探析網(wǎng)絡(luò)安全技術(shù)中的防火墻技術(shù)

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的大范圍普及和應(yīng)用，我們的生活方式得到了明顯的創(chuàng)新和改變。由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用具有虛擬性、技術(shù)性、公眾性等的特點(diǎn)，使得網(wǎng)絡(luò)安全逐漸成為了人們所關(guān)注的問(wèn)題。防火墻技術(shù)作為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)起到保護(hù)作用的安全技術(shù)，是網(wǎng)絡(luò)環(huán)境安全健全的重要手段，它在現(xiàn)代的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中是最主要的一種保護(hù)形式，基于此，文章在對(duì)防火墻結(jié)構(gòu)介紹的基礎(chǔ)上，分析了其在網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用狀況。

1 網(wǎng)絡(luò)安全技術(shù)中防火墻技術(shù)的介紹

科學(xué)技術(shù)的進(jìn)步，推動(dòng)了人們生產(chǎn)生活的極大創(chuàng)新，促使社會(huì)的文明程度進(jìn)一步提升，人類社會(huì)進(jìn)入到了信息化時(shí)代。網(wǎng)絡(luò)的普及一方面在給人們帶來(lái)便利的同時(shí)也給信息的安全性埋下了安全隱患。防火墻作為一種保護(hù)技術(shù)，主要指的是在不同信賴程度的網(wǎng)絡(luò)結(jié)構(gòu)之間，會(huì)設(shè)置一系列相關(guān)安全部件的組合，它的主要作用就是在眾多不同網(wǎng)絡(luò)之間可以設(shè)置一個(gè)唯一的安全信息入口，并且在用戶設(shè)置好的安全策略基礎(chǔ)上，對(duì)出入網(wǎng)絡(luò)的信息流進(jìn)行有效的管理控制，能夠?qū)τ脩粜畔⑵鸬奖Ｗo(hù)作用。它在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用，具有十分明顯的抗攻擊能力，屬于是一種保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)性措施。

2 防火墻的類別種類

基于網(wǎng)絡(luò)安全的需要，人們對(duì)于防火墻的研究也取得了顯著的成就，從當(dāng)前的網(wǎng)絡(luò)安全技術(shù)構(gòu)成結(jié)構(gòu)來(lái)看，防火墻技術(shù)的種類類別出現(xiàn)了很多種，其中最為常用的有分組過(guò)濾型、應(yīng)用代理型以及復(fù)合型等三種形式，這三種不同的形式雖然保護(hù)的原理不同，各有各自的運(yùn)行流程，但是，它們最終應(yīng)用目的是相同的，都是會(huì)對(duì)網(wǎng)絡(luò)安全起到保護(hù)作用的。

2.1 分組過(guò)濾型的防火墻技術(shù)

這一類型的防火墻技術(shù)也可以稱之為包過(guò)濾防火墻，這是一種最基礎(chǔ)的防火墻形式，具有簡(jiǎn)單方便、快捷實(shí)效的特點(diǎn)，它是在各個(gè)不同的網(wǎng)絡(luò)之間相互連接的設(shè)備上對(duì)某些特定的IP、TCP端口號(hào)等予以許可或禁止，并對(duì)設(shè)備的數(shù)據(jù)包進(jìn)行詳細(xì)的檢查分析，對(duì)數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)進(jìn)行合理的限制。用戶普遍選擇這一類型的防火墻技術(shù)，主要是因?yàn)樗膫鬏斝屎芨卟⑶覍?duì)用戶的開(kāi)放性也很好。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，它的建立是遵循兩個(gè)原則的，一是針對(duì)于專用網(wǎng)絡(luò)來(lái)說(shuō)，它只允許內(nèi)部地址的數(shù)據(jù)包通過(guò)，杜絕了不明來(lái)源的信息進(jìn)入；二是針對(duì)于公共網(wǎng)絡(luò)來(lái)說(shuō)，它只允許地址為80端口的數(shù)據(jù)包通過(guò)。

2.2 應(yīng)用代理型的防火墻技術(shù)

從其名稱來(lái)看，它是在某種特定代理技術(shù)的支持下來(lái)參與到一個(gè) TCP連接的全過(guò)程，它的運(yùn)行開(kāi)展的核心技術(shù)就是代理服務(wù)器技術(shù)。那么什么是代理服務(wù)器技術(shù)？它是代表客戶處理在服務(wù)器連接請(qǐng)求的一種程序，它在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)的過(guò)程中承擔(dān)著中間轉(zhuǎn)接的作用，屬于是必不可少的環(huán)節(jié)。代理服務(wù)器在得到客戶的連接意愿后，會(huì)對(duì)客戶的請(qǐng)求進(jìn)行核實(shí)，然后在特定的代理應(yīng)用程序作用下來(lái)連接請(qǐng)求，最后把處理的請(qǐng)求傳輸?shù)椒?wù)器上，等到服務(wù)器應(yīng)答后，再進(jìn)行下一步的處理工作，把答復(fù)結(jié)果傳達(dá)到客戶手中。在它的作用下，可以對(duì)所有應(yīng)用層的信息數(shù)據(jù)包進(jìn)行檢查，并把所獲得的檢查信息納入到?jīng)Q策過(guò)程中，以此來(lái)保障網(wǎng)絡(luò)的安全性。它的應(yīng)用特點(diǎn)就是便捷、安全。

