陳惠娟

（新會(huì)廣播電視臺，廣東 新會(huì) 529100）

1 防火墻的概念及功能

防火墻是網(wǎng)絡(luò)安全的首道門戶和重要屏障，它實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，內(nèi)部不同網(wǎng)絡(luò)區(qū)域之間的安全隔離與訪問控制，保證了網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的安全性、穩(wěn)定性與可靠性。防火墻可以根據(jù)不同的安全策略，對數(shù)據(jù)包進(jìn)行檢查，從而控制進(jìn)出防火墻的信息流，防止已知的或不可預(yù)測的入侵行為。防火墻主要有以下的功能：

1.1 數(shù)據(jù)包過濾

網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)模恳粋€(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號和目標(biāo)端口號等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪問控制規(guī)則進(jìn)行比較，進(jìn)而確定是否需對數(shù)據(jù)包進(jìn)行處理和操作。數(shù)據(jù)包過濾可以防止外部不合法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，但由于不能檢測數(shù)據(jù)包的具體內(nèi)容，所以不能識別具有非法內(nèi)容的數(shù)據(jù)包，無法實(shí)施對應(yīng)用層協(xié)議的安全處理。

1.2 防止信息外泄

防火墻通過對內(nèi)外網(wǎng)絡(luò)、內(nèi)部不同區(qū)域網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)了各網(wǎng)絡(luò)及網(wǎng)段的隔離，限制各網(wǎng)絡(luò)之間的互訪，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全，避免內(nèi)部信息的外泄。

1.3 網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換

網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換是一種將私有ⅠP地址轉(zhuǎn)化為公網(wǎng)ⅠP地址的技術(shù)，它被廣泛應(yīng)用于各種類型的網(wǎng)絡(luò)和互聯(lián)網(wǎng)的接人中。網(wǎng)絡(luò)ⅠP地址轉(zhuǎn)換一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)ⅠP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有ⅠP地址，從而有效解決了公網(wǎng)ⅠP地址不足的問題。

1.4 虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)將分布在不同地域上的局域網(wǎng)或計(jì)算機(jī)通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個(gè)整體，不僅省去了建設(shè)專用通信線路的費(fèi)用，還有效地保證了網(wǎng)絡(luò)通信的安全。

1.5 日志記錄與事件通知

進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻，防火墻通過日志對其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

2 防火墻的分類

根據(jù)防火墻的不同工作原理，可以分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)監(jiān)測防火墻三類：

2.1 包過濾防火墻

包過濾防火墻把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則進(jìn)行比較，決定對數(shù)據(jù)包進(jìn)行阻止或放行。包過濾防火墻一般都安裝在路由器上，工作在OSⅠ網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，過濾的規(guī)則是根據(jù)數(shù)據(jù)包頭的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。因?yàn)榕c應(yīng)用層無關(guān)，包過濾防火墻具有非常好的傳輸性以及擴(kuò)展能力，它的處理速度是最快的。但是因?yàn)闊o法判定應(yīng)用層的信息，所以可能會(huì)被黑客用欺騙技術(shù)攻破，同時(shí)由于其過濾規(guī)則的不完善，所以也存在一定的漏洞，安全性比較低。

2.2 狀態(tài)監(jiān)測防火墻

狀態(tài)監(jiān)測防火墻把網(wǎng)絡(luò)中的不同連接階段表現(xiàn)為狀態(tài)，狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標(biāo)志位參數(shù)的不同。在建立連接時(shí)，狀態(tài)監(jiān)測防火墻檢查預(yù)先設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過，并記錄相關(guān)信息，動(dòng)態(tài)生成狀態(tài)表。狀態(tài)監(jiān)測防火墻的內(nèi)部放置了分布探測器，這些探測器安置在各種應(yīng)用服務(wù)器和相關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)上，不僅能防范外網(wǎng)的入侵也能制止內(nèi)部的隱患，具有雙重防范作用。狀態(tài)監(jiān)測防火墻比包過濾防火墻更為安全，但由于多了記錄、檢測和分析這些步驟，可能會(huì)導(dǎo)致網(wǎng)絡(luò)整體性能的下降。

