◆余慧婷

(福建林業(yè)職業(yè)技術學院 福建 353000)

0 引言

網(wǎng)絡安全問題的研究具有特殊性，我國進行獨立研發(fā)和自主開發(fā)信息系統(tǒng)的時間較短，受諸多原因限制，起步較晚，而且很多新技術不是很成熟，與國外先進技術相比較還有一定的差距。近年，有關網(wǎng)絡安全技術的研究開始受到更多的重視，也取得了長足的進展?，F(xiàn)在解決網(wǎng)絡安全問題的有效方法之一是建立內網(wǎng)與外網(wǎng)相連接的防火墻設置，這無論是從理論指導上還是實際應用上都有著十分重要的意義。

1 防火墻的概念

防火墻主要的作用是強化網(wǎng)絡的控制量，用節(jié)點連接網(wǎng)絡設備，控制網(wǎng)絡訪問量。比如，路由器、網(wǎng)關等，均是由多個網(wǎng)絡傳輸構成的，通過數(shù)據(jù)包或者鏈接的方式按照安全措施的要求進行檢查，從而決定網(wǎng)絡間通訊是否被允許，這不但能提高內部控制網(wǎng)絡與外部控制網(wǎng)絡之間的數(shù)據(jù)傳輸效率，同時也能讓內部網(wǎng)絡信息免受因外部非授權用戶的訪問而產(chǎn)生安全漏洞。

防火墻細致劃分可以分為軟件防火墻和硬件防火墻這兩類。軟件防火墻是以現(xiàn)有網(wǎng)絡為前提開展的網(wǎng)絡化系統(tǒng)操作，所以多選用UNIX操作系統(tǒng)，特點是以操作系統(tǒng)的內核穩(wěn)定性為前提開設的。穩(wěn)健的操作系統(tǒng)不容易被下三層的攻擊形式所影響，在充分利用操作系統(tǒng)功能性的同時，能讓安全系統(tǒng)更為完善。但存在的不足是當操作系統(tǒng)出現(xiàn)問題以后，會影響到防火墻的安全性能，而且要額外購置安裝操作系統(tǒng)。硬件防火墻均是自己獨立開發(fā)出來的操作系統(tǒng)，或者是部分經(jīng)過改造的操作系統(tǒng)這些系統(tǒng)均要在特定的硬件系統(tǒng)上才能運行，不但能摒除原有系統(tǒng)中不必要的麻煩，也能讓其整體性能達到最佳狀態(tài)，從而能達到源代碼保密的作用。

2 防火墻的關鍵性技術

2.1 數(shù)據(jù)包過濾技術

數(shù)據(jù)包過濾技術是根據(jù)系統(tǒng)內部的過濾邏輯進行選擇和分析，在網(wǎng)絡層進行防護的技術。這項技術的應用，必須要依靠訪問控制表。數(shù)據(jù)過濾時需要對數(shù)據(jù)流當中所包含的所有數(shù)據(jù)包進行全面檢查，包括源地址、目的地址等等，從而確定數(shù)據(jù)包的安全性，再決定是否允許通過。只有滿足既定規(guī)則的數(shù)據(jù)包才可以進行發(fā)送，不能滿足相應規(guī)則的數(shù)據(jù)包將會被刪除。這項技術以過濾算法的設計做為安全防護的核心。

2.2 應用網(wǎng)關技術

應用網(wǎng)關主要是在網(wǎng)絡應用上通過協(xié)議過濾的方式針對具體提出的問題開展對應的網(wǎng)絡化服務，既通過協(xié)議過濾網(wǎng)的方式，讓數(shù)據(jù)包分析相關的報告。應用網(wǎng)關是對某些容易登錄或者容易控制的通信環(huán)境進行控制，這能防止部分具有價值的程序免于被盜。另外，他的另一個功能是記錄信息，運用不同的用戶連接點，是信息能在具體的使用中滿足其需求，從而建立起專用型較好的工作系統(tǒng)。

2.3 網(wǎng)絡地址轉換技術

網(wǎng)絡地址轉換可以對內部地址進行轉換，其轉換過程以透明方式進行。利用這種方式，防止內部網(wǎng)絡的結構出現(xiàn)泄露，同時保護主機資源，防止外部網(wǎng)絡訪問。這種技術的應用，使得黑客無法攻擊內部網(wǎng)絡，同時允許內部網(wǎng)絡用戶重新設定自己的IP，從而解決內部IP不足的問題。

