防火墻技術在計算機安全構建中的應用

張建強

摘要：計算機網絡給人們的生產生活帶來諸多便利，但網絡信息傳輸中也面臨泄漏、竊取風險，為保證網絡信息傳輸安全，人們研發并應用各種安全技術，其中防火墻技術是杰出代表，應用較為普遍。文章對防火墻類型及功能作簡單分析，探討其在計算機安全構建中的應用，以供參考。

關鍵詞：防火墻；技術；計算機安全

防火墻技術是由硬件與軟件組合而成的網絡訪問控制器，依據一定的安全規則對流過防火墻的網絡包進行控制，以保證網絡安全。目前防火墻由多種類型，構建計算機網絡時可根據實際情況加以應用。

1 防火墻類型

目前，防火墻類型較多，包括包過濾防護墻、狀態檢測防火墻、代理防火墻等，這些防火墻在維護計算機網絡安全中發揮重要作用防火墻的部署位置如圖l所示。其中包過濾防火墻充當“通信警察”的角色，依據防火墻規則表判斷接收或拒絕包，即，防火墻依據規則對每個包進行檢查，看是否相符，如均不相符則拒絕接收。另外，還可基于傳輸控制協議（ Transmission Control Protocol，TCP）或用戶數據報協議（User Datagram Protocol，UDP）的對數據包的端口號進行定義，確定是否建立特定連接。

狀態檢測防火墻在傳統防火墻技術的基礎上引入狀態檢測表，實現對訪問包的放行或攔截判斷。其包括TCP包與UDP包處理兩個方面。針對TCP包，如沒有建立相關規則處理外部連接請求，防火墻作丟棄處理。如內部需要與外部主機通訊，防火墻對連接包進行注明，允許響應便可進行包的傳輸，直到連接任務完成為止。針對UDP包，如傳入的包攜帶的協議與地址和傳出連接請求匹配，則允許通過，否則丟棄。

代理防火墻對進出的數據包進行檢查，利用自身網關復制傳遞信息，避免非受信與受信主機間直接通信。該類防火墻基于應用層，不僅對一些復雜的訪問進行控制，而且還能做嚴格、精細的審核與注冊。代理防火墻的工作流程為：客戶機提出訪問服務器數據請求時，該請求首先發送至代理服務器，代理服務器根據請求向服務器索取相關數據后，再將數據傳輸給客戶機。代理防火墻避免內外系統間的直接通信，降低外部入侵內部網絡概率。

2 防火墻功能

基于計算機網絡安全需求，防火墻具備的功能較多，包括過濾、網絡地址轉換（Network Address Translation，NAT）、審計與報警等。其中過濾是防火墻的基本功能，通過過濾判斷是否進行通信，降低訪問行為可能帶來的危險。例如，對統一資源定位符（Uniform Resource Locator， URL）過濾可限制內網訪問某些站點或相關目錄等。

所謂網絡地址轉換指防火墻對內部主機IP地址進行翻譯，防止外部監視器探測到主機IP，即，當網絡數據包進入防火墻時，系統會依據設置的NAT規則對數據包進行檢測，如符合某條規則，則基于規則轉換數據包，并建立一條NAT進程。如有包返回，則基于進程表做相關的處理。NAT模式包括端口地址轉換、動態地址池分配、靜態地址映射3種形式，其中端口地址轉換時，管理員可設置共有Internet地址負責轉換端口地址，用戶訪問會映射至IP池中的IP端口上；動態地址池分配指根據設置好的共有Internet地址，隨機將沒有使用的IP地址給用戶，用戶訪問結束便收回；靜態地址映射指在內外IP地址間構建一一對應的靜態映射關系，外部人員訪問外網時，不需要與外網直接相連，保汪內網的安全性。

3 防火墻應用策略

在明確防火墻類型與功能的基礎上，如何結合企業業務特點，做好防火墻部署，充分發揮防火墻的防護作用，保證企業網絡的安全性，一直是人們研究的熱點。筆者結合自身工作實踐認為部署防火墻時應認真落實以下內容。

3.1 明確防火墻應用步驟

為保證防火墻的合理部署，提高部署工作效率，應用防火墻技術時應結合受保護網絡的實際情況，明確部署步驟，把握部署工作要點，確保各細節考慮與落實到位。一般情況部署防火墻時可遵守以下步驟。

首先，認真分析企業網絡安全需求，將網絡劃分成若干、合理的區域。在區域之間設置訪問網絡的控制點。其次，認真分析各控制點可能發出的網絡訪問請求，制定對應的邊界安全策略，基于此，確定應用的防火墻技術以及防護結構。再次，給防火墻配置相關的邊界安全策略，認真測試邊界安全策略，看運行是否正常，發現問題及時進行處理。最后，正式運行防火墻。同時，做好防火墻日常維護，保證防火墻防火性能的正常發揮。

