Internet防火墻技術(shù)淺析

姚春

摘 要： 在當(dāng)今的科技水平下，對網(wǎng)絡(luò)安全進行保障的一項關(guān)鍵措施就是防火墻技術(shù)。通過Internet防火墻可以杜絕未經(jīng)授權(quán)的非法用戶對網(wǎng)絡(luò)進行訪問，進而使網(wǎng)絡(luò)中的重要信息免遭泄露和篡改，同時可使合法用戶順利地訪問網(wǎng)絡(luò)中的信息。因此對于Internet防火墻的研究具有現(xiàn)實意義，可以在很大程度上改善網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞： Internet 防火墻技術(shù) 發(fā)展展望

隨著科技的發(fā)展，計算機已經(jīng)得到了越來越普遍的應(yīng)用，尤其是現(xiàn)今智能手機的普及，智能設(shè)備的應(yīng)用更是達到一個新的高峰。隨之而來的不僅是人們生活的方便，網(wǎng)絡(luò)安全問題也日益嚴重。在我國，黑客入侵和病毒等的破壞帶給我國的經(jīng)濟損失也在不斷增加。怎樣保證網(wǎng)絡(luò)安全值得我們積極關(guān)注，我從Internet防火墻的角度提出自己的看法和見解。

1.防火墻技術(shù)淺析

1.1防火墻的概念

防火墻主要是指在不同網(wǎng)絡(luò)安全域之間或者是不同的網(wǎng)絡(luò)安全之間的一整套部件的組合。它是不同的網(wǎng)絡(luò)安全域或者網(wǎng)絡(luò)安全之間的唯一通路，可以根據(jù)企業(yè)的安全政策對出入網(wǎng)絡(luò)的信息流進行控制，而且其本身也具有很強的抗攻擊能力。它是為信息安全提供基本服務(wù)，并且保證網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。從邏輯上來看，防火墻是一個限制器，分離器，同時是一個分析器，它可以有效地對內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動進行監(jiān)控，進而保障內(nèi)網(wǎng)的安全。

1.2防火墻的主要功能

第一，包過濾。所謂包過濾即對互聯(lián)網(wǎng)數(shù)據(jù)的安全進行保護的一種機制，利用包過濾，可以對網(wǎng)絡(luò)數(shù)據(jù)的流出和流入進行有效控制。包過濾主要由不同的安全規(guī)則構(gòu)成。第二，地址轉(zhuǎn)換。其可以分為兩種形式，分別是源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。通過源地址轉(zhuǎn)換可以將內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)隱藏及將外部網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)換以免遭外部網(wǎng)絡(luò)的惡意攻擊。第三，應(yīng)用代理和認證。認證就是對訪問防火墻的訪問者進行身份確認。代理即是指防火墻自身內(nèi)置的認證數(shù)據(jù)庫。第四，路由和透明。所謂透明主要是指將防火墻的網(wǎng)管給隱蔽起來，進而避免外來網(wǎng)絡(luò)的惡意攻擊，與此同時，還杜絕了外部沒有進行授權(quán)的訪問者對專用網(wǎng)絡(luò)的非法訪問。另外，防火墻也提供路由方式，可以讓內(nèi)部的多個子網(wǎng)之間進行安全訪問。

2.防火墻技術(shù)的發(fā)展展望

防火墻技術(shù)的不斷發(fā)展已經(jīng)引起了個人和企業(yè)的極大關(guān)注，并且隨著網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，防火墻會向深度和廣度兩個方面繼續(xù)發(fā)展。怎樣讓防御既有深度又積極主動，怎樣讓防火墻的網(wǎng)絡(luò)邊界防御力度更大，怎樣使防火墻的處理性能更好，怎樣使防火墻小型化、硬件化，改善其單獨抵御攻擊的能力，是以后網(wǎng)絡(luò)安全系統(tǒng)升級的重要方向。

