防火墻網(wǎng)絡(luò)安全技術(shù)探析

◆劉敏龍

(浙江工業(yè)大學(xué) 浙江 310000)

防火墻網(wǎng)絡(luò)安全技術(shù)探析

◆劉敏龍

(浙江工業(yè)大學(xué) 浙江 310000)

本文從防火墻網(wǎng)絡(luò)安全技術(shù)的相關(guān)概述入手，著重分析了防火墻網(wǎng)絡(luò)安全技術(shù)的改進技術(shù)，并探索了防火墻關(guān)鍵技術(shù)及防火墻技術(shù)的發(fā)展趨勢。

防火墻；網(wǎng)絡(luò)安全；技術(shù)

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，人們的生活和工作對網(wǎng)絡(luò)的依賴程度越來越高。網(wǎng)絡(luò)安全問題不僅會導(dǎo)致信息泄露，而且會嚴(yán)重影響財產(chǎn)安全，計算機網(wǎng)絡(luò)安全問題已經(jīng)成為人們使用網(wǎng)絡(luò)的首要問題。防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題最為簡單有效的方案。但是，防火墻是不變的，而網(wǎng)絡(luò)安全問題是時刻變化發(fā)展的，只有不斷發(fā)展防火墻網(wǎng)絡(luò)安全技術(shù)，使之與互聯(lián)網(wǎng)的發(fā)展相適應(yīng)才能夠真正解決網(wǎng)絡(luò)安全問題，同時對互聯(lián)網(wǎng)的發(fā)展和應(yīng)用有著深刻意義。

1 防火墻網(wǎng)絡(luò)安全技術(shù)的相關(guān)概述

1.1 防火墻的基本概念

防火墻本來指用于防止火災(zāi)蔓延的建筑物的隔斷墻，在計算機網(wǎng)絡(luò)環(huán)境下，防火墻被引申為保護網(wǎng)絡(luò)安全的防護墻。防火墻主要包括分離器、分析器和限制器。通常情況下，防火墻是主機、軟件和路由器的多種組合。但是，從本質(zhì)上來說，防火墻屬于計算機網(wǎng)絡(luò)保護裝置，用于保護網(wǎng)絡(luò)和用戶資源。而從技術(shù)方面來說，防火墻技術(shù)屬于一種訪問控制技術(shù)，主要在不安全網(wǎng)絡(luò)和機構(gòu)網(wǎng)絡(luò)之間設(shè)置障礙，組織非法信息訪問網(wǎng)絡(luò)，進而保護網(wǎng)絡(luò)的安全性。

1.2 防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理及特征

首先，從防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理來說，其工作原理使防火墻按照預(yù)先規(guī)定的規(guī)則和配置對通過防火墻的數(shù)據(jù)進行監(jiān)控，并對沒有授權(quán)的數(shù)據(jù)進行限制。并且，防火墻會記錄相關(guān)信息的聯(lián)接來源、闖入者企圖以及服務(wù)器的通信量，以便于網(wǎng)絡(luò)管理人員的跟蹤共和監(jiān)測；其次，從防火墻的特性來說，所有計算機網(wǎng)絡(luò)信息都必須通過防火墻。并且，只有被計算機網(wǎng)絡(luò)允許的、受到網(wǎng)絡(luò)保護的信息才能夠通過防火墻。另外，防火墻會記錄所通過的信息和活動，并對網(wǎng)絡(luò)供給進行告警和檢測。

1.3 防火墻網(wǎng)絡(luò)安全技術(shù)的主要功能

首先，防火墻網(wǎng)絡(luò)安全技術(shù)具有認(rèn)證功能，能夠?qū)π畔⑸矸葸M行認(rèn)證，以保證數(shù)據(jù)發(fā)送者的可靠性和真實性；其次，防火墻網(wǎng)絡(luò)安全技術(shù)具有完整性功能，能夠?qū)ξ词跈?quán)修改的信息進行探測和標(biāo)記，保證信息的完整性；其三，防火墻網(wǎng)絡(luò)安全技術(shù)具有訪問控制功能，能夠控制訪問者，并決定是否允許訪問者進入，以避免惡意攻擊和不允許訪問的訪問者進入網(wǎng)絡(luò)系統(tǒng)；其四，防火墻技術(shù)具有審計功能，能夠連續(xù)記錄系統(tǒng)的重要事件，并將所記錄的信息提供給網(wǎng)絡(luò)系統(tǒng)的管理人員；最后，防火墻技術(shù)具有訪問執(zhí)行功能，之后信息完整性檢測和信息認(rèn)證都通過之后，信息才會通過防火墻進入網(wǎng)絡(luò)內(nèi)部。

