摘要：防火墻技術(shù)是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題發(fā)展而起的一門(mén)專(zhuān)業(yè)技術(shù)，旨在提高信息系統(tǒng)對(duì)抗外來(lái)入侵的能力。本文研究并闡述了防火墻技術(shù)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展和信息安全需求更新的發(fā)展和應(yīng)用過(guò)程。

關(guān)鍵詞：防火墻技術(shù);網(wǎng)絡(luò)安全;攻擊防范

中圖分類(lèi)號(hào)：TP393.08?文獻(xiàn)標(biāo)識(shí)碼：A?文章編號(hào)：1672-9129（2020）10-0009-01

1?防火墻的本質(zhì)

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題隨著計(jì)算網(wǎng)絡(luò)技術(shù)的發(fā)展日益嚴(yán)重，防火墻作為主要的計(jì)算機(jī)網(wǎng)絡(luò)安全工具，位于受保護(hù)網(wǎng)絡(luò)的邊緣，保護(hù)網(wǎng)絡(luò)避免受到外來(lái)入侵行為的窺視或破壞。

防火墻認(rèn)為不同的網(wǎng)絡(luò)有不同的安全等級(jí)要求，隔離技術(shù)能通過(guò)對(duì)具有不同安全等級(jí)要求的網(wǎng)絡(luò)進(jìn)行分類(lèi)和相互隔離，達(dá)到保護(hù)特定系統(tǒng)、網(wǎng)絡(luò)資源或者設(shè)備安全的目的。然而，防火墻在網(wǎng)絡(luò)隔離的基礎(chǔ)上還需要對(duì)在不同安全等級(jí)網(wǎng)絡(luò)之間流動(dòng)的數(shù)據(jù)進(jìn)行識(shí)別和過(guò)濾，放行合法安全的通信數(shù)據(jù)，保證網(wǎng)絡(luò)中正常的消息通信。

2?防火墻的分類(lèi)

防火墻從實(shí)現(xiàn)方式上分為軟件防火墻和硬件防火墻。軟件防火墻一般是基于特定操作系統(tǒng)運(yùn)行，我們熟知的Windows操作系統(tǒng)和Linux操作系統(tǒng)都自帶有軟件防火墻。硬件防火墻是專(zhuān)業(yè)的網(wǎng)絡(luò)安全設(shè)備，通常會(huì)作為一個(gè)節(jié)點(diǎn)架設(shè)在網(wǎng)絡(luò)系統(tǒng)中。國(guó)內(nèi)外各家網(wǎng)絡(luò)通信廠商都有全系硬件防火墻產(chǎn)品，用戶可以根據(jù)實(shí)際需求進(jìn)行選購(gòu)。

防火墻按照核心技術(shù)的發(fā)展過(guò)程分為三個(gè)時(shí)期，第一個(gè)時(shí)期是基于訪問(wèn)控制技術(shù)發(fā)展，其中又分為包過(guò)濾技術(shù)、應(yīng)用代理技術(shù)和狀態(tài)監(jiān)測(cè)技術(shù)三個(gè)發(fā)展階段。第二個(gè)時(shí)期是將各種網(wǎng)絡(luò)安全設(shè)備的功能都疊加到一臺(tái)防火墻設(shè)備上，以簡(jiǎn)化網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和開(kāi)銷(xiāo)。第三個(gè)時(shí)期是在第二時(shí)期的基礎(chǔ)上實(shí)現(xiàn)防火墻中各系統(tǒng)資源和各網(wǎng)絡(luò)安全功能的整體化設(shè)計(jì)和運(yùn)行。

3?防火墻的發(fā)展過(guò)程與應(yīng)用

3.1包過(guò)濾防火墻。包過(guò)濾防火墻是基于包過(guò)濾技術(shù)發(fā)展而來(lái)的防火墻產(chǎn)品。包過(guò)濾技術(shù)是根據(jù)數(shù)據(jù)IP包頭信息對(duì)網(wǎng)絡(luò)流量進(jìn)行處理的一種訪問(wèn)控制技術(shù)。包過(guò)濾防火墻采用靜態(tài)過(guò)濾方式，由管理員事先設(shè)置好包過(guò)濾規(guī)則，防火墻按照過(guò)濾規(guī)則對(duì)通過(guò)防火墻的每一個(gè)數(shù)據(jù)包進(jìn)行條件匹配，并對(duì)匹配成功的數(shù)據(jù)包按照設(shè)置好的操作動(dòng)作允許該數(shù)據(jù)包通過(guò)或者丟棄該數(shù)據(jù)包。

包過(guò)濾防火墻的優(yōu)點(diǎn)在于其結(jié)構(gòu)簡(jiǎn)單，如果過(guò)濾規(guī)則設(shè)置合理，能有效的阻隔大部分入侵行為。但是包過(guò)濾防火墻將每個(gè)數(shù)據(jù)包獨(dú)立看待，即使有明顯關(guān)聯(lián)關(guān)系的數(shù)據(jù)包也需要分別設(shè)置包過(guò)濾規(guī)則。更嚴(yán)重的情況是，包過(guò)濾防火墻為了能放行從非安全網(wǎng)絡(luò)到安全網(wǎng)絡(luò)的某些訪問(wèn)數(shù)據(jù)包通過(guò)，必須設(shè)置極其寬松的包過(guò)濾規(guī)則，這使得攻擊者也能很輕松的利用該條過(guò)濾規(guī)則將帶有攻擊行為的數(shù)據(jù)包從非安全網(wǎng)絡(luò)發(fā)送到安全網(wǎng)絡(luò)中。