3.2 遵守防火墻應用原則

部署計算機防火墻時應從設計、產品選取角度認真分析，遵守一定的原則。一方面，設計防火墻時應保持設計的簡單性，保證防火墻運行效率的同時，便于后期的維護。同時，還應安排事故計劃，結合以往經驗，對防火墻運行中可能遇到的問題進行評估與論證，制定相關的預防策略，防止防火墻故障影響網絡的正常使用。另一方面，保證防火墻產品選取的合理性。當前防火墻產品較多，部署防火墻產品時應綜合考慮防火墻基本功能、企業特殊需求以及用戶的訪問需求等。同時，認真考慮以下細則：防火墻產品應有掛鉤程序或先進的認證手段，應用的認證方法應安全、先進；界面應友好，方便編程以部署各種安全策略；為滿足用戶Gopher，超文本傳輸協議（ Hyper Text Transfer Protocol，HTTP），網絡新聞傳輸協議（Network News Transport Protocol，NNTP）需要，防火墻應包含相關的代理服務程序，另外，具備精簡日志的能力等。

3.3 做好防火墻規則設置

防火前各種功能的實現，需要管理員設置相關規則，防火墻依據設置的規則，對數據包進行判斷，確定允許訪問還是拒絕訪問，因此，防火墻安全規則設置是否合理直接影響防火墻安全作用的發揮。防火墻設置內容較多，包括賬號口令設置、訪問控制設置。地址轉換設置、日志管理設置等。以CISCO PIX防火墻為例，對NAT功能進行設置。

內網地址向外網地址的轉換：

Nat （inside）1 192.168.1.0 255.255.255.0

Global （outside）1 10.1.1.1 10.1.1.4

內網地址向外網地址的映射：

Static （inside， outside） 10.1.1.5 192.168.0.1

Static （inside， outside） tcp 10.1.1.5 8080 192.168.1.1 80

NAT 0的作用設置

Access-Iist net permit ip 192.168.0.0 255.255.255.0any

Nat （inside）0 access-list net

另外，防火墻安全策略設置完成后，為避免因考慮不全面而出現問題，應做好防火墻運行調試，保證防火墻各種訪問控制策略，無異常、穩定運行。

3.4 加強防火墻安全管理

企業部署好防火墻后，并非萬事大吉，還應做好防火墻運行中各種不良問題的預防工作，保證防火墻防火性能的正常發揮，具體應認真落實以下工作內容。

首先，做好防火墻運行監視。為及時發現異常，處理非法訪問與攻擊行為，管理員應切實履行自身管理職責，定期登錄防火墻查看訪問日志，研究與分析發生攻擊行為的IP地址，及時進行封堵，防止攻擊的進一步加劇。其次，做好相關工作優化。為提高工作效率，防火墻管理人員可將防火墻日志統一傳輸至日志收集服務器上，方便、系統的對防火墻訪問情況進行研究、分析。同時，做好防火墻配置策略、日志文件的定期備份。最后，做好防火墻系統維護。為防止非法分子利用防火墻系統漏洞攻擊企業內網，針對硬件防火墻，管理員應定期登錄防火墻設備生產廠家官網，了解安全公告，及時下載與修補防火墻系統漏洞。針對軟件防火墻管理員應將防火墻的自動更新功能打開，使其能及時下載、安裝廠家發布的補丁。

4 結語

防火墻技術在保證網絡安全上發揮重要作用，隨著網絡安全技術的發展，防火墻防護性能較之間有很大提升，出現很多類型、功能強大的防火墻產品，應用中企業應結合自身實際，做好規劃研究，保證所用防火墻產品的合理性。本研究得出以下結論：

（1）當前防火墻類型較多，包括過濾防護墻、狀態檢測防火墻、代理防火墻等，究竟選用何種類型的防火墻，需要企業根據自身業務特點加以確定。另外，為提高內外安全性可綜合采用多種防火墻技術。

（2）部署防火墻時，應在明確防火墻功能的基礎上進行，保證軟硬件設置的合理性，促進防火墻防護作用的充分發揮。目前防火墻產品的功能有過濾、網絡地址轉換NAT.審計與報警等，企業設置防火墻功能時，應根據自己業務運用相關功能。

（3）企業部署防火墻時不能盲目，明確防火墻部署步驟，遵守一定的部署原則，做好安全策略規則設置，同時，還應認真落實防火墻運行期間的維護工作。