2.3 復(fù)合型的防火墻技術(shù)

這種防火墻技術(shù)是綜合了前兩者等的新型防護(hù)墻，它的保護(hù)原理是在ASIC架構(gòu)的作用下，對(duì)防病毒和內(nèi)容進(jìn)行過(guò)濾整合，統(tǒng)一集中到防火墻中，在這一過(guò)程中還會(huì)涉及到VPN等功能。它所采用的多宿主機(jī)結(jié)構(gòu)也大大提高了對(duì)網(wǎng)絡(luò)的保護(hù)能力，支持多網(wǎng)絡(luò)端口和多LAN的管理，也就實(shí)現(xiàn)了內(nèi)部私有網(wǎng)絡(luò)的安全劃分，動(dòng)態(tài) NAT功能和端口重定向在原則上也是屬于復(fù)合型防火墻技術(shù)的一部分。除此之外，在對(duì)網(wǎng)絡(luò)的接口、IP地址等的管理作用下，還可以順利的實(shí)現(xiàn)對(duì) IP地址和特殊性服務(wù)的帶寬控制，保證了帶寬的合理分配。

3 網(wǎng)絡(luò)安全技術(shù)中的防火墻作用分析

3.1 減少具有危險(xiǎn)性服務(wù)的侵入

防火墻的作用就是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全，那么對(duì)于一些帶有危險(xiǎn)性質(zhì)的網(wǎng)絡(luò)服務(wù)，它就可以進(jìn)行有效的判斷，實(shí)現(xiàn)對(duì)其的控制。在網(wǎng)絡(luò)數(shù)據(jù)的交換或者是傳輸?shù)倪^(guò)程中，會(huì)因?yàn)榉阑饓Φ谋Ｗo(hù)作用，所進(jìn)行的數(shù)據(jù)信息傳輸都是滿足防火墻的過(guò)濾保護(hù)要求的，因此，就不會(huì)輕易被沒(méi)有經(jīng)允許的外網(wǎng)所截取，具有很高的保密性和安全性，這樣也就確保了內(nèi)網(wǎng)運(yùn)行的安全性，不會(huì)受到非法攻擊。

3.2 對(duì)特殊網(wǎng)站點(diǎn)訪問(wèn)的控制

這也是防護(hù)墻技術(shù)的主要功能體現(xiàn)。很多的計(jì)算機(jī)網(wǎng)絡(luò)的使用者來(lái)說(shuō)，很多需要被保護(hù)的主機(jī)，需要在考慮數(shù)據(jù)傳輸或者是網(wǎng)站訪問(wèn)的安全性前提下，要對(duì)其進(jìn)行特殊性的保護(hù)，進(jìn)而可以允許其他主機(jī)進(jìn)行數(shù)據(jù)的交換和傳輸。這樣做的目的是可以規(guī)避一些不必要的訪問(wèn)，保證資源的安全完整，基于此，對(duì)于防火墻來(lái)說(shuō)，就要在一些特殊情況下，拒絕對(duì)內(nèi)部網(wǎng)的非必要訪問(wèn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效保護(hù)。

3.3 安全保護(hù)的集中作用

在防火墻技術(shù)的應(yīng)用下，它可以把安全保護(hù)進(jìn)行集中。這對(duì)于一個(gè)規(guī)模較大的內(nèi)部網(wǎng)絡(luò)運(yùn)行來(lái)說(shuō)，這是十分有必要的，而要實(shí)現(xiàn)對(duì)安全保護(hù)的集中管理，就要對(duì)其中的某些軟件進(jìn)行改動(dòng)或者是附加安全軟件放置于防火墻結(jié)構(gòu)中，這種做法會(huì)比分散的放置在各個(gè)不同主機(jī)中更能確保信息數(shù)據(jù)的安全性，尤其是對(duì)于一些密碼的輸入等重要信息來(lái)說(shuō)，更要如此。

3.4 網(wǎng)絡(luò)訪問(wèn)的記錄和統(tǒng)計(jì)作用

防火墻會(huì)對(duì)任何的在內(nèi)外網(wǎng)之間進(jìn)行流通的訪問(wèn)和數(shù)據(jù)都有記錄，并以日志的形式進(jìn)行總結(jié)，它是一項(xiàng)非常重要的數(shù)據(jù)情報(bào)，它的作用就是可以幫助人們來(lái)對(duì)可能出現(xiàn)的攻擊行為進(jìn)行分析預(yù)測(cè)，建立預(yù)防防范機(jī)制，進(jìn)而阻止外部不安全因素的攻擊，保證了網(wǎng)絡(luò)的安全。

