王洪斌

摘要：互聯(lián)網(wǎng)技術(shù)、信息技術(shù)的發(fā)展，極大地改變了現(xiàn)代人的生活、學(xué)習(xí)方式，在帶給我們極大便利的同時(shí)，也給我們帶來(lái)了巨大的安全隱患。在信息時(shí)代的今天，如何有效地保護(hù)企業(yè)、個(gè)人信息數(shù)據(jù)的安全給網(wǎng)絡(luò)管理人員帶來(lái)了新的挑戰(zhàn)，而防火墻技術(shù)則為保護(hù)網(wǎng)絡(luò)的信息安全提供了很好的保障。本文從防火墻的基本原理、工作模式、結(jié)構(gòu)、網(wǎng)絡(luò)安全的現(xiàn)狀與面臨的問(wèn)題等進(jìn)行了簡(jiǎn)單的介紹，最后分析了防火墻技術(shù)在網(wǎng)絡(luò)安全中的主要應(yīng)用。

關(guān)鍵詞：防火墻技術(shù);網(wǎng)絡(luò)安全;應(yīng)用研究;信息安全;安全隱患與漏洞

中圖分類(lèi)號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）21-0044-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息技術(shù)的飛速發(fā)展，在享受網(wǎng)絡(luò)帶給我們便利的同時(shí)，也存著極大的安全隱患和漏洞，例如個(gè)人、企業(yè)數(shù)據(jù)信息的泄露，黑客的非法入侵，系統(tǒng)的非授權(quán)訪問(wèn)等。因此，在網(wǎng)絡(luò)安全中應(yīng)用防火墻技術(shù)，可以極大地提高網(wǎng)絡(luò)安全性，有效保護(hù)網(wǎng)絡(luò)中信息數(shù)據(jù)的安全，促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)的安全發(fā)展。

1 防火墻技術(shù)概述

防火墻是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)之間的一道屏障，是內(nèi)網(wǎng)與外網(wǎng)之間的連接橋梁，它是由計(jì)算機(jī)硬件和軟件組成的系統(tǒng)，通常部署于內(nèi)網(wǎng)邊界，用于對(duì)進(jìn)出內(nèi)網(wǎng)的數(shù)據(jù)進(jìn)行檢查、分析和保護(hù)，防止黑客的非法入侵、非授權(quán)訪問(wèn)、惡意攻擊等，從而有效的保護(hù)內(nèi)網(wǎng)的數(shù)據(jù)安全。

1.1 防火墻工作原理

防火墻位于內(nèi)網(wǎng)邊界，它是由計(jì)算機(jī)軟件和硬件組成的系統(tǒng)，它通過(guò)對(duì)進(jìn)出內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行分析檢查，然后根據(jù)相應(yīng)的規(guī)則，允許或禁止來(lái)自某些IP地址或發(fā)送到某些目標(biāo)IP地址的數(shù)據(jù)包，以及相應(yīng)的協(xié)議等，從而保護(hù)網(wǎng)絡(luò)的安全。

目前常用的防火墻，通常采用的安全控制手段有狀態(tài)檢測(cè)、代理服務(wù)、包過(guò)濾技術(shù)等，其中包過(guò)濾技術(shù)是應(yīng)用最廣泛的一種簡(jiǎn)單有效的安全技術(shù)。

1.2 防火墻技術(shù)分類(lèi)

根據(jù)防火墻安全控制手段及實(shí)現(xiàn)技術(shù)的不同，主要分為包過(guò)濾防火墻、應(yīng)用代理防火墻、狀態(tài)檢測(cè)防火墻三類(lèi)，其中包過(guò)濾應(yīng)該最為廣泛。

包過(guò)濾防火墻技術(shù)在網(wǎng)絡(luò)層對(duì)進(jìn)出內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行檢查，檢查每個(gè)IP數(shù)據(jù)包中的源地址、目的地址、通訊端口號(hào)、協(xié)議等，然后根據(jù)系統(tǒng)內(nèi)設(shè)置的訪問(wèn)控制列表來(lái)確定是否允許該IP數(shù)據(jù)包通過(guò)。特點(diǎn)是邏輯簡(jiǎn)單、成本低、處理速度快、安裝使用簡(jiǎn)單、網(wǎng)絡(luò)性能好。

