對防火墻安全技術的剖析

萬焱

[摘要]本文主要剖析防火墻安全技術，首先介紹了互聯網絡面臨的各種安全威脅，然后詳細介紹了互聯網絡防火墻的數據包過濾技術、代理技術、地址翻譯技術等，并且針對互聯網絡的防火墻配置方案進行介紹，從而保障了互聯網絡的安全。

[關鍵詞]防火墻；安全威脅；數據包過濾；地址翻譯

[中圖分類號]G642 [文獻標識碼]A [文章編號]1671-5918（2016）08-0125-02

doi：10.3969/j.issn.1671-5918.2016.08.058[本刊網址]http：//www.hbxb.net

一、概述

經濟基礎決定上層建筑，日益提升的國民經濟使得人們迫切希望在基礎設施建設和精神文明建設方面得到更高的發展。科學技術水平的不斷提高，使得計算機成為了千家萬戶必不可少的基礎設備，而與之對應的互聯網絡的應用也隨之廣泛。當前我國社會已經步入了信息時代，數字化、網絡化、信息化的處理方式已經是當前的主要潮流，也必然是日后各行各業快速發展所依賴的必需設施，互聯網絡的開放性、共享性等基本特性都為人們的日常生產生活帶來了極大的便利，讓人們時時刻刻享受著更加優質的生活。然而，互聯網絡的快速發展也為其自身的安全性埋下了隱患，其自身的開發特性和共享特性，不僅方便了廣大的合法網民來享受網絡的便利服務，同時也為網絡惡意攻擊者提供了可乘之機。網絡惡意攻擊者利用網絡中存在的安全漏洞，根據自己特定的意圖非法獲取網絡中的資源，以達到自己惡意的攻擊目的，為社會的安定團結以及企業的經濟發展都帶來了很大的威脅和挑戰，如何有效地拒絕惡意攻擊者的攻擊鏈，有效地相應網民的合法請求，是當前互聯網絡亟須解決的難題。防火墻安全技術就是針對網絡非法訪問請求的問題而興起的網絡安全技術，是提升當前互聯網絡安全等級、保護私密數據信息和網絡設備資源的有效手段，對于有效地防御網絡惡意攻擊起到了決定性作用。

二、網絡面臨的安全威脅

其實我們的互聯網絡是非常脆弱的，它無時無刻不在受到各種各樣的威脅。整體看來，互聯網絡受到的安全威脅主要分為兩類。第一類是包括地震、山洪、海嘯等自然災害或者火災等人為的意外事故外部安全威脅，另一類則是網絡內部的惡意攻擊、木馬病毒感染、數據泄露或損壞、網絡黑客非法入侵等各種內在的網絡威脅。相對于第一類來說，第二類安全威脅更加難以預防和抵御，也為整個互聯網絡的安全應用帶來了極大的挑戰。

就一般的網絡攻擊而言，形式各種各樣，但是總體看來主要包括以下幾個方面：（1）網絡竊聽，即方法記錄網絡其他用戶的傳輸數據、私密文件、鍵盤敲擊記錄等；（2）網絡欺騙，即通過各種方法手段來篡改或改變合法資源，最終實現獲取關鍵數據信息的社會工程學攻擊手段；（3）拒絕服務攻擊，主要是利用軟件中或者網絡協議中存在的安全漏洞，通過資源耗盡的方式或者其他欺騙手段，使正常服務的設備不能對合法的請求進行相應的攻擊手段；（4）數據攻擊，主要包括利用程序或者系統中的安全漏洞實現SQL注入、XSS攻擊、緩沖區溢出攻擊等各種攻擊形式。

而這些網絡攻擊的具體實現，則是通過各種技術或者工具來實現。網絡竊聽或欺騙，大都使用木馬或其他惡意代碼片段，通過植入正常合法的程序或者系統中運行，最終為網絡攻擊者提供了攻擊后門或者將系統的接口或基本信息反彈到惡意攻擊者的電腦上，然后通過執行攻擊代碼或者指令實現對網絡設備的控制或者實現對內部核心數據的竊取等攻擊目的。拒絕服務攻擊即為DoS攻擊或DDoS攻擊，一般實現手段是借助一些第三方的攻擊工具，是提供正常服務的服務器不能在響應合法用戶的合法請求。有的是利用分布式的攻擊電腦向目標機器發送大量類似合法的請求，從而將服務器的資源耗盡，進而拒絕合法用戶的請求，有的則是利用服務器自身軟件或者協議的軟件漏洞，發送特殊的TCP或IP數據包，使服務器停滯或者死機，進而不能提供正常的服務。除此之外，針對網絡的工具手段五花八門，攻擊方法和形式也多種多樣，這些網絡攻擊手段都時時刻刻威脅著互聯網絡用戶和網絡數據的安全。

三、防火墻的關鍵技術

理想的互聯網絡，首先是安全的，也就是說在整個應用過程中，互聯網絡能夠提供不間斷的網絡服務，同時能夠保障互聯網絡傳輸的數據信息的完整性、保密性、真實性等，如果想要實現這些特性，則是需要從計算機科學、密碼學、信息安全技術、應用數據技術等諸多領域人手，來開展互聯網絡安全可靠的實施工作。而防火墻安全技術則是其中應用最為廣泛的安全技術之一。

