王嘉鵬

摘 要：防火墻是維持網(wǎng)絡安全的重要環(huán)節(jié)，不僅可以起到阻礙、抑制的作用，還可以查殺隱含危險的組件，防火墻對網(wǎng)絡的運行具備安全保護作用。雖然防火墻的發(fā)展逐漸升級，但是實際仍存在無法避免的缺陷，威脅網(wǎng)絡環(huán)境，形成安全隱患，因此，文章通過對防火墻技術(shù)進行研究，分析其在網(wǎng)絡安全中的作用以及重要性。

關(guān)鍵詞：防火墻 網(wǎng)絡安全 技術(shù)研究

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2019）01-000-01

現(xiàn)如今，防火墻技術(shù)已成為網(wǎng)絡安全領(lǐng)域內(nèi)抵御非法訪問及不當入侵的一個關(guān)鍵途徑，防火墻是在一個不安全的網(wǎng)絡環(huán)境中搭建一個較安全的子網(wǎng)平臺。本文系統(tǒng)地分析防火墻的組織架構(gòu)方法，內(nèi)、外部防火墻的部署，最終完成防火墻網(wǎng)絡安全技術(shù)的設(shè)計策略，促使網(wǎng)絡整體具備相對較高的安全級別，進一步提升網(wǎng)絡的安全性能，并展望防火墻網(wǎng)絡安全技術(shù)未來的發(fā)展前景。

一、防火墻的組織架構(gòu)方法

一套防火墻系統(tǒng)一般要由代理服務器及屏蔽路由器所構(gòu)成。代理服務器有助于辨別并過濾掉非法的網(wǎng)絡請求，其最大優(yōu)勢在于盡早實現(xiàn)用戶級的日志記錄、賬號控制及身份識別等目標，所存在的缺陷是必須對每項服務均構(gòu)建相應的應用層網(wǎng)關(guān)，才能提供全方位的保護方案，這在應用中難以落實。屏蔽路由器用于防范IP的欺詐性攻擊，其優(yōu)勢在于架構(gòu)形式相對簡便，硬件所耗費的成本低，不利之處在于較難構(gòu)建包過濾規(guī)則，屏蔽路由器缺乏有效的用戶級身份識別等。

創(chuàng)建一個嚴密的規(guī)則集，搭建安全體系結(jié)構(gòu)是防火墻網(wǎng)絡技術(shù)組織架構(gòu)的關(guān)鍵一環(huán)，也有賴于規(guī)則密集的每條規(guī)則的執(zhí)行，需重點把握幾個要點：將默認防火墻多余的服務予以取消；全部的服務均經(jīng)認可；允許內(nèi)部網(wǎng)絡的用戶出網(wǎng)；增加鎖定規(guī)則，阻塞對防火墻的所有訪問；嚴禁除管理員以外的任何用戶隨意訪問防火墻；允許互聯(lián)網(wǎng)用戶進行DNS服務器的訪問；允許互聯(lián)網(wǎng)及內(nèi)網(wǎng)用戶經(jīng)SMTP實現(xiàn)對郵件服務器的訪問，允許同樣用戶群經(jīng)HTTP訪問Web服務器；內(nèi)網(wǎng)用戶不得公開訪問DMZ；內(nèi)部POP的訪問應認可；從DMZ到內(nèi)網(wǎng)用戶的任何通話，均需作出相應的拒絕，并予以警告；管理員可采用加密的形式訪問內(nèi)網(wǎng)；必要時，可將最普遍運用的規(guī)則移至規(guī)則集的頂部。防火墻僅剖析少部分規(guī)則，便能提升防火墻的網(wǎng)路安全性能。

二、防火墻的架構(gòu)

防火墻系統(tǒng)的基本結(jié)構(gòu)一般由屏蔽路由器和代理服務器組成，共同實現(xiàn)對網(wǎng)絡信息安全的保護。屏蔽路由器的功能是防止IP欺騙攻擊，剔除網(wǎng)絡中模仿IP地址攻擊的病毒，它結(jié)構(gòu)簡單，成本較低，缺點是建立過濾規(guī)則比較困難。目前，一些商家已經(jīng)開發(fā)出相應的過濾規(guī)則，以及用戶身份的登陸協(xié)議，保證用戶遠程登陸的安全等。代理服務器主要是屏蔽一些用戶的非法請求，對用戶的身份認證、日志記錄和用戶的賬戶管理等功能容易實現(xiàn)。新一代的防火墻甚至可以阻止內(nèi)部人員故意破壞數(shù)據(jù)，同時也能夠?qū)⒎阑饓υO(shè)置在網(wǎng)絡之前，減少外來網(wǎng)絡的攻擊。防護墻建立一個可靠的規(guī)則集，并將所有的規(guī)則集中在一起，切斷默認防火墻的不必要的服務，網(wǎng)絡內(nèi)部的人可以通過防火墻訪問外網(wǎng)，然后，添加鎖定規(guī)則，拒絕規(guī)則外的任何防火墻訪問，除系統(tǒng)管理員外，任何人都不能訪問防火墻。