2.1未來防火墻關(guān)鍵技術(shù)的展望

2.1.1實現(xiàn)高速檢測的防火墻

通過對微碼編程的網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)進行應(yīng)用，不但可以及時對系統(tǒng)進行升級，而且對IPV6有很好的兼容性，還可以集成很多硬件協(xié)處理單元，進而使高速檢測變得切實可行和方便。如果將其硬件化，則不僅會大大改善防火墻的執(zhí)行速度，而且可降低由防火墻引起的網(wǎng)絡(luò)延時。現(xiàn)今基于ACL算法的防火墻，因為應(yīng)用協(xié)議不斷增加的限制，不能很好地對應(yīng)用層進行高速檢測。

2.2.2信息單向流入的防火墻

因為網(wǎng)絡(luò)的不斷普及，其需求也日漸增加，防火墻也慢慢朝著硬件化和專業(yè)化的趨勢發(fā)展。所謂單向防火墻即指信息的單向流動，數(shù)據(jù)只能從外網(wǎng)流入到內(nèi)網(wǎng)，而不能由內(nèi)網(wǎng)流到外網(wǎng)，進而達到保密的效果。

2.2.3有效防范黑客、病毒的攻擊

因為IP/TCP協(xié)議中漏洞的存在，防火墻很難對服務(wù)類的攻擊進行防御。比如說序列號預(yù)測及IP欺騙，已經(jīng)成為防火墻較難防御種類的一部分。但是如果在防火墻中嵌入智能芯片，則可以有效地對惡意數(shù)據(jù)流量進行識別，并且阻斷惡意病毒和數(shù)據(jù)的攻擊。

2.2.4區(qū)域聯(lián)防技術(shù)

隨著網(wǎng)絡(luò)非法技術(shù)的不斷升級和發(fā)展，防火墻主機面臨的安全威脅越來越大，由此對防火墻的系統(tǒng)結(jié)構(gòu)進行升級是一件緊迫而必要的事。新型防火墻需要將個人計算機型防火墻和主機型防火墻相結(jié)合，并提取傳統(tǒng)防火墻中的優(yōu)勢，全方位地對防火墻的防衛(wèi)結(jié)構(gòu)進行優(yōu)化。其主要目的在于將各區(qū)域聯(lián)合起來，通過聯(lián)防來抵御網(wǎng)絡(luò)的攻擊行為。各個終端需要都需要設(shè)置一定的防護功能，并通過彼此之間的相互防衛(wèi)，保證網(wǎng)絡(luò)的信息安全。

2.2.5深度檢測

隨著專門針對于應(yīng)用層的WEB的攻擊越來越多，導(dǎo)致狀態(tài)檢測的防火墻的有效性越來越低。所謂深度檢測防火墻，即將應(yīng)用防火墻技術(shù)和狀態(tài)檢測相結(jié)合，對應(yīng)用程序的流量進行綜合處理，使其對數(shù)據(jù)流量能夠迅速完成網(wǎng)絡(luò)層級別的檢測。深度檢測的特征主要包括協(xié)議的一致性、應(yīng)用層的加密或者是解密、雙向負載檢測等。

3.結(jié)語

當(dāng)今，防火墻技術(shù)已經(jīng)得到個人和企業(yè)的廣泛關(guān)注，隨著因特網(wǎng)技術(shù)的快速更新?lián)Q代，也要求防火墻技術(shù)進行不斷升級。只有對過去和現(xiàn)今防火墻所面臨的問題進行全面總結(jié)和分析，才可以更好地把握住網(wǎng)絡(luò)安全的發(fā)展趨勢，進而深入而全面地改善防火墻技術(shù)，更好地保障個人和企業(yè)的信息安全，為大眾謀福利。

參考文獻：

[1]林曉東，楊義先，馬嚴等.Internet防火墻系統(tǒng)的設(shè)計與實現(xiàn)[J].通信學(xué)報，1998，19（1）.

[2]張曉林.Internet防火墻[J].現(xiàn)代制造技術(shù)與裝備，2013（1）：62-64.

[3]黃黎寧.Internet防火墻系統(tǒng)的設(shè)計[J].大觀周刊，2012（17）：131-132.

[4]宋駿飛.Internet防火墻的設(shè)計與實現(xiàn)[D].南京理工大學(xué)，2011.DOI：10.7666/d.y1919547.