防火墻技術是一種隔離技術，也是一種邊界安全技術，即通過關鍵的技術手段將存在安全威脅的網絡攻擊隔離在外，將自己私有的局域網絡或者私密的數據保護起來的一種技術手段。隨著科學技術的發展，防火墻技術也多種多樣，針對不同的網絡、服務器、網絡設備或者其他隔離目的，可以采用不同的防火墻技術來實現。

（一）數據包過濾技術

數據包過濾技術是指對互聯網中在路由跳轉的數據包進行有效篩選過濾的一種技術。我們知道，不同局域網絡是通過廣域網連接起來的，這就有了內網和外網的區別，而防火墻就是搭建在內網與外網之間，實現網絡隔離的技術。如果外網的數據想要進入內網，或者內網的數據想要進入外網，就必須先要經過防火墻過濾，如果發送的數據包不符合某項數據包過濾的規則，那么該數據包就是一個可疑的數據包，路由器將拒絕數據傳送，從而有效地實現了內網與外網之間的隔離。

此時的數據包過濾防火墻，其實就是一個帶有數據包過濾功能的路由器，在網絡搭建時，對路由器進行過濾規則配置，如添加可以TP等，當有符合規則的數據包發送過來，防火墻就會采用相應的措施。此時的防火墻，會對所有的內網到外網和外網到內網的數據包進行逐一過濾，以判斷其與過濾規則的匹配程度，所以對于數據包過濾防火墻而言，規則設置是非常重要的。值得注意的事，在網絡安全的數據包過濾規則設定時，可以采用白名單策略或者采用黑名單策略的方式來設置，這可以根據網絡安全需求以及安全等級要求來選擇。白名單策略是允許通過策略，這個策略要相對嚴格很多，也就是說，在指定的規則里面，只有符合要求的才允許通過，防火墻會繼續發送該數據包，只要不在白名單規則內的數據包，防火墻一律丟棄你。而黑名單策略則是拒絕通過策略，這個策略要寬松很多，也就是說，在指定的規則里面，只要符合黑名單規則里面的數據包，防火墻一律丟棄，只要不符合的數據包，防火墻一律允許通過。由于不在規則內的數據包類型非常多，所以黑名單允許通過的數據包要遠遠大于白名單允許通過的數據包。

（二）代理技術

代理技術是指在使用代理服務器的方式，將需要把保護的網絡資源隔離開來，來自外網的訪問請求，首先需要發送到代理服務器，代理服務器經過相應的處理后再轉發給網絡系統或資源。代理技術實現了內網與外網的有效隔離，即使是外網有惡意攻擊者來攻擊保護資源，也需要首先經過代理服務器，而代理服務器自身的身份認證技術、詳細日志記錄功能以及日志內容審計功能等，都是對內網資源有效的保護。特別的，代理技術的實現，是通過服務器作為代理來操作的，那么該防火墻的設備性能是非常優越的，可以在代理服務器上設置非常強大的安全規則和審計，從而有效地保障內網與外網之間的隔離，使內網資源得到有效保護。

（三）IP地址翻譯技術

在互聯網絡中，每一個計算機的唯一標識就是IP地址，即每個計算機想要訪問公網資源，必須具有獨立IP地址。然而IPv4地址資源已經用完這已經是一個現實，在公網上面，已經沒有閑置的IPv4供其他局域網的用戶使用，這就給當前互聯網絡的規模擴充帶來了極大的限制。當然，現在IPv6協議的出現基本上解決了IP資源枯竭的問題，然而防火墻IP地址翻譯技術也在一定程度上，緩解了IPv4資源枯竭帶來的問題。

一般的，一個局域網只會從公網上分配若干個IP地址資源，根據這些IP資源，來確定該局域網在互聯網絡中的唯一性。而局域網絡內部，則是使用自己的網關和掩碼，這樣一來，局域網內的計算機在某個特定的IPv4網段內部，數據急劇增加。然后TCP/IP協議是實現互聯網絡中兩個計算機的進程之間的數據傳輸，也是通過IP來識別的，在不同局域網絡中的計算機的識別，則是通過IP地址翻譯技術來實現的。

四、防火墻安全方案部署

針對防火墻的部署，是實現安全邊界的部署，主要是在想保護和隔離的資源邊界部署防火墻。一般的，防火墻的部署主要在三個區域，第一個區域在外網與內網的交界處設置防火墻，這樣從外網到內網的數據以及從內網到外網的數據傳輸都會被防火墻的安全規則過濾，并且按照相應的策略進行處理，進而實現網絡惡意攻擊的有效隔離；第二層防火墻一般部署在局域網中的服務器與局域網絡之間，實現系統服務器與局域網絡的隔離，服務器提供的服務為專門的服務器，防火墻可以實現對局域網訪問用戶的身份認證以及相關操作和訪問的日志記錄，并且對訪問日志進行安全審計以主動抵御網絡安全攻擊；第三層是在數據庫服務器與應用服務器之間設置防火墻，很多局域網系統的核心價值是企業的數據信息，在應用服務器與數據庫服務器之間設置防火墻可以有效地加強整個應用系統對數據訪問的控制，如果是非授權訪問或惡意操作，防火墻都會將該請求丟棄掉而拒絕發送，從而有效地保障核心數據的安全。

五、總結

防火墻技術在互聯網絡安全中應用非常廣泛，是一種邊界安全的思想，實現內網與外網之間，或者是被保護資源與外界之間的隔離，通過各種防火墻安全技術，對來自外界的訪問進行過濾審計，并且按照指定的策略對其進行處理，從而有效地保障互聯網絡的安全。

（責任編輯：章樊）