徐美紅，封心充，孫 鵬，黃勁燦

1.廣東省氣象信息中心，廣東 廣州 510080

2.河南省開(kāi)封市氣象局，河南 開(kāi)封 475004

隨著網(wǎng)絡(luò)信息時(shí)代進(jìn)程的逐漸深入，網(wǎng)絡(luò)安全成為了重要的問(wèn)題，計(jì)算機(jī)的防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全問(wèn)題成為了目前比較有效的安全技術(shù)手段。不過(guò)，對(duì)于網(wǎng)絡(luò)安全，其實(shí)主要是系統(tǒng)的、全面的計(jì)算機(jī)管理問(wèn)題，一般情況在計(jì)算機(jī)上的任何一個(gè)安全問(wèn)題，可能導(dǎo)致全網(wǎng)的安全問(wèn)題的產(chǎn)生，針對(duì)于這樣的網(wǎng)絡(luò)安全問(wèn)題，主要是采用系統(tǒng)的管理的方法以及具體的網(wǎng)絡(luò)安全管理措施。主要的安全措施包括，首先是行政法律手段，各種管理制度，專業(yè)措施等?？梢赃@樣說(shuō)，在一個(gè)較好的安全措施主要就是多種方法來(lái)綜合應(yīng)用結(jié)果。一般在一個(gè)完整的計(jì)算機(jī)網(wǎng)絡(luò)里，主要包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些部分在網(wǎng)絡(luò)中有著非常重要的地位，所以必須從系統(tǒng)的整體角度上去看待這些問(wèn)題，這樣才可以取得有效的措施。

1 防火墻技術(shù)的涵義及工作原理

1）防火墻涵義。通常我們所說(shuō)的防火墻主要就是指在一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間來(lái)執(zhí)行訪問(wèn)控制的系統(tǒng)。主要是包括硬件和軟件。最大的作用的就是更好的保護(hù)計(jì)算機(jī)的安全，以便計(jì)算機(jī)不被可疑因素侵?jǐn)_。在本質(zhì)上，主要就是一種用來(lái)更好的允許或阻止網(wǎng)絡(luò)業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)安全措施。一般情況下就是提供可以有效控制的網(wǎng)絡(luò)通信。可以說(shuō)防火墻在實(shí)質(zhì)上其實(shí)就是用來(lái)有效的控制數(shù)據(jù)流通以及允許數(shù)據(jù)之間流通。所以，通常防火墻主要就是有兩種相互對(duì)立的安全策略：首先，就是可以讓沒(méi)有特別拒絕的事情進(jìn)入計(jì)算機(jī)。在這種特定的情況下，防火墻是僅僅拒絕規(guī)定的某一對(duì)象的，只要是不在拒絕的范圍內(nèi)的情況一般情況下都是可以得到允許的。通常這種策略在對(duì)數(shù)據(jù)包的阻擋能力還是比較小的。因此，安全性還是比較差的。其次，計(jì)算機(jī)主要是拒絕沒(méi)有特別允許的事情。在這種情況主要就是與前面的情況相反，拒絕能力比較強(qiáng)，在這種安全策略中，計(jì)算機(jī)只接收被允許了的數(shù)據(jù)包，只要是不在允許情況中的數(shù)據(jù)包一律被拒絕；2）防火墻的工作原理。通常，防火墻用來(lái)控制Internet和Intranet之間相互聯(lián)系的數(shù)據(jù)流。在應(yīng)用中，計(jì)算機(jī)的防火墻主要是在被保護(hù)網(wǎng)和外部網(wǎng)之間的一組路由器，以及有適當(dāng)軟件的計(jì)算機(jī)的組合。可以說(shuō)在網(wǎng)絡(luò)安全中，防火墻在其中起到了關(guān)鍵的把關(guān)作用，就是在一般情況下只允許授權(quán)的通信通過(guò)。而且防火墻通常是由兩個(gè)網(wǎng)絡(luò)之間的成分集合而成的，基本上是有著以下的性質(zhì)，只要是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻。因?yàn)橹挥蟹习踩呗?，這樣的數(shù)據(jù)流才能通過(guò)防火墻，進(jìn)入計(jì)算機(jī)。防火墻是有著非常強(qiáng)的抗攻擊的免疫力。安全性能好的防火墻主要是有以下的屬性：首先就是信息都必須通過(guò)防火墻，其次，在受保護(hù)網(wǎng)絡(luò)的安全策略中允許的通信才可以通過(guò)防火墻。最后，就是通過(guò)防火墻的信息內(nèi)容和活動(dòng)以及對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警，從而來(lái)增強(qiáng)防火墻對(duì)各種攻擊的免疫。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻的技術(shù)