2.4 套接技術

Sockets是網(wǎng)絡應用層內的國家化標準。在受到網(wǎng)絡保護后需要與外界網(wǎng)絡進行互動聯(lián)系，防火墻使用套接服務的關鍵是用于檢查開戶源的信息和 IP地址，在經(jīng)過確認以后，所有的套接服務才能與外界開展連接。從用戶的角度考慮，受到保護的網(wǎng)絡與外部網(wǎng)絡間的信息交換是透明的，是很難感受到防火墻的存在的，原因是網(wǎng)絡用戶不需要直接登錄到防火墻上面，但是客戶端的應用需要支持“socketsified API”。

2.5 安全IP通道

安全IP通道實現(xiàn)安全防護的主要形式是通過IP安全協(xié)議完成的。需要將 IP數(shù)據(jù)包進行封裝并加密處理之后再進行傳送。包在網(wǎng)絡通道的起始端進行加密，傳送到末端后進行解密。加密系統(tǒng)處理后的數(shù)據(jù)包，可以使得不同的用戶利用公共網(wǎng)絡安全的建立虛擬私網(wǎng)，并在其中交換數(shù)據(jù)，有效的防止黑客攻擊。利用IP通道技術，可以形成多個用戶共同完成安全數(shù)據(jù)交流，使得由多個用戶形成的用戶群在公共網(wǎng)絡之中也能進行安全的數(shù)據(jù)公開交互，形成類似于局域網(wǎng)一樣的虛擬私有網(wǎng)絡。

2.6 郵件技術

當防火墻采用多種安全防護技術，使得安全防護工作得到一定的保障，使得外部網(wǎng)絡僅能獲得防火墻的 IP以及域名，外部網(wǎng)絡所發(fā)送的數(shù)據(jù)郵件便只能傳送到防火墻上。這時防火墻便可以對郵件進行規(guī)則內的全面檢查，當郵件的源主機在規(guī)則內是允許通過的時，防火墻便對郵件進行地址的轉換，使其得到目的地址并轉送到內部的郵件服務器，再由內部服務器進行轉發(fā)。

2.7 身份認證技術

與包過濾技術和訪問控制技術不同，這兩種技術都是基于對要訪問的服務器進行有效安全防護的，而身份認證技術所針對的對象卻是想要對網(wǎng)絡進行有效訪問的個人。身份認證技術以用戶權限所能控制的SEED值、迭代值以及用戶所設計的密碼為基礎進行加密口令的生成，從而防止黑客利用 SNIFFER獲得用戶自身的登錄口令。同時，防火墻本身的用戶數(shù)據(jù)庫以及增強數(shù)據(jù)庫會對用戶所登錄的網(wǎng)絡服務器進行驗證，從而限制對網(wǎng)絡資源的的訪問。

2.8 代理服務器

代理服務器技術通常被使用在應用層，它能提供有效的應用層服務相關控制。當內部網(wǎng)絡申請向外部網(wǎng)絡進行訪問，并發(fā)送數(shù)據(jù)時，有代理服務器進行轉接。內部網(wǎng)絡對于外部網(wǎng)絡的各個接點所發(fā)送的數(shù)據(jù)直接拒絕，只由代理服務器進行相關數(shù)據(jù)的接收，并尤其進行數(shù)據(jù)由外向內的轉接工作。

代理服務器在防火墻主機上是單獨存在的一種應用程序，或者是一種服務器類的程序。防火墻主機可以成為一種雙宿主主機，其在功能上，可以同時具有外部幾口和內部接口。這種主機可以對網(wǎng)絡進行訪問，并且內部主機也可以進行有效訪問堡壘主機。用戶對網(wǎng)絡的請求由這些程序進行處理，并以固定的安全策略，將其進行轉發(fā)，從而實現(xiàn)實際服務。代理服務器可以為內部主機提供一種代替性的連接，由代理服務器與外部網(wǎng)絡進行連接，并且充當所有數(shù)據(jù)交互服務當中的網(wǎng)關。

3 防火墻的局限性

防火墻在使用時可以防止信息泄露，但是也有很多局限性存在，具體細化內容如下：

Internet防火墻很難防范外界其他途徑帶來的攻擊。例如，如果允許向受到保護的網(wǎng)絡內部撥號，內網(wǎng)用戶就能直接使用SLIP或者PPP進入到Internet。但有部分用戶需要借用附加認證的方式進行代理，這就讓人感覺很厭煩，導致很多人放棄這一環(huán)節(jié)，所以在向ISP購買SLIP或者PPP連接的時候，可以繞過精心預設的防火墻為其提供安全系統(tǒng)，給后門攻擊提供了極大的可能性。網(wǎng)絡上用戶需要對這種類型進行簡單的了解，通過系統(tǒng)性的防護盡量避免這種狀況的發(fā)生。