1.4 防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)點與不足

首先，防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)點。第一，防火墻網(wǎng)絡(luò)安全技術(shù)能夠強化安全策略，保證符合規(guī)則和經(jīng)過許可的信息通過防火墻，而避免不被允許的信息通過防火墻。第二，防火墻網(wǎng)絡(luò)安全技術(shù)能夠記錄網(wǎng)上活動，加強網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)操作的了解。第三，防火墻網(wǎng)絡(luò)安全技術(shù)能夠?qū)崿F(xiàn)網(wǎng)段控制，隔開某個網(wǎng)段，限制網(wǎng)段中的安全問題在整個網(wǎng)絡(luò)系統(tǒng)中的傳播。第四，防火墻本身是一個安全檢查點，能夠?qū)⑺杏幸蓡柕脑L問數(shù)據(jù)截止在防火墻之外；其次，防火墻的缺點。第一，防火墻無法方案惡意知情者，惡意知情者能夠通在內(nèi)部網(wǎng)絡(luò)中進行惡意攻擊。第二，防火墻不能防備全部的發(fā)完了威脅，有些科技水平較高的惡意攻擊行為可以通過防火墻。第三，防火墻不能防范網(wǎng)絡(luò)病毒，導(dǎo)致病毒侵襲嚴(yán)重。

2 防火墻網(wǎng)絡(luò)安全技術(shù)的改進技術(shù)分析

2.1 安全數(shù)據(jù)結(jié)構(gòu)防火墻

基于安全數(shù)據(jù)的防火墻主要指在安全數(shù)據(jù)結(jié)構(gòu)上建立防火墻的技術(shù)。安全數(shù)據(jù)本身作為一種邏輯結(jié)構(gòu)，為網(wǎng)絡(luò)系統(tǒng)提供了安全模式。并且，安全數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)具有一定的規(guī)則，系統(tǒng)在完成網(wǎng)絡(luò)安全數(shù)據(jù)功能的時候必須遵循安全數(shù)據(jù)的相關(guān)規(guī)則，進而保證網(wǎng)絡(luò)系統(tǒng)的安全性。具體來說，在網(wǎng)絡(luò)運行之前，基于安全數(shù)據(jù)的防火墻的各個模塊要進行初始化設(shè)置和數(shù)字簽名，以便于之后的信息完整性檢測。然后，防火墻各模塊之間要進行雙向認(rèn)證和自身完整性檢測，避免模塊被修改。另外，安全數(shù)據(jù)防火墻模塊內(nèi)存要隨時進行安全檢測，以保證防火墻信息沒有被修改。

2.2 流量調(diào)節(jié)防火墻

網(wǎng)絡(luò)安全技術(shù)中的流量調(diào)節(jié)防火墻技術(shù)主要指對數(shù)據(jù)包進行排隊，并對特定數(shù)據(jù)包賦予優(yōu)先級別，進而較快特定數(shù)據(jù)包的傳輸。而在數(shù)據(jù)包傳輸?shù)倪^程中，流量調(diào)節(jié)能夠區(qū)分安全業(yè)務(wù)量的界別和類型，并對安全業(yè)務(wù)進行處理，進而解決網(wǎng)絡(luò)擁塞問題。流量調(diào)節(jié)防火墻需要設(shè)置流量調(diào)節(jié)模塊，并匹配流量調(diào)節(jié)策略，按照匹配規(guī)則選擇優(yōu)先級數(shù)據(jù)包進行傳輸。

2.3 Agent防火墻技術(shù)

Agent的執(zhí)行過程主要包括事件接收、系統(tǒng)反應(yīng)和事件發(fā)出這三個過程。Agent防火墻技術(shù)需要對系統(tǒng)內(nèi)部各個部件的Agent進行設(shè)計，并規(guī)范各部件Agent之間的通信。并且，如果要對計算機防火墻增加系統(tǒng)或更改構(gòu)造需要改變或增刪Agent之間的互聯(lián)模型，允許計算機指令分布到不同網(wǎng)絡(luò)節(jié)點上，增強了防火墻結(jié)構(gòu)的靈活性。

