周天津

摘要：防火墻是一種防護(hù)系統(tǒng)，在內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)造安全屏障，根據(jù)指定的訪問規(guī)則對(duì)所有流入流出的數(shù)據(jù)包進(jìn)行審查、過濾，為計(jì)算機(jī)系統(tǒng)提供抗入侵攻擊的能力，保護(hù)內(nèi)網(wǎng)環(huán)境安全。

關(guān)鍵詞：防火墻技術(shù);部署;發(fā)展

中圖分類號(hào)：TP393.08?? 文獻(xiàn)標(biāo)識(shí)碼：A?? 文章編號(hào)：1672-9129（2020）16-0002-01

1 引言

計(jì)算機(jī)網(wǎng)絡(luò)是為了促進(jìn)信息傳播、資源共享，通過不同主機(jī)、服務(wù)器互聯(lián)的方式搭建的大型開放性通信網(wǎng)絡(luò)，在現(xiàn)代社會(huì)很多重要基礎(chǔ)設(shè)施的運(yùn)行、管理、維護(hù)中發(fā)揮了積極作用。但計(jì)算機(jī)網(wǎng)絡(luò)并不是毫無缺點(diǎn)，網(wǎng)絡(luò)安全問題可能發(fā)生在計(jì)算機(jī)使用過程的每一個(gè)環(huán)節(jié)中，為了提供可靠的網(wǎng)絡(luò)環(huán)境，現(xiàn)行各類操作系統(tǒng)采用了多種防范技術(shù)手段作為安全保障，防火墻技術(shù)就是其中最基礎(chǔ)，也最必要的。防火墻技術(shù)的主要目標(biāo)是在計(jì)算機(jī)聯(lián)網(wǎng)的全時(shí)段，審查、檢測(cè)傳輸?shù)男畔?，劃分、過濾高風(fēng)險(xiǎn)的信息或網(wǎng)絡(luò)，阻攔隱藏其中的計(jì)算機(jī)病毒入侵系統(tǒng)。

2 防火墻技術(shù)

2.1包過濾技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)以“包”為單位進(jìn)行傳輸，包頭通常包含端口號(hào)、地址、協(xié)議類型等信息，包過濾技術(shù)[1]的實(shí)施過程就是使用路由器依據(jù)指定規(guī)則在網(wǎng)絡(luò)層和傳輸層檢查包頭對(duì)應(yīng)字段完成監(jiān)視和過濾工作，轉(zhuǎn)發(fā)符合規(guī)則的數(shù)據(jù)包，丟棄匹配失敗的數(shù)據(jù)包。包過濾技術(shù)執(zhí)行時(shí)間短，速度快，透明性高，但難以支持復(fù)雜過濾需求和部分協(xié)議，且沒有日志記錄，局限性較大，需要配合其他技術(shù)以提供更完備的安全性。

2.2應(yīng)用代理技術(shù)。應(yīng)用代理技術(shù)的目標(biāo)同樣是過濾數(shù)據(jù)包，與包過濾技術(shù)的不同點(diǎn)是在這種方式下，內(nèi)網(wǎng)數(shù)據(jù)包要經(jīng)過應(yīng)用層的代理程序才能傳輸至外部網(wǎng)絡(luò)，外網(wǎng)數(shù)據(jù)包同樣要先傳送到代理處，經(jīng)過檢驗(yàn)，符合安全策略的外網(wǎng)數(shù)據(jù)包才會(huì)被轉(zhuǎn)發(fā)給內(nèi)網(wǎng)。應(yīng)用代理技術(shù)可以將內(nèi)網(wǎng)與外網(wǎng)隔離開來，隱藏內(nèi)網(wǎng)地址，實(shí)現(xiàn)數(shù)據(jù)包傳輸?shù)耐耆刂芠2]，但處理速度比包過濾的速度慢，具有一定的不透明性。

2.3狀態(tài)檢測(cè)與會(huì)話。狀態(tài)檢測(cè)是為了將相同通信端發(fā)送的數(shù)據(jù)包劃分為一個(gè)整體，當(dāng)來自某個(gè)發(fā)送端的首包通過了接收端安全規(guī)則的校驗(yàn)時(shí)，通信雙方建立一個(gè)連接，這個(gè)連接被稱為會(huì)話。會(huì)話建立以后，接收端不再檢查來自同一個(gè)發(fā)送端的后續(xù)報(bào)文，而是直接將其進(jìn)行轉(zhuǎn)發(fā)，提高傳輸效率。若接收端沒有接收到首包或首包與校驗(yàn)規(guī)則不匹配，其后續(xù)報(bào)文會(huì)被接收端全部丟棄，不進(jìn)行接收。

2.4DPI技術(shù)。DPI技術(shù)與普通數(shù)據(jù)包過濾技術(shù)不同，DPI在檢測(cè)端口、地址、協(xié)議類型的基礎(chǔ)上增加了對(duì)數(shù)據(jù)包內(nèi)容的檢測(cè)，通過識(shí)別不同協(xié)議的特征字、應(yīng)用層網(wǎng)關(guān)和行為模式等指標(biāo)探測(cè)數(shù)據(jù)包的真正應(yīng)用，判定其是否符合安全規(guī)則，再按照預(yù)定策略進(jìn)行不同操作，完成過濾攻擊、數(shù)據(jù)包流向分析等功能。

