劉麗君

摘 要：社會(huì)的進(jìn)步以及計(jì)算機(jī)技術(shù)的快速發(fā)展，使互聯(lián)網(wǎng)走進(jìn)了千家萬(wàn)戶(hù)。目前，互聯(lián)網(wǎng)已經(jīng)成為人們生活的一部分，為人們帶來(lái)了很大的便利，但是在享受這種便利的同時(shí)，人們還常常受到網(wǎng)絡(luò)上不安全因素的困擾。針對(duì)互聯(lián)網(wǎng)安全問(wèn)題，文章以基于防火墻的網(wǎng)絡(luò)安全策略為主題，圍繞網(wǎng)絡(luò)安全問(wèn)題、網(wǎng)絡(luò)安全特征、防火墻的特征和類(lèi)型以及防火墻的具體應(yīng)用進(jìn)行簡(jiǎn)單探討。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；安全策略；類(lèi)型

互聯(lián)網(wǎng)技術(shù)在給人們帶來(lái)便利的同時(shí)，也給人們帶來(lái)了一些安全隱患，尤其是Internet的出現(xiàn)，更是加劇了安全隱患。自互聯(lián)網(wǎng)興起以來(lái)，世界各國(guó)均發(fā)生過(guò)互聯(lián)網(wǎng)黑客案件，世界上一半以上的計(jì)算機(jī)都曾遭受過(guò)黑客的攻擊，銀行、金融行業(yè)更甚，加強(qiáng)網(wǎng)絡(luò)安全是人們不容忽視的一個(gè)問(wèn)題。網(wǎng)絡(luò)安全涉及到的內(nèi)容很多，也有很多安全技術(shù)，其中最常見(jiàn)的是防火墻技術(shù)，它為網(wǎng)絡(luò)安全帶來(lái)了保障，目前已經(jīng)得到了廣泛的推廣。

1 網(wǎng)絡(luò)安全策略與防火墻

1.1 網(wǎng)絡(luò)安全策略

目前，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分，人們?cè)诨ヂ?lián)網(wǎng)上進(jìn)行商品交易、郵件互傳、資金轉(zhuǎn)賬等活動(dòng)，如果網(wǎng)絡(luò)存在安全威脅，那么人們的財(cái)產(chǎn)以及一些個(gè)人信息也將會(huì)受到威脅，實(shí)施網(wǎng)絡(luò)安全策略，就是為了在一定程度上增強(qiáng)網(wǎng)絡(luò)的安全性，從而保護(hù)用戶(hù)的安全。常見(jiàn)的威脅網(wǎng)絡(luò)安全的因素體現(xiàn)在以下幾個(gè)方面，如操作系統(tǒng)自身漏洞、防火墻設(shè)置不當(dāng)、用戶(hù)的有意破壞等，針對(duì)這些問(wèn)題，制定相關(guān)的網(wǎng)絡(luò)安全策略勢(shì)在必行[1]。

1.2 網(wǎng)絡(luò)安全特征

網(wǎng)絡(luò)安全是人們使用互聯(lián)網(wǎng)進(jìn)行活動(dòng)的前提、是最重要的保障。一個(gè)安全的網(wǎng)絡(luò)環(huán)境，應(yīng)該具備以下九個(gè)特征：一是要具有保密性，保證用戶(hù)的個(gè)人信息和資料不被泄露，所有的一切活動(dòng)都建立在授權(quán)的基礎(chǔ)上；二是要具有真實(shí)性，用戶(hù)在互聯(lián)網(wǎng)上進(jìn)行一些賬戶(hù)注冊(cè)時(shí)，要保證其信息是真實(shí)的，鑒別真?zhèn)伪闶钦鎸?shí)性需要解決的問(wèn)題；三是要具有完整性，保證信息的完整，使其不受到惡意的破壞；四是要具有可靠性，在一定的時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)能夠完成預(yù)先設(shè)定的要求；五是要具有可用性，網(wǎng)絡(luò)信息在被授權(quán)的情況下，可以被用戶(hù)獲取并使用；六是具有非抵賴(lài)性，對(duì)網(wǎng)絡(luò)信息資源進(jìn)行操作的用戶(hù)，其真實(shí)性被確定，因此對(duì)于其的網(wǎng)絡(luò)行為不可抵賴(lài)；七是具有可控性，對(duì)于一些不良的網(wǎng)絡(luò)信息要進(jìn)行控制，使其不能在網(wǎng)絡(luò)上進(jìn)行傳播；八是具有授權(quán)功能，能授權(quán)給予某些特定用戶(hù)，使其具有訪(fǎng)問(wèn)一些資源的權(quán)利；九是具有認(rèn)證功能，被授權(quán)的用戶(hù)，需要通過(guò)身份認(rèn)證才能行使權(quán)力。