2.3 應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻工作在OSⅠ網(wǎng)絡(luò)參考模型的最高層，即應(yīng)用層。它允許設(shè)置比包過濾防火墻更嚴(yán)格的安全策略，通過對每個(gè)應(yīng)用層的數(shù)據(jù)包進(jìn)行檢查，從而有效提高了網(wǎng)絡(luò)的安全性。它的特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)檢測和控制應(yīng)用層通信流的作用。應(yīng)用網(wǎng)關(guān)防火墻對硬件的要求較高，靈活性較低。

3 防火墻的局限性

防火墻還是存在一定的局限性，不能完全保證網(wǎng)絡(luò)中計(jì)算機(jī)的絕對安全。比如防火墻防外不防內(nèi)，不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊；防火墻不能防止規(guī)則配置不當(dāng)或錯(cuò)誤配置引起的安全威脅，只有對其規(guī)定好的配置規(guī)則進(jìn)行工作，對于實(shí)時(shí)的攻擊或異常的行為不能做出及時(shí)的反應(yīng)；防火墻不能阻止被病毒感染的軟件或文件的傳輸，不能預(yù)防來自應(yīng)用層的攻擊；防火墻也無法阻擋利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷所發(fā)出的攻擊，一旦防火墻放行了某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)就有可能被黑客利用該協(xié)議中的缺陷進(jìn)行攻擊。

4 防火墻的發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，防火墻愈發(fā)成為網(wǎng)絡(luò)的重要安全保障，未來防火墻具有如下的發(fā)展趨勢：

4.1 智能技術(shù)的利用。傳統(tǒng)防火墻的安全策略是靜態(tài)的，靜態(tài)防火墻只能識別一些已知的攻擊行為，對于未知的攻擊則顯得力不從心。根據(jù)網(wǎng)絡(luò)上的動(dòng)態(tài)威脅，自動(dòng)學(xué)習(xí)，自動(dòng)生成安全策略并自動(dòng)配置的智能防火墻會(huì)成為未來的發(fā)展趨勢之一。

4.2 分布式技術(shù)的利用。分布式技術(shù)是發(fā)展的趨勢，多臺物理防火墻協(xié)同工作，組織成一個(gè)強(qiáng)大的、具備并行處理能力、負(fù)載均衡的邏輯防火墻，不僅保證了大型網(wǎng)絡(luò)安全策略的一致，而且便于集中管理，大大降低了投入的資金、人力及管理成本。

4.3 成為網(wǎng)絡(luò)安全管理平臺的一個(gè)組件。隨著網(wǎng)絡(luò)安全管理平臺的發(fā)展，未來所有的網(wǎng)絡(luò)安全設(shè)備將由安全管理平臺統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺提供接口，成為多個(gè)安全系統(tǒng)協(xié)同工作的網(wǎng)絡(luò)安全管理平臺中的重要一員。

4.4 向模塊化演進(jìn)。防火墻的設(shè)計(jì)與開發(fā)離不開用戶的需求，根據(jù)用戶需求和網(wǎng)絡(luò)威脅動(dòng)態(tài)配置的模塊化防火墻，可以實(shí)現(xiàn)更好的擴(kuò)展性，而且在維護(hù)和升級等方面也更加方便，因此防火墻的模塊化發(fā)展是未來的重要發(fā)展趨勢之一。

4.5 深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來越少，但應(yīng)用層的安全問題卻越來越突出，將來防火墻會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，支持更多的應(yīng)用層協(xié)議，不斷挖掘防護(hù)的深度和廣度。

4.6 自身性能和安全性的提升。隨著算法、芯片和硬件技術(shù)的發(fā)展，防火墻的檢測速度、響應(yīng)速度和性能也會(huì)不斷提升，其自身的安全性也會(huì)得到有效的提高，從而為網(wǎng)絡(luò)提供更高效、穩(wěn)定的安全保障。

結(jié)語

防火墻技術(shù)是非常重要的一種網(wǎng)絡(luò)安全技術(shù)，它簡單實(shí)用，透明度高，可被用于消除網(wǎng)絡(luò)通信過程中遇到的各種安全威脅，對提高網(wǎng)絡(luò)的安全性以及保密性具有非常重要的作用。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻已從單純攔截黑客的惡意攻擊，逐步走向全面的網(wǎng)絡(luò)安全管理，防火墻將會(huì)成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

[1]朱衡.網(wǎng)絡(luò)安全技術(shù)的應(yīng)用與分析[J].電腦編程技巧與維護(hù)，2009（08）.

[2]韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J].科技資訊.2010(1).

[3]陳家遷.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2011(23).