◆宋 杰

基于防火墻技術(shù)的園區(qū)網(wǎng)安全研究

◆宋 杰

(中國航發(fā)北京航科發(fā)動機控制系統(tǒng)科技有限公司 北京 102200)

當前，隨著網(wǎng)絡(luò)技術(shù)的有效應用，在給人們帶來方便的同時，網(wǎng)絡(luò)當中的不安全因素也給人們帶來了一定的影響。人們對于安全問題也是越來越重視，如何不斷加強以及提升安全信息技術(shù)對于社會信息化的發(fā)展有著直接的影響。我國已有很多院校、企業(yè)等單位建立了自己的園區(qū)網(wǎng)，網(wǎng)絡(luò)防火墻技術(shù)在信息安全領(lǐng)域扮演著十分重要的角色。本文就對基于防火墻技術(shù)的園區(qū)網(wǎng)安全進行分析和探討。

防火墻技術(shù)；園區(qū)網(wǎng)；安全

1 園區(qū)網(wǎng)與互聯(lián)網(wǎng)的安全問題

對于計算機網(wǎng)絡(luò)安全性可以將其定義為：確保網(wǎng)絡(luò)服務(wù)的適用性以及網(wǎng)絡(luò)信息的整體性，前者需要所有的用戶能夠?qū)τ谒跈?quán)的服務(wù)進行有效選擇，后者主要就是需要確保網(wǎng)絡(luò)信息資源的準確性、完整性和及時性。網(wǎng)絡(luò)系統(tǒng)的安全性在受到相關(guān)影響之后，通常會造成網(wǎng)絡(luò)系統(tǒng)很難準確、及時地提供相應的服務(wù)功能，以及相關(guān)的信息資源被更改或者其信息被泄露等。因此，加強園區(qū)網(wǎng)的安全建設(shè)主要就是在確保當前網(wǎng)絡(luò)開放性的基礎(chǔ)上，采用科學合理的措施和技術(shù)來確保信息系統(tǒng)的安全以及完整。

園區(qū)網(wǎng)的安全問題現(xiàn)狀主要表現(xiàn)如下幾個方面:

第一，黑客攻擊：當前黑客通常主要采用網(wǎng)絡(luò)實施攻擊，并且采用網(wǎng)絡(luò)監(jiān)聽相關(guān)的賬號以及密碼；第二，拒絕服務(wù)攻擊: 這種方式是一種破壞式的攻擊方式，比如，“電子郵件炸彈”，其主要就是能夠在很短的時間之內(nèi)受到大量的垃圾郵件，從而對正常的業(yè)務(wù)運行受到影響。第三，網(wǎng)絡(luò)計算機病毒的威脅：計算機病毒對于計算機系統(tǒng)有著很大的威脅，在當前的互聯(lián)網(wǎng)環(huán)境下，病毒傳播的傳遞非常的快，并且傳播的面積也逐漸也擴大，很難降低徹底講出，對于網(wǎng)絡(luò)系統(tǒng)有著非常大的影響。第四，網(wǎng)絡(luò)系統(tǒng)的脆弱性: 從互聯(lián)網(wǎng)開始發(fā)展起來就在一定意義上缺少相應的安全體系，因此也就存在一定的安全隱患和自身所擁有的缺陷等。第五，人為因素：在當前安全網(wǎng)絡(luò)體系當中，人為因素對于網(wǎng)絡(luò)安全性在一定意義上有著很大的安全隱患。

2 防火墻網(wǎng)絡(luò)安全技術(shù)的相關(guān)概述

2.1防火墻的基本概念

防火墻本來指用于防止火災蔓延的隔斷墻，在計算機網(wǎng)絡(luò)環(huán)境下，防火墻被引申為保護網(wǎng)絡(luò)安全的防護墻。防火墻主要包括分離器、分析器和限制器。通常情況下，防火墻是主機、軟件和路由器的多種組合。但是，從本質(zhì)上來說，防火墻屬于計算機網(wǎng)絡(luò)保護裝置，用于保護網(wǎng)絡(luò)和用戶資源。而從技術(shù)方面來說，防火墻技術(shù)屬于一種訪問控制技術(shù)，主要在不安全網(wǎng)絡(luò)和機構(gòu)網(wǎng)絡(luò)之間設(shè)置障礙，組織非法信息訪問網(wǎng)絡(luò)，進而保護網(wǎng)絡(luò)的安全性。