2.4 嵌入式防火墻

嵌入式防火墻技術(shù)主要針對內(nèi)部網(wǎng)絡(luò)安全問題。嵌入式防火墻技術(shù)集成了一解決各種安全問題的應(yīng)用，為網(wǎng)絡(luò)用戶提供了安全、分布式、可管理的網(wǎng)絡(luò)環(huán)境。并且，嵌入式防火墻采用公鑰協(xié)議，增強了防火墻認(rèn)證的透明度。而嵌入式防火墻主要包括可客戶認(rèn)證代理、認(rèn)證服務(wù)器、票據(jù)服務(wù)器和防火墻代理這四個部件，能夠有效防治外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的攻擊。

3 防火墻關(guān)鍵技術(shù)

防火墻關(guān)鍵技術(shù)主要包括數(shù)據(jù)包傳送技術(shù)、包過濾技術(shù)、代理技術(shù)和地址翻譯技術(shù)。其中，數(shù)據(jù)包傳送技術(shù)主要負責(zé)向網(wǎng)絡(luò)中傳送數(shù)據(jù)包。而數(shù)據(jù)保中包含著 IP地質(zhì)、目標(biāo)端口、內(nèi)部協(xié)議等。數(shù)據(jù)包在傳輸?shù)倪^程中會通過不同的傳輸路徑到達目的地，并且，在數(shù)據(jù)包到達目的地之后會被重新包裝成原來的樣子。目前，數(shù)據(jù)包傳送技術(shù)已經(jīng)十分成熟，被廣泛運用到防火墻軟件中。包過濾技術(shù)主要利用路由監(jiān)視器度網(wǎng)絡(luò)中的數(shù)據(jù)包進行監(jiān)控，并拒絕發(fā)送和接收可疑的數(shù)據(jù)包，保證網(wǎng)絡(luò)數(shù)據(jù)安全。代理技術(shù)主要依靠代理服務(wù)設(shè)備。而代理服務(wù)設(shè)備能夠像防火墻一樣輸入封包并封鎖其他的數(shù)據(jù)包，進而產(chǎn)生類似防火墻的安全防范效果。地址翻譯技術(shù)主要指將數(shù)據(jù)包頭的數(shù)據(jù) IP地址轉(zhuǎn)轉(zhuǎn)換為其他的IP地址，使用共有IP地址來代替私有IP地址，節(jié)省可用IP地址空間。

4 防火墻技術(shù)的發(fā)展趨勢

首先，過濾包技術(shù)的發(fā)展趨勢。一些防火墻的生產(chǎn)商家將用戶服務(wù)和用戶認(rèn)證拓展到防火墻上，使防火墻具備支持用戶安全的策略的功能。在這種情況下，用戶身份驗證需要采用級網(wǎng)關(guān)技術(shù)。而包過濾技術(shù)的防火墻不具有用戶驗證功能。但是，包過濾防火墻可以采用多級過來技術(shù)，并采用信息鑒別的手段，通過多級過濾，排除假冒地質(zhì)和不安全信息；其次，防火墻體系結(jié)構(gòu)的發(fā)展趨勢。隨著計算機技術(shù)的發(fā)展，防火墻體系結(jié)構(gòu)朝著安全、多功能和高速方向發(fā)展，運用網(wǎng)絡(luò)處理器、FPGA、ASIC等提高防火墻的信息辨別速度。并且，隨著芯片技術(shù)和算法的發(fā)展，防火墻技術(shù)會參與應(yīng)用層的分析，進而為應(yīng)用安全提供保障。

[1]宋柳松，吳少華，周安民.木馬穿透個人防火墻技術(shù)研究[J].信息安全與通信保密，2007.

[2]魯劍，楊樹堂，倪佑生.基于白名單的深度包檢測防火墻的改進方法[J].信息安全與通信保密，2005.

[3]黃志軍，趙皚，徐紅賢.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].海軍工程大學(xué)學(xué)報，2002.