nèi)部的訪問(wèn)。包過(guò)濾另一個(gè)關(guān)鍵的弱點(diǎn)就是不能在用戶級(jí)別上進(jìn)行過(guò)濾，即不能鑒別不同的用戶和防止ip地址盜用。所以說(shuō)包過(guò)濾型防火墻是某種意義上的安全系統(tǒng)。

2.服務(wù)式防火墻

服務(wù)是另一種類型的防火墻，它通常是一個(gè)軟件模塊，運(yùn)行在一臺(tái)主機(jī)上。服務(wù)器與路由器的合作，路由器實(shí)現(xiàn)內(nèi)部和外部網(wǎng)絡(luò)交互時(shí)的信息流導(dǎo)向，將所有的相關(guān)應(yīng)用服務(wù)請(qǐng)求傳遞給服務(wù)器。服務(wù)作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。服務(wù)的實(shí)質(zhì)是中介作用，它不允許內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行直接的通信。

用戶希望訪問(wèn)內(nèi)部網(wǎng)某個(gè)應(yīng)用服務(wù)器時(shí)，實(shí)際上是向運(yùn)行在防火墻上的服務(wù)軟件提出請(qǐng)求，建立連接;理服務(wù)器代表它向要訪問(wèn)的應(yīng)用系統(tǒng)提出請(qǐng)求，建立連接;應(yīng)用系統(tǒng)給予服務(wù)器響應(yīng);服務(wù)器給予外部網(wǎng)用戶以響應(yīng)。外部網(wǎng)用戶與應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸全部由服務(wù)器中轉(zhuǎn)，外部網(wǎng)用戶無(wú)法直接與應(yīng)用服務(wù)器交互，避免了來(lái)自外部用戶的攻擊。通常服務(wù)是針對(duì)特定的應(yīng)用服務(wù)而言的，不同的應(yīng)用服務(wù)可以設(shè)置不同的服務(wù)器。 目前，很多內(nèi)部網(wǎng)絡(luò)都同時(shí)使用分組過(guò)濾路由器和服務(wù)器來(lái)保證內(nèi)部網(wǎng)絡(luò)的安全性，并且取得了較好的效果。

3.地址遷移式防火墻

由于多種原因，IPv4地址逐步面臨耗盡的危機(jī)，而Ipv6的實(shí)際應(yīng)用還有待時(shí)日。隨著企業(yè)上網(wǎng)的人數(shù)增多，企業(yè)獲得的公共IP地址（稱全局IP地址，或者實(shí)際IP地址）可能難以和企業(yè)上網(wǎng)的實(shí)際設(shè)備數(shù)目匹配，這種現(xiàn)象具有加劇的傾向。 一種可能的解決方案是為每個(gè)企業(yè)分配若干個(gè)全局IP地址，企業(yè)網(wǎng)內(nèi)部使用自定義的IP地址（稱為本地IP地址或者虛擬IP地址）。 當(dāng)內(nèi)外用戶希望相互訪問(wèn)時(shí),專門的路由器（NAT路由器）負(fù)責(zé)全局/本地IP地址的映射。NAT路由器位于不同地址域的邊界處，通過(guò)保留部分全局IP地址的分配權(quán)來(lái)支持IP數(shù)據(jù)報(bào)的跨網(wǎng)傳輸。其工作原理:(1)地址綁定（靜態(tài)或者動(dòng)態(tài)的建立本地/全局地址的映射關(guān)系）;(2)地址查找和轉(zhuǎn)換（對(duì)數(shù)據(jù)報(bào)中的相關(guān)地址信息進(jìn)行修改）;(3)地址解綁定（釋放全局地址）。

地址遷移式防火墻實(shí)際上融合了分組過(guò)濾和應(yīng)用的設(shè)計(jì)思想，可以根據(jù)應(yīng)用的需求限定允許內(nèi)外網(wǎng)訪問(wèn)的結(jié)點(diǎn)；可以屏蔽內(nèi)網(wǎng)的地址，保證內(nèi)網(wǎng)的安全性。 數(shù)據(jù)報(bào)分析是NAT路由器必須做的工作（例如，修改IP數(shù)據(jù)報(bào)攜帶的高層協(xié)議數(shù)據(jù)單元中的地址信息），因此可以有選擇地提供/拒絕部分跨網(wǎng)的應(yīng)用服務(wù)。

四、小結(jié)

在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。隨著電子商務(wù)的不斷發(fā)展，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。

參考文獻(xiàn):

[1]高峰許南山:防火墻包過(guò)濾規(guī)則問(wèn)題的研究[J].應(yīng)用,2003,23(6)

[2]趙啟斌梁京章:防火墻過(guò)濾規(guī)則異常的研究[J].工程,2005.12