2.2防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理及特征

首先，從防火墻網(wǎng)絡(luò)安全技術(shù)的工作原理來說，其工作原理使防火墻按照預先規(guī)定的規(guī)則和配置對通過防火墻的數(shù)據(jù)進行監(jiān)控，并對沒有授權(quán)的數(shù)據(jù)進行限制。并且，防火墻會記錄相關(guān)信息的聯(lián)接來源、闖入者企圖以及服務(wù)器的通信量，以便于網(wǎng)絡(luò)管理人員的跟蹤和監(jiān)測；其次，從防火墻的特性來說，所有計算機網(wǎng)絡(luò)信息都必須通過防火墻。并且，只有被計算機網(wǎng)絡(luò)允許的、受到網(wǎng)絡(luò)保護的信息才能夠通過防火墻。另外，防火墻會記錄所通過的信息和活動，并對網(wǎng)絡(luò)供給進行告警和檢測。

圖1 作為防火墻主體部分的包過濾器示意圖

2.3防火墻網(wǎng)絡(luò)安全技術(shù)的主要功能

首先，防火墻網(wǎng)絡(luò)安全技術(shù)具有認證功能，能夠?qū)π畔⑸矸葸M行認證，以保證數(shù)據(jù)發(fā)送者的可靠性和真實性；其次，防火墻網(wǎng)絡(luò)安全技術(shù)具有完整性功能，能夠?qū)ξ词跈?quán)修改的信息進行探測和標記，保證信息的完整性；其三，防火墻網(wǎng)絡(luò)安全技術(shù)具有訪問控制功能，能夠控制訪問者，并決定是否允許訪問者進入，以避免惡意攻擊和不允許訪問的訪問者進入網(wǎng)絡(luò)系統(tǒng)；其四，防火墻技術(shù)具有審計功能，能夠連續(xù)記錄系統(tǒng)的重要事件，并將所記錄的信息提供給網(wǎng)絡(luò)系統(tǒng)的管理人員；最后，防火墻技術(shù)具有訪問執(zhí)行功能，之后信息完整性檢測和信息認證都通過之后，信息才會通過防火墻進入網(wǎng)絡(luò)內(nèi)部。

3 基于防火墻技術(shù)的園區(qū)網(wǎng)安全研究

3.1內(nèi)部網(wǎng)絡(luò)應用

園區(qū)網(wǎng)承載的業(yè)務(wù)非常多，因此網(wǎng)絡(luò)的安全可靠性也就在一定意義上會提升。防火墻的安全可靠性是確保網(wǎng)絡(luò)安全的基礎(chǔ)，也需要加強重視。通常，相對于高端防火墻來講需要在以下相關(guān)方面加強重視：

（1）軟件系統(tǒng)可靠性

對于通信產(chǎn)品來說，軟件系統(tǒng)很重要。一些廠家往往選取FreeBSD 等開源代碼對其實施修改，這種方式在一般的環(huán)境中基本上能夠有效支持，但是在一些大型的以及復雜的園區(qū)當中就顯得非常不足，只有類似像H3C 的Comware、CISCO 的IOS 這一級別的軟件，在一定意義上才能夠保證系統(tǒng)的安全可靠。

（2）設(shè)備級冗余機制

電源的冗余等方式只能對系統(tǒng)內(nèi)部相關(guān)的模塊異常情況進行處理，很難確保在一些情況下使得系統(tǒng)易于斷網(wǎng)，因此最好在此基礎(chǔ)上對一些較為重要的部件采用全冗余設(shè)計。另外，雙機設(shè)備通常作為對單點故障進行處理的方式已經(jīng)顯得非常成熟，然而對于傳統(tǒng)的雙機方案其主要采用的是VRR P或者動態(tài)路由方式來進行流量切換，在切換當中的時間都需要采用秒來計算；相對于一些視頻業(yè)務(wù)，秒級別的方式也很難符合要求的，因此可以采用H3C F5000 這種控制和轉(zhuǎn)發(fā)平面完全物理分離的相關(guān)機制保證毫秒級的快速收斂和切換。