3 防火墻部署

3.1透明模式。工作在透明模式的防火墻可以看作是一個(gè)交換機(jī)，其不同區(qū)域的連接端口在同一子網(wǎng)中，外網(wǎng)和內(nèi)網(wǎng)可以直接通過防火墻進(jìn)行連接。部署透明模式時(shí)不需要為防火墻配置IP地址，也不需要更改網(wǎng)絡(luò)拓?fù)浠蜴溄勇酚桑袛?shù)據(jù)由鏈路層直接進(jìn)行轉(zhuǎn)發(fā)，速度快，操作簡(jiǎn)單，用戶友好性高。與路由模式相比，透明模式復(fù)雜性低，對(duì)已配置好的網(wǎng)絡(luò)包容性更高，但提供的功能有所減少，安全性也略有降低。

3.2路由模式。路由模式的具體部署過程是使用防火墻的信任域連接內(nèi)網(wǎng)，再通過不信任域完成訪問外網(wǎng)、接收數(shù)據(jù)等功能。在這種模式下，防火墻使用源地址轉(zhuǎn)換技術(shù)使所有發(fā)起向外訪問申請(qǐng)的內(nèi)網(wǎng)用戶共享同一個(gè)公網(wǎng)IP，減少被惡意掃描、攻擊的風(fēng)險(xiǎn)，還能解決IP地址數(shù)量不足的問題;再使用目的地址轉(zhuǎn)換技術(shù)將本地服務(wù)器映射到外網(wǎng)中，在隱藏本地服務(wù)器真實(shí)地址的前提下，允許外網(wǎng)用戶進(jìn)行訪問，保護(hù)內(nèi)網(wǎng)安全。路由模式安全性較高，但在進(jìn)行部署時(shí)需要對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行更改，具有一定難度。

3.3混合模式?；旌夏Ｊ匠Ｓ糜陔p機(jī)熱備，典型組網(wǎng)方法是使用局域交換機(jī)或多端轉(zhuǎn)發(fā)器連接主/備防火墻，同樣使信任域與內(nèi)網(wǎng)直連，不信任域與外網(wǎng)連接。為部分接口配置IP地址，啟用虛擬路由器冗余協(xié)議，這部分接口工作過程與路由模式下的工作過程相同，同時(shí)未配置IP地址的接口相當(dāng)于工作在透明模式。

4 防火墻技術(shù)的應(yīng)用與發(fā)展

防火墻在構(gòu)建計(jì)算機(jī)安全體系中占有重要地位，可以應(yīng)用在訪問策略、日志監(jiān)控和安全配置等多個(gè)環(huán)節(jié)[3]。舉例來說，防火墻可以依據(jù)策略表拒絕利用安全漏洞或病毒發(fā)起的非法訪問，也可以在用戶即將訪問惡意域名時(shí)進(jìn)行提醒，增強(qiáng)訪問安全性。記錄計(jì)算機(jī)運(yùn)行時(shí)產(chǎn)生的信息訪問、傳輸數(shù)據(jù)，形成日志，進(jìn)行分析，及時(shí)處理有安全風(fēng)險(xiǎn)的數(shù)據(jù)，降低其對(duì)系統(tǒng)的影響。為合法用戶提供應(yīng)用權(quán)限，同時(shí)利用多種技術(shù)手段隱藏地址、實(shí)施服務(wù)攔截，提高信息保護(hù)的有效性。

計(jì)算機(jī)的廣泛普及和信息技術(shù)的高速發(fā)展對(duì)防火墻技術(shù)的研究提出了更高的要求，為了提高安全防護(hù)體系的安全性、穩(wěn)定性和功能性，對(duì)防火墻技術(shù)的探索仍需繼續(xù)。從長(zhǎng)遠(yuǎn)來看，防火墻技術(shù)未來的革新方向主要有三個(gè)方面，一是將硬件防火墻技術(shù)與現(xiàn)行軟件防火墻體系進(jìn)行整合，綜合兩者優(yōu)勢(shì)，提升整體性能。二是不斷更新現(xiàn)有安全防護(hù)技術(shù)和引進(jìn)新技術(shù)，例如靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)向動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)過渡;應(yīng)用動(dòng)態(tài)主機(jī)配置協(xié)議、虛擬專用網(wǎng)絡(luò)技術(shù)等使防火墻具備更多功能。三是轉(zhuǎn)換防火墻結(jié)構(gòu)，例如部署分布式結(jié)構(gòu)的防火墻，以單節(jié)點(diǎn)作為保護(hù)對(duì)象，減少防護(hù)難度，提升效率。

5 結(jié)語(yǔ)

防火墻作為基礎(chǔ)的計(jì)算機(jī)安全防護(hù)技術(shù)具有非常廣泛的應(yīng)用，推進(jìn)防火墻技術(shù)的創(chuàng)新發(fā)展也會(huì)促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全的進(jìn)步。本文詳細(xì)介紹了防火墻關(guān)鍵技術(shù)和三種不同的部署模式，概述了防火墻技術(shù)在防護(hù)不同環(huán)節(jié)的應(yīng)用，最終對(duì)防火墻技術(shù)的發(fā)展進(jìn)行了展望。

參考文獻(xiàn)：

[1]劉恩軍.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，（10）：34-35.

[2]朱林.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].建筑工程技術(shù)與設(shè)計(jì)，2020，（28）：3627.

[3]崔秋祥，王康，劉海東.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電子世界，2020，（18）：208.