1.3 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全技術(shù)的一種，它的防護(hù)效果最佳，已經(jīng)受到越來(lái)越多的重視。防火墻是一個(gè)硬件和軟件結(jié)合的系統(tǒng)，它處在專(zhuān)用網(wǎng)絡(luò)和共用網(wǎng)絡(luò)之間，為內(nèi)部網(wǎng)絡(luò)構(gòu)筑了一層保護(hù)墻，保護(hù)內(nèi)部網(wǎng)絡(luò)的用戶(hù)不受到網(wǎng)絡(luò)安全威脅，因此被稱(chēng)為防火墻。每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)都應(yīng)該設(shè)有防火墻，只有通過(guò)防火墻，用戶(hù)才可以進(jìn)行數(shù)據(jù)傳輸，即安全的數(shù)據(jù)通過(guò)防火墻傳輸出去，而存在隱患的數(shù)據(jù)被攔截。黑客在進(jìn)行網(wǎng)絡(luò)入侵時(shí)，只有先通過(guò)防火墻，才能得到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。因此，加強(qiáng)防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全具有十分重要的意義。

2 防火墻的常見(jiàn)類(lèi)型

2.1 包過(guò)濾型防火墻

包過(guò)濾型防火墻是最基礎(chǔ)的防火墻技術(shù)，其在網(wǎng)絡(luò)分包傳輸技術(shù)的基礎(chǔ)上產(chǎn)生，工作原理比較簡(jiǎn)單。通常情況下，數(shù)據(jù)通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候，都是通過(guò)“包”的形式進(jìn)行傳輸，即將需要傳輸?shù)臄?shù)據(jù)信息分割成一個(gè)個(gè)的數(shù)據(jù)包，以數(shù)據(jù)包的形式進(jìn)行傳輸。數(shù)據(jù)包在通過(guò)防火墻的時(shí)候，防火墻會(huì)對(duì)數(shù)據(jù)包內(nèi)所含有的源信息進(jìn)行判斷，如果發(fā)現(xiàn)安全隱患，那么該數(shù)據(jù)包將會(huì)被攔截。該類(lèi)型的防火墻簡(jiǎn)單實(shí)用，成本較低，但是安全系數(shù)不夠高，只能在一定程度上保護(hù)網(wǎng)絡(luò)的安全性，在面對(duì)一些高危險(xiǎn)病毒的時(shí)候，該類(lèi)型防火墻往往會(huì)識(shí)別不出來(lái)，導(dǎo)致網(wǎng)絡(luò)安全受到威脅。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻

網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有IP地址的用戶(hù)以及其網(wǎng)絡(luò)中的任何一臺(tái)電腦訪(fǎng)問(wèn)因特網(wǎng)，且在內(nèi)部網(wǎng)絡(luò)進(jìn)行外部訪(fǎng)問(wèn)時(shí)，防火墻將會(huì)將訪(fǎng)問(wèn)外部的源地址和源端口偽裝成另一個(gè)源地址和源端口，使用偽裝之后的地址與外部網(wǎng)絡(luò)進(jìn)行連接，從而對(duì)用戶(hù)的真實(shí)的IP地址起到保護(hù)的作用。當(dāng)外部的網(wǎng)絡(luò)要對(duì)內(nèi)部的網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)的時(shí)候，防火墻會(huì)根據(jù)偽裝時(shí)設(shè)定的信息來(lái)對(duì)訪(fǎng)問(wèn)進(jìn)行判斷，當(dāng)訪(fǎng)問(wèn)符合預(yù)先設(shè)定的規(guī)則時(shí)，訪(fǎng)問(wèn)將會(huì)被允許，否則將會(huì)被拒絕。網(wǎng)絡(luò)地址轉(zhuǎn)換型的防火墻是不需要用戶(hù)進(jìn)行特定設(shè)置的，用戶(hù)在使用會(huì)聯(lián)網(wǎng)的過(guò)程中，該類(lèi)型防火墻將會(huì)自動(dòng)起到保護(hù)作用。

