防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性研究

◆權(quán) 園

?

防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性研究

◆權(quán) 園

(通信站 北京 100000)

在信息時(shí)代下，互聯(lián)網(wǎng)與計(jì)算機(jī)已經(jīng)融入現(xiàn)實(shí)生活中的各個(gè)領(lǐng)域，并為人們的生活與工作帶來(lái)了很多的便利，但由于互聯(lián)網(wǎng)本身具有開(kāi)放性的特點(diǎn)，各種各樣的網(wǎng)絡(luò)安全問(wèn)題隨之產(chǎn)生，而防火墻技術(shù)作為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效技術(shù)措施，其重要性自然也就變得越來(lái)越高。為此，本文對(duì)現(xiàn)代社會(huì)網(wǎng)絡(luò)安全防護(hù)中防火墻技術(shù)的常見(jiàn)類(lèi)型進(jìn)行了分析，并對(duì)其在網(wǎng)絡(luò)安全防御體系中的有效運(yùn)用展開(kāi)了探討。

防火墻技術(shù)；網(wǎng)絡(luò)安全；數(shù)據(jù)

0 引言

防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，這種技術(shù)能夠在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立起一道“防火墻”，以阻擋來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)和不安全的數(shù)據(jù)傳遞，保護(hù)本地系統(tǒng)和網(wǎng)絡(luò)免受各種網(wǎng)絡(luò)安全威脅，是目前網(wǎng)絡(luò)安全防范工作中最為常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)之一。因此，對(duì)于防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性的研究是非常具有現(xiàn)實(shí)意義的。

1 防火墻技術(shù)的常見(jiàn)類(lèi)型

（1）包過(guò)濾型防火墻

在各類(lèi)防火墻技術(shù)中，包過(guò)濾型防火墻是最早被作為網(wǎng)絡(luò)安全保護(hù)措施使用的一種防火墻技術(shù)，這一技術(shù)最開(kāi)始只能夠作用于網(wǎng)絡(luò)層，因此被稱(chēng)為靜態(tài)過(guò)濾技術(shù)，后來(lái)隨著技術(shù)的不斷發(fā)展，傳輸層也被納入包過(guò)濾型防火墻的工作范圍之內(nèi)，成為現(xiàn)在的動(dòng)態(tài)過(guò)濾技術(shù)。簡(jiǎn)單來(lái)說(shuō)，包過(guò)濾型防火墻實(shí)際上就是對(duì)數(shù)據(jù)層與網(wǎng)絡(luò)層內(nèi)進(jìn)出的數(shù)據(jù)進(jìn)行分析與比對(duì)，判斷數(shù)據(jù)包與防火墻過(guò)濾規(guī)則相匹配，一旦發(fā)現(xiàn)有不匹配的數(shù)據(jù)包，就執(zhí)行預(yù)先設(shè)定的阻止命令，將數(shù)據(jù)包丟棄。此外，目前市面上普遍使用的動(dòng)態(tài)包過(guò)濾型防火墻還會(huì)對(duì)已經(jīng)發(fā)送的數(shù)據(jù)包進(jìn)行跟蹤檢測(cè)，一旦發(fā)現(xiàn)其對(duì)系統(tǒng)產(chǎn)生威脅，就可以直接對(duì)現(xiàn)有的防火墻過(guò)濾規(guī)則進(jìn)行補(bǔ)充或修改。包過(guò)濾型防火墻具有安全性較高、成本低、容易實(shí)現(xiàn)等優(yōu)勢(shì)，但同時(shí)由于整個(gè)過(guò)濾工作是建立在防火墻過(guò)濾規(guī)則的基礎(chǔ)上進(jìn)行的，因此往往存在一些沖突與漏洞，在判斷數(shù)據(jù)包威脅的準(zhǔn)確性上也不夠高，缺點(diǎn)也是十分明顯的[1]。