4 計(jì)算機(jī)安全網(wǎng)絡(luò)技術(shù)中防火墻技術(shù)的應(yīng)用

4.1 安全服務(wù)的配置方面

這一方面中的安全服務(wù)隔離區(qū)主要是指把系統(tǒng)管理機(jī)群和服務(wù)器機(jī)群?jiǎn)为?dú)的作為個(gè)體來(lái)劃分出來(lái)，安全服務(wù)隔離區(qū)嚴(yán)格來(lái)說(shuō)并不是真正的完全獨(dú)立，它還是內(nèi)部網(wǎng)絡(luò)的構(gòu)成部分，保持兩者的獨(dú)立性主要是為了確保服務(wù)器數(shù)據(jù)和系統(tǒng)管理可以健康的運(yùn)行。而對(duì)其的具體建立主要是靠網(wǎng)絡(luò)地址轉(zhuǎn)化技術(shù)實(shí)現(xiàn)的，把內(nèi)部網(wǎng)絡(luò)中需要進(jìn)行保護(hù)的全部主機(jī)地址都映射為不同數(shù)量的公共網(wǎng)絡(luò)IP地址，這樣可以對(duì)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)起到屏蔽和IP地址作用，而且這樣的做法也可以有效的降低成本費(fèi)用。

4.2 配置訪問(wèn)的具體策略

防火墻的安全策略是多種形式的，在它的眾多安全策略中，訪問(wèn)策略是處于核心地位的，具有重要的作用。在進(jìn)行設(shè)置之前，需要嚴(yán)格的遵循方案設(shè)計(jì)要求，按照標(biāo)準(zhǔn)的設(shè)計(jì)流程，循序漸進(jìn)，合理有序。首先，對(duì)本單位的眾多以實(shí)施的應(yīng)用進(jìn)行熟練的掌握，包含整個(gè)網(wǎng)絡(luò)線路；其次，在前者的基礎(chǔ)上對(duì)每一個(gè)具體應(yīng)用的源地址、目的地址以及 TCP進(jìn)行詳細(xì)的了解；第三，對(duì)于每一個(gè)應(yīng)用的實(shí)際執(zhí)行頻繁狀況進(jìn)行把握，對(duì)左右的構(gòu)成策略進(jìn)行合理的調(diào)整，重新的進(jìn)行排序；第四，再一次的確認(rèn)無(wú)誤之后，再把配置投入到使用當(dāng)中，使其功能價(jià)值可以高效發(fā)揮。

4.3 日志監(jiān)控方面

它在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中也是一種實(shí)用價(jià)值很高的安全保護(hù)措施，很多的管理人員在進(jìn)行日志信息采集的過(guò)程中很容易出現(xiàn)對(duì)所有的與之相關(guān)的信息都全部收集，這樣的做法會(huì)浪費(fèi)很多的時(shí)間成本，而且每一個(gè)防火墻所經(jīng)過(guò)的數(shù)據(jù)信息量是十分巨大的，如果稍有不慎，還會(huì)對(duì)所要采集的主要信息形成“漏掉”的風(fēng)險(xiǎn)，給采集工作帶來(lái)很大的難度，基于此，對(duì)于信息收集人員來(lái)說(shuō)，就要在采集時(shí)有所針對(duì)性，只選擇關(guān)鍵的信息就可以了，這樣不僅方便日志順利的形成，而且還可以保證其作用的真正高效發(fā)揮，同時(shí)也大大降低了信息采集的難度和復(fù)雜系數(shù)，除此之外，對(duì)于在進(jìn)行信息的記錄工作開(kāi)展時(shí)，要對(duì)系統(tǒng)的警告信息進(jìn)行記錄，而對(duì)于流量信息則可以擇取重點(diǎn)進(jìn)行記錄，不用全部記錄。

5 總結(jié)

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們生產(chǎn)生活的信息化、科技化水平有了顯著的提升。在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)是重要的構(gòu)成部分，也是當(dāng)前十分常見(jiàn)的一種保護(hù)措施，可以對(duì)計(jì)算機(jī)中的數(shù)據(jù)信息流起到很好的保護(hù)和保密作用，規(guī)避了不安全因素的侵入，從而保證了用戶信息的安全和完整，它自身所具有的優(yōu)勢(shì)特性要求在實(shí)際的應(yīng)用中，要考慮到諸多的方面，并加強(qiáng)這方面的研究創(chuàng)新，使其效用可以更高效的發(fā)揮。