2.3 代理型防火墻

代理型防火墻又稱(chēng)為代理服務(wù)器，其保護(hù)作用要高于包過(guò)濾型防火墻。代理服務(wù)器置于客戶(hù)機(jī)和服務(wù)器之間，主要用于阻擋兩者進(jìn)行數(shù)據(jù)交流。對(duì)于客戶(hù)機(jī)來(lái)說(shuō)，代理服務(wù)器可以看為一臺(tái)真正的服務(wù)器，而對(duì)于服務(wù)器來(lái)說(shuō)，代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。代理服務(wù)器的工作原理是，用戶(hù)必須通過(guò)代理服務(wù)器才能從服務(wù)器上獲取所需要的數(shù)據(jù)，代理服務(wù)器在這里扮演著橋梁的角色，代理服務(wù)器作為用戶(hù)與服務(wù)器之間的橋梁，向服務(wù)器傳達(dá)用戶(hù)的需求，服務(wù)器將所需數(shù)據(jù)傳輸給代理服務(wù)器，最后由代理服務(wù)器將數(shù)據(jù)傳輸給用戶(hù)。在網(wǎng)絡(luò)中，外部服務(wù)器和內(nèi)部服務(wù)器之間是不連通的，因此內(nèi)部數(shù)據(jù)在通過(guò)代理服務(wù)器進(jìn)行傳輸時(shí)可以免受外部網(wǎng)絡(luò)的侵害。代理型服務(wù)器的安全性能高，但是設(shè)置過(guò)程復(fù)雜，系統(tǒng)管理不易。

2.4 監(jiān)測(cè)型防火墻

監(jiān)測(cè)型防火墻是近年來(lái)新開(kāi)發(fā)的一門(mén)防火墻技術(shù)，該類(lèi)型的防火墻能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)實(shí)現(xiàn)隨時(shí)隨地的監(jiān)測(cè)，且該類(lèi)型防火墻的分布十分廣泛，帶有分布式的探測(cè)器，其防護(hù)效果極高[2]。監(jiān)測(cè)型防火墻在一定程度上超出了傳統(tǒng)的防火墻的定義，其性能優(yōu)于其他類(lèi)型的防火墻，但是由于該類(lèi)型防火墻的實(shí)現(xiàn)成本比較昂貴，因此該類(lèi)型的防火墻還沒(méi)得到廣泛的應(yīng)用和推廣。目前，考慮到成本等多方面因素，用戶(hù)可以選擇性地設(shè)置防火墻，在滿(mǎn)足安全需要的同時(shí)對(duì)成本進(jìn)行控制。

3 防火墻技術(shù)的具體應(yīng)用

3.1 內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務(wù)器的入口處，通過(guò)對(duì)外部的訪(fǎng)問(wèn)者進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，而處于內(nèi)部網(wǎng)絡(luò)的用戶(hù)，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶(hù)可以訪(fǎng)問(wèn)規(guī)劃內(nèi)的路徑?？偟膩?lái)說(shuō)，內(nèi)網(wǎng)中的防火墻主要起到以下兩個(gè)作用：一是認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程的特點(diǎn)，只有在約束的情況下，通過(guò)相關(guān)認(rèn)證才能進(jìn)行；二是記錄訪(fǎng)問(wèn)記錄，避免自身的攻擊，形成安全策略。

3.2 外網(wǎng)中的防火墻技術(shù)

應(yīng)用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進(jìn)入內(nèi)網(wǎng)。針對(duì)外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ淖饔孟?，內(nèi)網(wǎng)對(duì)于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無(wú)法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過(guò)分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

4 結(jié)束語(yǔ)

在信息化的今天，網(wǎng)絡(luò)安全具有十分重要的意義，防火墻技術(shù)作為保護(hù)網(wǎng)絡(luò)安全的屏障，已經(jīng)受到越來(lái)越多的重視。文章對(duì)網(wǎng)絡(luò)安全進(jìn)行了介紹，隨后重點(diǎn)分析了幾種類(lèi)型的防火墻以及防火墻的具體應(yīng)用。通過(guò)以上分析可知，防火墻技術(shù)在保護(hù)網(wǎng)絡(luò)完全方面具有很大的優(yōu)勢(shì)，但是該技術(shù)也不是一勞永逸的，網(wǎng)絡(luò)在發(fā)展，新的安全隱患也在不斷產(chǎn)生，因此，對(duì)于防火墻技術(shù)的研究也是不能中斷的。發(fā)展防火墻技術(shù)，保護(hù)網(wǎng)絡(luò)安全，是相關(guān)工作人員不斷追求的目標(biāo)。

參考文獻(xiàn)

[1]李敏.試析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊，2011（7）：24-26.

[2]賈筱景.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].達(dá)縣師范高等專(zhuān)科學(xué)校學(xué)報(bào)，2011（2）：37-39.