（2）應(yīng)用代理型防火墻

應(yīng)用代理型防火墻的出現(xiàn)晚于包過(guò)濾型防火墻，主要是為了對(duì)包過(guò)濾型防火墻的缺陷進(jìn)行彌補(bǔ)，因此這一技術(shù)相比于包過(guò)濾型防火墻在網(wǎng)絡(luò)安全防護(hù)上更為全面。應(yīng)用代理型防火墻以小型代理服務(wù)器的形式存在，這個(gè)代理服務(wù)器中被嵌入了應(yīng)用協(xié)議分析技術(shù)，能夠進(jìn)行有效的數(shù)據(jù)過(guò)濾檢測(cè)，同時(shí)由于這種技術(shù)以應(yīng)用層作為工作范圍，因此能夠?qū)?shù)據(jù)報(bào)的最終形式進(jìn)行過(guò)濾檢測(cè)，檢測(cè)形式更加高級(jí)、全面，除了能夠?qū)?shù)據(jù)層所獲取的信息進(jìn)行分析判斷外，還能夠?qū)崿F(xiàn)對(duì)可能危害的分辨。此外，由于應(yīng)用代理型防火墻采用了代理服務(wù)器，因此所有的內(nèi)外部網(wǎng)絡(luò)通信不僅需要由代理服務(wù)器進(jìn)行審核，還會(huì)由代理服務(wù)器進(jìn)行連接，這很好杜絕了內(nèi)部網(wǎng)絡(luò)被數(shù)據(jù)驅(qū)動(dòng)滲透的可能，實(shí)現(xiàn)了更加完善的網(wǎng)絡(luò)安全防護(hù)。但需要注意的是，應(yīng)用代理型防火墻在使用代理服務(wù)器建立連接時(shí)，代理程序需要一定時(shí)間來(lái)完成進(jìn)程，從而造成一定的延遲，一旦需要進(jìn)行大量的數(shù)據(jù)交換時(shí)，數(shù)據(jù)流量就會(huì)超越代理服務(wù)器的限度，從而使網(wǎng)絡(luò)癱瘓的概率大大增加，而這一缺陷也使得應(yīng)用代理型防火墻的應(yīng)用范圍受到了很大的限制。

（3）狀態(tài)監(jiān)視型防火墻

狀態(tài)監(jiān)視型防火墻是在動(dòng)態(tài)包過(guò)濾型防火墻的基礎(chǔ)上建立起來(lái)的，主要是通過(guò)狀態(tài)監(jiān)視模塊對(duì)數(shù)據(jù)包的相關(guān)數(shù)據(jù)進(jìn)行抽取，從而實(shí)現(xiàn)分層次的網(wǎng)絡(luò)通信監(jiān)控，另外，狀態(tài)監(jiān)控技術(shù)同樣需要防火墻過(guò)濾規(guī)則進(jìn)行配合，這一點(diǎn)與包過(guò)濾型防火墻十分相似[2]。之所以說(shuō)狀態(tài)監(jiān)視型防火墻是建立在動(dòng)態(tài)包過(guò)濾型防火墻的基礎(chǔ)上，不僅是因?yàn)檫@一技術(shù)使用了防火墻過(guò)濾規(guī)則，更重要的是狀態(tài)監(jiān)控技術(shù)同樣會(huì)分析數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議、地址、端口以及類(lèi)型等多方面的信息。而與包過(guò)濾型防火墻不同的是，狀態(tài)監(jiān)控技術(shù)在此基礎(chǔ)上添加了會(huì)話過(guò)濾功能。這一功能能夠在內(nèi)外部網(wǎng)絡(luò)建立通信連接的同時(shí)，主動(dòng)構(gòu)造會(huì)話狀態(tài)，并將前文提到的數(shù)據(jù)包的一系列信息納入會(huì)話狀態(tài)中來(lái)，這樣就可以將之后的數(shù)據(jù)傳輸與會(huì)話狀態(tài)中的信息進(jìn)行比對(duì)，從而實(shí)現(xiàn)多種信息的全面監(jiān)控?？偟膩?lái)說(shuō)，狀態(tài)監(jiān)控技術(shù)相較于其他兩種防火墻技術(shù)沒(méi)有明顯的缺陷，是目前較為先進(jìn)的技術(shù)，但由于實(shí)現(xiàn)技術(shù)十分復(fù)雜，因此在現(xiàn)階段尚未得到廣泛應(yīng)用。