三、防火墻的基本類型

1.包過濾防火墻

主要是采用包過濾的方式，依據(jù)事先設(shè)置好的過濾邏輯，對數(shù)據(jù)包的源地址、目標地地址等數(shù)據(jù)進行監(jiān)測，對網(wǎng)絡層中的數(shù)據(jù)包進行有選擇性的判斷，然后在監(jiān)測數(shù)據(jù)包制定的接口是否允許這些信息通過。例如有一些惡意的小Java程序以及電子郵件的病毒，都能夠通過防火墻進行過濾。

2.代理服務器

主要功能是設(shè)置在網(wǎng)絡上的防火墻網(wǎng)關(guān)，它用于高速緩存，對用戶經(jīng)常訪問的網(wǎng)絡站點內(nèi)容進行過濾，方便下一位用戶在訪問下一個站點時，服務器就不用重復的獲取數(shù)據(jù)，提高用戶獲取信息的效率。

3.狀態(tài)監(jiān)視技術(shù)

在信息傳輸?shù)倪^程中，通過防火墻技術(shù)對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端、類型等信息進行監(jiān)測分析，根據(jù)事先設(shè)定的要求，采用“會話過濾”（Session Filteeing）功能，為一個數(shù)據(jù)的傳輸建立一個回話過程，防火墻會自動的對每一個數(shù)據(jù)包進行監(jiān)測，對數(shù)據(jù)包的信息進行保護。例如可以運用該技術(shù)過濾掉FTP連接中的PUT命令，避免網(wǎng)絡內(nèi)部信息的外泄。

四、防火墻技術(shù)的具體應用

1.內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務器的入口處，通過對外部的訪問者進行控制，從而達到保護內(nèi)部網(wǎng)絡的作用，而處于內(nèi)部網(wǎng)絡的用戶，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶可以訪問規(guī)劃內(nèi)的路徑?？偟膩碚f，內(nèi)網(wǎng)中的防火墻主要起到以下兩個作用：一是認證應用，內(nèi)網(wǎng)中的多項行為具有遠程的特點，只有在約束的情況下，通過相關(guān)認證才能進行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。

2.外網(wǎng)中的防火墻技術(shù)

應用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進入內(nèi)網(wǎng)。針對外網(wǎng)布設(shè)防火墻時，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡活動均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動拒絕為外網(wǎng)提供服務?；诜阑饓Φ淖饔孟?，內(nèi)網(wǎng)對于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細記錄外網(wǎng)活動，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

五、結(jié)束語

在信息化的今天，網(wǎng)絡安全具有十分重要的意義，防火墻技術(shù)作為保護網(wǎng)絡安全的屏障，已經(jīng)受到越來越多的重視。文章對網(wǎng)絡安全進行了介紹，隨后重點分析了幾種類型的防火墻以及防火墻的具體應用。通過以上分析可知，防火墻技術(shù)在保護網(wǎng)絡完全方面具有很大的優(yōu)勢，但是該技術(shù)也不是一勞永逸的，網(wǎng)絡在發(fā)展，新的安全隱患也在不斷產(chǎn)生，因此，對于防火墻技術(shù)的研究也是不能中斷的。發(fā)展防火墻技術(shù)，保護網(wǎng)絡安全，是相關(guān)工作人員不斷追求的目標。

參考文獻

[1]李敏.試析防火墻技術(shù)在計算機網(wǎng)絡安全中的應用[J].科技資訊，2011（7）：24-26.

[2]賈筱景.基于防火墻的網(wǎng)絡安全技術(shù)[J].達縣師范高等專科學校學報，2011（2）：37-39.

[3]張連銀.防火墻技術(shù)在網(wǎng)絡安全中的應用[J].科技資訊.2007（09）.

[4]曾繁榮.防火墻技術(shù)在網(wǎng)絡安全中的應用探究[J].青春歲月.2012（08）.

[5]張新剛，劉妍.防火墻技術(shù)及其在校園網(wǎng)絡安全中的應用[J].網(wǎng)絡安全技術(shù)與應用.2008（05）.