Interent防火墻很難防范出來自于內部的攻擊和部分用戶不規(guī)范操作所帶來的威脅。公司內部的員工竊取數(shù)據(jù)后，均可以將內容直接拷貝到硬盤上，然后帶離公司，而防火墻此時不能發(fā)揮作用。防火墻不能防范攻擊者是偽裝成超級用戶和一些新雇員的攻擊行為。此外還有一些非法分子為獲得信息，直接誘導老雇員在警惕性較低的情況下將用戶密碼公開或者授予新員工較高的臨時訪問權限，最終導致計算機系統(tǒng)中的信息被非法用戶所盜取。

防火墻不能避免病毒文件的傳送。病毒的種類較多，所以對應的操作系統(tǒng)也有很多種，由于編碼與壓縮二進制文件的方式各不相同，所以在使用時不能要求Internet對每一個系統(tǒng)文件進行掃描，查找潛在病毒。所以，對病毒特別擔心的機構需要在桌面上面部署防病毒的軟件，這能避免病毒直接入侵軟件進入到網(wǎng)絡系統(tǒng)內。

防火墻很難防范數(shù)據(jù)驅動系統(tǒng)所帶來的攻擊。數(shù)據(jù)驅動系統(tǒng)的攻擊從表面上看是一種無害的數(shù)據(jù)，直接將其郵寄或者拷貝到Internet的主機上面，但是在執(zhí)行時就容易產(chǎn)生攻擊。例如，一個數(shù)據(jù)性的攻擊能讓主機先于安全相關的文件，讓入侵者在獲取到系統(tǒng)訪問權后能看到堡壘主機部署的代理服務器是禁止從外部直接進行訪問的，從而以減少數(shù)據(jù)驅動型攻擊。

4 IPSec在Linux系統(tǒng)平臺上的實現(xiàn)

4.1 數(shù)據(jù)封裝負載（ESP）分析

以安全封裝負載的方式進行安全防護時，將會對數(shù)據(jù)包當中的所有數(shù)據(jù)進行加密，從而取保信息的安全性和機密性，這樣可以有效的確保信息在傳遞過程當中不被其他用戶監(jiān)聽，從而防止信息交換的內容泄露。這種安全防措施的應用當中，只有受信任用戶才能通過密鑰將信息打開。ESP的工作當中，還包括了認證的提供以及數(shù)據(jù)完整性的維持工作。由于ESP的防范措施會使得所有的數(shù)據(jù)都被加密，所以它在進行數(shù)據(jù)處理時，會占用很多時間，使得性能降低。

4.2 互聯(lián)網(wǎng)密鑰管理協(xié)議

互聯(lián)網(wǎng)密鑰管理協(xié)議當中的密鑰由兩部分組成，分別是密鑰確定以及分發(fā)，密鑰的個數(shù)最多可以設定為四個，AH和ESP分別占有兩個發(fā)送和接收密鑰。密鑰以十六進制表示，譬如一個56位的密鑰可以表示為5F39DA752E0C25B4。這種56位的密鑰，便能夠滿足絕大多數(shù)的應用了。

密鑰管理上，可以進行手動管理，也可以進行自動管理。手動管理需要管理員通過手工操作進行系統(tǒng)設置，這種方法可以在小型網(wǎng)絡當中得到有效的使用，能夠滿足有限的安全需要。自動管理能夠對所有的應用給予回應。自動管理系統(tǒng)可以在密鑰的確定和分發(fā)過程中實行動態(tài)管理。管理過程中通過中央控制點進行統(tǒng)一操作，使得密鑰管理者能夠進行集中，完全發(fā)揮IPSec效用。

5 結束語

網(wǎng)絡安全的重要性應當?shù)玫匠浞值闹匾?，防火墻技術的應用便是非常有效的手段。防火墻可以對未經(jīng)授權的訪問進行拒絕，防止用戶信息泄露，同時對于合法用戶提供不限制的訪問。防火墻的使用，可以有效的提高網(wǎng)絡安全性，但其并不能應對所有的威脅，譬如防火墻雖然可以有效的應對外部攻擊，但是內部攻擊的防護能力卻很弱。因此需要對防火墻加以正確的使用，使得網(wǎng)絡安全得到保護。

[1]高旭平.基于B/S架構的防火墻策略審計系統(tǒng)的設計與實現(xiàn)[J].北京郵電大學，2014.

[2]張建莊，張葵葵.基于Windows環(huán)境的個人防火墻系統(tǒng)的研究與實現(xiàn)[J].武漢理工大學，2015.

[3]李釗洪.基于 Linux操作系統(tǒng)的分布式防火墻系統(tǒng)研究[J].電子科技大學，2014.