2 防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中的有效運(yùn)用

（1）防火墻技術(shù)在訪問(wèn)策略方面的應(yīng)用

在對(duì)防火強(qiáng)技術(shù)的應(yīng)用中，在訪問(wèn)策略中的應(yīng)用是最為核心的內(nèi)容之一，主要是對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)與使用權(quán)進(jìn)行限制，以免遭到非法使用與非法訪問(wèn)，造成不必要的損失，而訪問(wèn)策略的制定則離不開(kāi)防火墻技術(shù)。首先，防火墻技術(shù)需要對(duì)當(dāng)前網(wǎng)絡(luò)的運(yùn)行信息進(jìn)行劃分并分析安全價(jià)值。其次，要對(duì)網(wǎng)絡(luò)運(yùn)行的個(gè)性地址進(jìn)行詳細(xì)的了解，進(jìn)而網(wǎng)絡(luò)運(yùn)行的特點(diǎn)進(jìn)行準(zhǔn)確判斷，并以此為基礎(chǔ)做出明確、合理的安全保護(hù)規(guī)劃。最后還要將訪問(wèn)策略的活動(dòng)信息記錄下來(lái)，形成能夠自主調(diào)節(jié)的策略表對(duì)防火墻技術(shù)的網(wǎng)絡(luò)安全保護(hù)行為進(jìn)行規(guī)范，提高網(wǎng)絡(luò)安全保護(hù)效率。

（2）防火墻技術(shù)在數(shù)據(jù)安全方面的應(yīng)用

數(shù)據(jù)是網(wǎng)絡(luò)資源中最為主要的一種形式，如個(gè)人財(cái)務(wù)數(shù)據(jù)、密碼信息、各單位的財(cái)務(wù)信息，科研機(jī)構(gòu)院校的實(shí)驗(yàn)數(shù)據(jù)等在網(wǎng)絡(luò)信息時(shí)代下通常都會(huì)以數(shù)據(jù)的形式儲(chǔ)存在計(jì)算機(jī)中，因而對(duì)于數(shù)據(jù)安全的保護(hù)也成為防火墻技術(shù)應(yīng)用的重要內(nèi)容。需要明確的是，數(shù)據(jù)存儲(chǔ)并不等于數(shù)據(jù)得到了防火墻的保護(hù)，目前通過(guò)防火墻技術(shù)對(duì)數(shù)據(jù)安全的防護(hù)有很多，但大多處于初級(jí)階段，總體上不夠成熟、完善，其中較為有效的有數(shù)據(jù)庫(kù)攻擊特征阻斷防護(hù)、撞庫(kù)防護(hù)、數(shù)據(jù)庫(kù)虛擬補(bǔ)丁等。

（3）防火墻技術(shù)在日志監(jiān)控方面的應(yīng)用

日志監(jiān)控主要是指對(duì)防火墻技術(shù)在攔截外部網(wǎng)絡(luò)入侵時(shí)產(chǎn)生的保護(hù)日志進(jìn)行監(jiān)控，保護(hù)日志雖然不會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生直接的影響，但用戶卻可以對(duì)保護(hù)日志中的信息進(jìn)行分析，了解被攔截信息的具體情況，從而得到錯(cuò)誤攔截率、攔截頻率等數(shù)據(jù)，找到攔截策略中的不出之處，進(jìn)而通過(guò)重新設(shè)置來(lái)加以改進(jìn)[3]。在防火墻應(yīng)用中，保護(hù)日志會(huì)記錄大量的攔截信息，這些信息并非全部具有分析價(jià)值，因此采集部分具有價(jià)值的關(guān)鍵日志即可，如系統(tǒng)警告等，而對(duì)于流量信息則可以選擇性的采集。此外，在面對(duì)病毒問(wèn)題時(shí)，用戶往往會(huì)在清除病毒后建立新的攔截策略，這時(shí)就可以通過(guò)對(duì)流量信息的檢測(cè)來(lái)確定攔截策略的有效性。

