構建物聯網的網絡防火墻安全體系

寧啟智

摘要：智能時代再也不是科幻片中人們向往的場景，而是真真切切出現在我們的生活中。互聯網和物聯網已經悄然改變著我們普通人的生活。但是，很多人對互聯網的安全問題不夠明確，安全意識也很淡薄，那么對將來物聯網的安全問題更是會忽視，那么后果是相當嚴重的。在很多人看來，如果網暫時斷了，不會對我們的生活造成太大的影響，郵件或者聊天記錄也會時時保存。但是，如果物聯網或者智能電網被攻破，那么不僅會危及國家安全，人民的生命財產也會相當危險，這不得不說是一種筆危害個人生命還要危險的行為。

關鍵詞：物聯網；防火墻；安全體系架構

【中圖分類號】TP393.08【文獻標識碼】A【文章編號】2236-1879（2017）12-0306-02

物聯網現在就像人們不可或缺的依靠，正在一步步走進各行各業，而物聯網被攻擊的可能性也在一點一點地增加。那么物聯網的安全如何來保障呢？筆者就如何構建物聯網網絡防火墻來提高物聯網的安全指數進行討論。

1為什么要構建物聯網網絡防火墻

物聯網的安全關系到國家安全和人民生命財產安全，所以設置和構建強有力的網絡防火墻是物聯網工作的重中之重。將能夠加強ACL的裝置設置在不同網間，裝置以組合的形式存在。其作用就是對網絡進行保護，在可信任的企業內網和信任度低的公網中構建防火墻，通過鏈接或者是可靠檢驗對外來者進行檢驗，從而保護網絡不受到危害。

物聯網防火墻就像是一個網絡警察，將所有的不規范行為進行屏蔽或者修改，將整個網絡的安全策略，無條件地執行下去。構建物聯網防火墻還有一個很重要的作用就是防止單網段傳播錯誤信息。防火墻能對很多網段同時監控，如果發現問題，迅速將該網段隔離，并將網絡中的錯誤代碼和錯誤活動內容進行記錄和信息采集。物聯網防火墻將錯誤信息記錄，也能將潛在的危險屏蔽掉，從而保障物聯網的安全指數。在物聯網防火墻上設置監控點，就像長城上的了望塔一樣，一發現危險，立刻限制訪客進入，還可以將訪客驅逐，令其繞行。在物聯網上安裝限制器，分離器，分析器等等裝置，能很好的完成防火墻任務，保護物聯網的安全。

2如何構建物聯網的防火墻安全體系

物聯網防火墻安全體系架構有很多種類，每一種都有自己的特長和不足，我們在選擇安全體系架構種類的時候，一定要根據自己的需要，綜合考慮各種因素，爭取最優化運用。物聯網防火墻安全體系架構基本上可以分成五種類型，下面筆者就逐一講解。

2.1主機型過濾架構的優缺點：

由于主機型過濾架構的運行機制是由過濾Router和運行網關型的軟堡壘構成，攻擊者需要先滲透處于內網和外網之間的過濾Router，再攻破只與內網連接的軟堡壘，才能達到目的。主機型過濾架構從某種意義上是兩個不同類型的屏障在共同保護內部網絡，可以快速有效的實現代理任務和交互認證，對內網進行有效控制。由于過濾主機成為網絡安全的“單失效點”，會被黑客集中攻擊，因此也是網絡中最需要防護的節點。主機型過濾架構具備相對低成本、易操作、易維護、安全性好等特點，被很多需要安全網絡的環境所采用。

2.2過濾型Router架構的優缺點：

這種架構可以視作是對Router進行安全功能附加，它針對由Router轉發的包進行操作者要求的更嚴格檢查。無論對于機器還是操作者，Router的工作都是可查詢的。因此這種架構更加透明，價格甚至比主機過濾架構更加便宜，對網絡造成的延遲極小，當然也更容易遭到破壞，并且維護相對困難。過濾路由也是“單失效點”，所不同的是，失效后相當于安全的“大門”完全敞開，而我們要求失效點出現問題后，“大門”是關閉的，也就是說這種架構不符合當下要求的“安全失效”模態，正因為這樣，過濾路由架構推廣受到了相當大的局限。

2.3子網型過濾架構的優缺點：

這是主機型過濾架構的加強版本，通過兩個過濾路由在內外網之間構建子網，甚至還可以在子網中構建堡壘主機，也就是說所有數據都需要經過子網的過濾和轉發，這使得數據更加安全，并且這種結構破壞起來比較困難。因為外部的攻擊要繞過兩層路由和堡壘主機再進行發現操作，想要在此過程中不切斷網絡或觸發鎖死和警報，已經非常困難，如果網絡設置了更加嚴苛的訪問要求，則破壞變得更加困難。

2.4吊帶型架構優缺點：

這其實可以看做一種特殊的子網過濾型架構，區別是將連接外網的過濾路由以及子網外置，將其構建于本網周界或者直接尋找具有代理及Authentication服務的第三方Geteway，然后再經過本網路由的過濾與內網進行數據傳輸。目前來看，這是最安全的架構模式了。

2.5雙宿主型主機架構優缺點：

這種架構用一臺具備雙網卡的Host代替Router，兩個Interface分別負責與內外網的通訊，用戶可通過向雙宿主機注冊或者代理的形式實現與外界通訊的網絡功能。主機的可控制安全范圍大于路由器，因此雙宿主機架構相較于路由器的包過濾可以進行更多的安全設置，但是雙宿主機本身極易受到攻擊，并且在一些層的服務上還是受到限制。

從安全性到提供服務的能力綜合來看，功能從弱到強依次是：過濾型Router、雙宿主型Host、主機過濾型、子網過濾型、吊帶型，在實際的選擇和使用過程中還需根據實際的安全級別要求、通訊服務要求以及預算等進行合理安排。

3如何做好物聯網的網絡防火墻的創建工作

首先應將所有有關安全的策略變成對應的安全體系架構。其次，公共內網的數據即使是公司內部員工訪問，也要建立安全級別確認和密碼登陸系統。再其次，規則集合的落實是選擇好素材以后，首要做的事情。比如，添加鎖定，允許訪問郵件等等。最后，建立好規則集合以后，要對其進行有針對性的檢測，檢測其能否進行安全工作，防止發生犯錯。

總而言之，物聯網網絡防火墻的構建，其作用是顯而易見的。我們只有按照安全要求和安全準則去構建防火墻，才能保證防火墻的安全性，從而保障國家信息安全和人民財產安全。

參考文獻

[1]張毅，唐紅.物聯網綜述[J].數字通信，2010（4）.

[2]王慧強.物聯網安全關鍵技術及其應用研究[J].大慶師范學報，2012（6）.