通常，計(jì)算機(jī)的防火墻種類是比較的多的，一般在不同的發(fā)展階段，是需要運(yùn)用不同技術(shù)的，所以，基于這種原因產(chǎn)生了多種類型的防火墻。一般防火墻采用的技術(shù)主要有以下幾種：1）屏蔽路由技術(shù)?？梢哉f(shuō)。屏蔽路由技術(shù)是目前非常簡(jiǎn)單流行的防火墻技術(shù)。屏蔽路由器技術(shù)主要就是在網(wǎng)絡(luò)層工作，運(yùn)用包過(guò)濾或虛電路技術(shù)，在包過(guò)濾技術(shù)中主要就是通過(guò)檢查IP的網(wǎng)絡(luò)包來(lái)取得信息的。通常就是，先到達(dá)的物理網(wǎng)絡(luò)接口，然后就是源IP地址，目標(biāo)IP地址，傳輸層類型，源端口和目的端口等。在根據(jù)信息，來(lái)進(jìn)行正確的判別，能否規(guī)則集中在某條目匹配，再對(duì)匹配包執(zhí)行規(guī)則中要求的指定動(dòng)作，一般就是允許或是禁止；2）基于代理的防火墻技術(shù)。通常在基于代理的防火墻技術(shù)通常被配置為“雙宿主網(wǎng)關(guān)”，是有著兩個(gè)網(wǎng)絡(luò)接口卡的，同時(shí)接入內(nèi)部和外部的網(wǎng)。因?yàn)榫W(wǎng)關(guān)是可以與兩個(gè)網(wǎng)絡(luò)通信的，所以，是可以安裝在傳遞數(shù)據(jù)軟件比較理想的位置上的。一般這種軟件我們稱之為“代理”，一般情況下，主要就是要為其所提供的服務(wù)定制的。在代理的防火墻技術(shù)中，代理服務(wù)是不允許直接與真正的服務(wù)相互通信，而是與代理服務(wù)器通信的，也就是用戶的默認(rèn)網(wǎng)關(guān)指向代理服務(wù)器。每個(gè)代理在用戶和服務(wù)之間進(jìn)行通信的處理。這樣就可以對(duì)通過(guò)它的數(shù)據(jù)進(jìn)行詳細(xì)的審計(jì)追蹤的，專家們認(rèn)為，這種代理防火墻技術(shù)是比較安全的，主要就是由于代理軟件可以根據(jù)防火墻后面的主機(jī)的脆弱來(lái)制定更好的防范已知的攻擊；3）包過(guò)濾技術(shù)。在防火墻技術(shù)中的包過(guò)濾技術(shù)主要就是按照一定的信息過(guò)濾規(guī)則，來(lái)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行及時(shí)的限制，是可以允許授權(quán)的信息通過(guò)的，但是要拒絕沒(méi)有授權(quán)的信息通過(guò)。在包過(guò)濾防火墻工作主要就是在網(wǎng)絡(luò)層以及邏輯鏈路層之間的。主要就是可以截獲所有流經(jīng)的IP包，一般就是從其IP頭到傳輸層協(xié)議頭，有的可以是應(yīng)用層協(xié)議數(shù)據(jù)中用來(lái)獲取過(guò)濾所需的相關(guān)信息的。不過(guò)，按照順序來(lái)與事先設(shè)定的訪問(wèn)控制的規(guī)則進(jìn)行的匹配比較，以便執(zhí)行相關(guān)的動(dòng)作要求；4）一種改進(jìn)的防火墻技術(shù)。這種改進(jìn)的防火墻技術(shù)可以稱為復(fù)合型防火墻技術(shù)。由于過(guò)濾型的防火墻安全性比較低，而且代理服務(wù)器型的防火墻在速度上比較慢，逐漸就出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點(diǎn)的改進(jìn)型防火墻技術(shù)，這種防火墻技術(shù)保證計(jì)算機(jī)的安全性，而且還通過(guò)它的信息傳輸速度受到的影響不太大。這樣對(duì)于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請(qǐng)求的，基于由于對(duì)內(nèi)部網(wǎng)的安全威脅比較小，所以，可直接下載外部網(wǎng)建立連接，而且從外部網(wǎng)向內(nèi)部網(wǎng)提出的請(qǐng)求，就是先通過(guò)包過(guò)濾型的防火墻，經(jīng)過(guò)初步的安全檢查，兩次檢查后確定沒(méi)問(wèn)題便可接受其請(qǐng)求，不然就進(jìn)行丟棄處理。

[1]章楚.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].人民郵電出版社，2007.

[2]勞幗齡.網(wǎng)絡(luò)安全與管理[J].高等教育出版社，2008.

[3]祁明.網(wǎng)絡(luò)安全[M].高等教育出版社，2010.

[4]白以恩.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及應(yīng)用[M].哈爾濱工業(yè)大學(xué)出版社，2006.