（4）防火墻技術(shù)在安全配置方面的應(yīng)用

防火墻技術(shù)中的安全配置實(shí)際上就是對(duì)網(wǎng)絡(luò)的模塊化管理，系統(tǒng)會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)安全的性質(zhì)進(jìn)行分析，并根據(jù)網(wǎng)絡(luò)重要性的不同將防范區(qū)域分為不同的級(jí)別，對(duì)于網(wǎng)絡(luò)安全級(jí)別高的模塊會(huì)進(jìn)行重點(diǎn)管理與保護(hù)，而對(duì)于網(wǎng)絡(luò)安全級(jí)別較低的模塊則會(huì)適當(dāng)降低保護(hù)程度。從具體上來(lái)看，就是對(duì)重點(diǎn)保護(hù)的網(wǎng)絡(luò)模塊利用防火墻技術(shù)進(jìn)行隔離，將其與其他不重要的網(wǎng)絡(luò)模塊分割開(kāi)來(lái)，這樣不同網(wǎng)絡(luò)安全級(jí)別的網(wǎng)絡(luò)模塊間同樣可以共同組成內(nèi)部局域網(wǎng)，但由于重點(diǎn)保護(hù)的網(wǎng)絡(luò)模塊受到了防火墻技術(shù)的保護(hù)，因此受到外部網(wǎng)絡(luò)入侵攻擊的可能性大大降低，內(nèi)部網(wǎng)絡(luò)的安全性也因此大大提升。

（5）防火墻技術(shù)應(yīng)用需要注意的問(wèn)題

經(jīng)過(guò)數(shù)十年來(lái)的發(fā)展，當(dāng)前的防火墻技術(shù)雖然已經(jīng)比較成熟，但部分弊端仍然未能得到有效解決，因此在基于防火墻技術(shù)的網(wǎng)絡(luò)安全防御體系建設(shè)中，仍然需要對(duì)這些問(wèn)題加以注意。首先，防火墻能夠?qū)?jīng)過(guò)網(wǎng)絡(luò)邊界的信息進(jìn)行過(guò)濾與檢測(cè)，但對(duì)于不經(jīng)過(guò)網(wǎng)絡(luò)邊界的數(shù)據(jù)信息卻毫無(wú)作用，而這也將會(huì)成為網(wǎng)絡(luò)安全防御體系的漏洞，因此，網(wǎng)絡(luò)安全防御體系還需利用其他技術(shù)，對(duì)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題、內(nèi)部通過(guò)撥號(hào)網(wǎng)絡(luò)直接與外網(wǎng)連接等情況進(jìn)行有效防范。其次，防火墻本身在設(shè)計(jì)上同樣有可能存在漏洞，而這些漏洞則會(huì)給不法分子的網(wǎng)絡(luò)入侵提供可乘之機(jī)，因此在對(duì)硬件或軟件防火墻進(jìn)行應(yīng)用時(shí)，必須要對(duì)其設(shè)計(jì)合理性進(jìn)行檢測(cè)，以免其存在嚴(yán)重的設(shè)計(jì)漏洞。

3 結(jié)束語(yǔ)

總而言之，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題在現(xiàn)代社會(huì)已經(jīng)得到了高度重視，而各種類(lèi)型的防火墻技術(shù)也在網(wǎng)絡(luò)安全防御體系中得到了廣泛應(yīng)用，但要想為網(wǎng)絡(luò)安全提供切實(shí)保障，還需要在未來(lái)對(duì)防火墻技術(shù)的進(jìn)行更加深入研究與創(chuàng)新，從而使其能夠在網(wǎng)絡(luò)安全防御體系中發(fā)揮出更大的作用。

[1]張雪.防火墻技術(shù)在網(wǎng)絡(luò)安全防御體系中有效性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019(02)：14+49.

[2]喬巧.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用探究[J].企業(yè)科技與發(fā)展，2019(02)：178-179.

[3]徐晨莉.淺析防火墻技術(shù)在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2018，14(07)：39-40.