3.2應(yīng)用代理防火墻。應(yīng)用代理防火墻是采用應(yīng)用代理技術(shù)發(fā)展而來(lái)的一種防火墻產(chǎn)品。該類(lèi)防火墻不是直接對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，而是通過(guò)對(duì)應(yīng)的應(yīng)用代理程序?qū)νㄟ^(guò)的數(shù)據(jù)包進(jìn)行接收、檢查、轉(zhuǎn)換和轉(zhuǎn)發(fā)。

應(yīng)用代理防火墻對(duì)每個(gè)數(shù)據(jù)包都經(jīng)過(guò)其對(duì)應(yīng)的應(yīng)用代理程序分析審查等操作，響應(yīng)延遲較大，容易形成網(wǎng)絡(luò)瓶頸。另一方面，應(yīng)用代理防火墻對(duì)每種應(yīng)用都需要有應(yīng)用代理程序支持，對(duì)于一些新的應(yīng)用，如果其應(yīng)用代理程序的開(kāi)發(fā)滯后或者防火墻未及時(shí)更新，都會(huì)影響到該應(yīng)用的數(shù)據(jù)包正常通過(guò)防火墻。

3.3狀態(tài)監(jiān)測(cè)防火墻。狀態(tài)監(jiān)測(cè)防火墻繼承了包過(guò)濾防火墻對(duì)數(shù)據(jù)包的過(guò)濾方式，同時(shí)又采用狀態(tài)監(jiān)測(cè)技術(shù)對(duì)數(shù)據(jù)包進(jìn)行動(dòng)態(tài)判斷。狀態(tài)監(jiān)測(cè)防火墻認(rèn)為數(shù)據(jù)包之間存在一定聯(lián)系，可以通過(guò)前面已經(jīng)放行數(shù)據(jù)包的狀態(tài)來(lái)對(duì)后續(xù)數(shù)據(jù)包進(jìn)行預(yù)測(cè)和判斷。例如TCP協(xié)議中的三次握手過(guò)程，如果前面已經(jīng)有一個(gè)由安全網(wǎng)絡(luò)到非安全網(wǎng)絡(luò)的SYN數(shù)據(jù)包按照包過(guò)濾規(guī)則通過(guò)了防火墻，那么防火墻將其記錄為一個(gè)會(huì)話，隨后有從非安全網(wǎng)絡(luò)發(fā)送而來(lái)的一個(gè)SYN+ACK的數(shù)據(jù)包到達(dá)防火墻時(shí)，防火墻會(huì)根據(jù)會(huì)話所記錄的內(nèi)容來(lái)判斷該數(shù)據(jù)包是否為前序SYN數(shù)據(jù)包的后續(xù)數(shù)據(jù)包，而不再根據(jù)包過(guò)濾規(guī)則來(lái)判斷。

3.4 UTM防火墻。UTM防火墻是防火墻第二發(fā)展時(shí)期的主要代表，它將傳統(tǒng)的狀態(tài)監(jiān)測(cè)防火墻技術(shù)與入侵檢測(cè)、病毒查殺等功能綜合到一臺(tái)防火墻上。UTM降低了企業(yè)在網(wǎng)絡(luò)安全設(shè)備上的硬件購(gòu)置開(kāi)銷(xiāo)，同時(shí)也降低了網(wǎng)絡(luò)系統(tǒng)維護(hù)難度。但是，UTM防火墻因?yàn)槎喙δ芗先菀讓?dǎo)致系統(tǒng)控制難度增加，造成系統(tǒng)穩(wěn)定性問(wèn)題。并且在UTM防火墻中數(shù)據(jù)包需要依次在各安全功能之間傳遞、檢查和審計(jì)，很大程度的增加了系統(tǒng)開(kāi)銷(xiāo)。

3.5 NGFW防火墻。NGFW防火墻屬于防火墻發(fā)展第三階段的產(chǎn)品，雖然其對(duì)外提供的安全防護(hù)功能與UTM防火墻所提供的功能基本相同，但是相對(duì)于UTM防火墻只是多種安全功能的簡(jiǎn)單疊加，NGFW防火墻則對(duì)其所提供的網(wǎng)絡(luò)安全功能進(jìn)行深度整合。NGFW防火墻采用單一引擎對(duì)數(shù)據(jù)包進(jìn)行分析，根據(jù)數(shù)據(jù)包特征選擇若干個(gè)安全功能模塊并行處理，提高分析效率。同時(shí)NGFW防火墻中采用多核級(jí)MIPS處理器、高速交換矩陣等特殊硬件架構(gòu)，以提升整個(gè)系統(tǒng)的數(shù)據(jù)處理能力。

4?結(jié)語(yǔ)

本文對(duì)防火墻從出現(xiàn)到現(xiàn)今的整個(gè)發(fā)展過(guò)程和應(yīng)用于網(wǎng)絡(luò)安全防護(hù)過(guò)程進(jìn)行了詳細(xì)描述?，F(xiàn)今，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)仍然在高速發(fā)展，網(wǎng)絡(luò)安全威脅也在快速更新，網(wǎng)絡(luò)安全問(wèn)題依然嚴(yán)峻，防火墻作為網(wǎng)絡(luò)安全的主要工具，對(duì)其的研究創(chuàng)新也將隨著整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而持續(xù)進(jìn)行。

參考文獻(xiàn)：

[1]徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談[M]. 人民郵電出版社，2015

[2]王懿嘉. 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用探析[J]. 計(jì)算機(jī)產(chǎn)品與流通，2020（5）：69

[3]楊婷. 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用分析[J]. 數(shù)字技術(shù)與應(yīng)用，2020（5）：177，179

作者簡(jiǎn)介：錢(qián)思佑，出生年月1983年9月，女，重慶市渝北區(qū)，博士，高級(jí)工程師，研究方向：信息安全，計(jì)算機(jī)網(wǎng)絡(luò)，云計(jì)算.