（3）自我故障檢測機制

相對于一些可靠性較高的設(shè)備來說，采用實時的運行檢測裝置以及鏈路狀態(tài)檢測非常重要，除了采用CPU以及內(nèi)存利用率實時監(jiān)控之外，對于協(xié)議檢測、機箱溫度、風扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測技術(shù)，都是一種提升可靠性的方式。

3.2網(wǎng)絡(luò)各層監(jiān)測和存儲應用

在網(wǎng)絡(luò)層當中采用狀態(tài)檢測防火墻能夠?qū)⑾嚓P(guān)的數(shù)據(jù)信息進行截取，并且在每個應用層當中采用防火墻方式將相應的安全管理方式存放在動態(tài)表當中，對后續(xù)的相關(guān)請求進行分析并且做出相應的決定，其對于網(wǎng)絡(luò)各層實施安全控制。在安全漏洞以及惡意攻擊方面，能夠及時的發(fā)現(xiàn)并且將其記錄，管理人員可以按照漏洞來查記錄將系統(tǒng)的配置進行完善。對于狀態(tài)監(jiān)測防火墻來講，需要按照相應的記錄狀態(tài)，在一定程度上和相應的處理方式進行有效結(jié)合，以此實現(xiàn)實時動態(tài)控制。

3.3數(shù)據(jù)庫安全維護的應用

數(shù)據(jù)庫作為信息資源有效儲存的一個區(qū)域，因此就需要加強防火墻的重視。采用防火墻能夠在一定意義上確保內(nèi)部和外部網(wǎng)絡(luò)的有效隔離，在此基礎(chǔ)上可以使得一些合法的信息進入，一些非法和不合理的信息拒絕進入，并且對于所產(chǎn)生的非法信息進行及時的記錄并且存儲到數(shù)據(jù)庫當中，防止其他相關(guān)的數(shù)據(jù)產(chǎn)生影響，避免網(wǎng)絡(luò)安全問題出現(xiàn)，并且還能夠保證區(qū)域網(wǎng)當中產(chǎn)生相應的問題對整體產(chǎn)生影響。防火墻能夠?qū)ο嚓P(guān)的數(shù)據(jù)實現(xiàn)有效分析，不但能夠?qū)?shù)據(jù)庫當中的相關(guān)信息實現(xiàn)選擇，還能夠?qū)τ跀?shù)據(jù)庫當中的相關(guān)網(wǎng)絡(luò)提供一定的服務(wù)。在網(wǎng)絡(luò)系統(tǒng)安全運行當中對于防火墻的應用能夠?qū)崿F(xiàn)對于數(shù)據(jù)庫信息的準確查找，同時在產(chǎn)生安全隱患時，能對其實現(xiàn)攔截，將其及時的提供給使用人員作為依據(jù)，使得數(shù)據(jù)庫的安全性提升。

4 結(jié)語

隨著網(wǎng)絡(luò)應用的普及，網(wǎng)絡(luò)安全問題日益凸顯。計算機在實際的運行當中帶有相應的病毒時，往往會造成計算機的系統(tǒng)產(chǎn)生崩潰，對于網(wǎng)絡(luò)安全產(chǎn)生很大的影響，也造成了嚴重的經(jīng)濟損失。 在當前的網(wǎng)絡(luò)安全防護當中，防火墻技術(shù)是非常普遍的，其在網(wǎng)絡(luò)安全應用中有著非常重要的意義。

[1]王素紅.ARP攻擊與園區(qū)網(wǎng)安全技術(shù)研究[J].軟件導刊，2013.

[2]岳丹丹.入侵檢測與防火墻技術(shù)協(xié)同組建安全校園網(wǎng)[J].興義民族師范學院學報，2010.

[3]杜秀娟，金志剛，黃科軍，劉艷霞.基于防火墻的園區(qū)網(wǎng)VoIP的安全策略研究[J].計算機工程與設(shè)計，2008.