應(yīng)用代理防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用也十分常見(jiàn)，該防火墻技術(shù)能在特定的代理技術(shù)支持下，參與到另一個(gè)TCP連接的過(guò)程當(dāng)中。它的核心技術(shù)是代理服務(wù)器技術(shù)，即將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，代理內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞與連接請(qǐng)求。例如，當(dāng)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)需要訪問(wèn)外部網(wǎng)絡(luò)時(shí)，需要通過(guò)代理防火墻進(jìn)行訪問(wèn)。同時(shí)，通過(guò)代理防火墻還可以實(shí)現(xiàn)從外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的效果。應(yīng)用型代理防火墻技術(shù)在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行全面詳細(xì)的分析、相關(guān)的安全檢查，并且將檢查過(guò)程中形成的信息納入決策中，在隱藏內(nèi)網(wǎng)、保護(hù)內(nèi)網(wǎng)免受外網(wǎng)攻擊的同時(shí)，促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)更加安全可靠的運(yùn)行，特點(diǎn)是有效的保護(hù)內(nèi)網(wǎng)安全，但處理速度慢。

狀態(tài)檢測(cè)防火墻可以根據(jù)動(dòng)態(tài)的狀態(tài)信息進(jìn)行檢查，并做出相應(yīng)的處理。狀態(tài)檢測(cè)防火墻采用基于連接狀態(tài)的檢測(cè)機(jī)制，以流量為單位來(lái)對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文進(jìn)行包過(guò)濾檢查，并將處理的結(jié)果作為狀態(tài)記錄下，然后對(duì)于該流量后面的數(shù)據(jù)傳輸報(bào)文都直接根據(jù)之前記錄下的狀態(tài)進(jìn)行判斷處理。狀態(tài)檢測(cè)防火墻既保留了包過(guò)濾防火墻的優(yōu)點(diǎn)，同時(shí)對(duì)應(yīng)用又是透明的，在此基礎(chǔ)上，其網(wǎng)絡(luò)安全性也得到了大幅的提升，狀態(tài)檢測(cè)防火墻不僅檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，同時(shí)還要檢查數(shù)據(jù)包的狀態(tài)，可以說(shuō)，狀態(tài)檢測(cè)防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的行為。所以說(shuō)它克服了包過(guò)濾防火墻和應(yīng)用代理防火墻的局限性。

在實(shí)際的網(wǎng)絡(luò)安全技術(shù)應(yīng)用中，并不是只采用某一種防火墻技術(shù)，通常需要將幾種防火墻技術(shù)綜合運(yùn)用，才有更有效的提高網(wǎng)絡(luò)的安全性、管理的高效性。

2 網(wǎng)絡(luò)安全現(xiàn)狀、面臨的安全問(wèn)題

隨著網(wǎng)絡(luò)、信息技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的深入，網(wǎng)絡(luò)的安全問(wèn)題也逐漸得到了人們的重視，雖然相關(guān)的安全技術(shù)也在網(wǎng)絡(luò)中得到了應(yīng)用，但目前的網(wǎng)絡(luò)安全形勢(shì)仍然非常嚴(yán)峻，也越來(lái)越復(fù)雜。例如個(gè)人信息泄露及非法使用、企業(yè)數(shù)據(jù)信息的泄露、針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊等安全問(wèn)題等，主要體現(xiàn)在以下幾個(gè)方面：

1）針對(duì)軟硬件的網(wǎng)絡(luò)攻擊日益嚴(yán)重

伴隨著應(yīng)用的深入，特別是云計(jì)算、云平臺(tái)技術(shù)的發(fā)展，網(wǎng)絡(luò)軟硬件設(shè)備的安全漏洞給網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)重威脅。黑客利用發(fā)現(xiàn)的網(wǎng)絡(luò)操作系統(tǒng)或硬件設(shè)備的漏洞，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，從事非法的活動(dòng)，例如，非法入侵計(jì)算機(jī)系統(tǒng)破壞數(shù)據(jù)與程序、竊取網(wǎng)絡(luò)上的用戶(hù)數(shù)據(jù)信息、利用特洛伊木馬竊取網(wǎng)絡(luò)中用戶(hù)的賬號(hào)和密碼、竊取網(wǎng)絡(luò)中的商業(yè)或軍事機(jī)密等，對(duì)網(wǎng)絡(luò)的安全造成了嚴(yán)重的威脅。

2）個(gè)人信息和企業(yè)數(shù)據(jù)的泄露

個(gè)人信息和企業(yè)數(shù)據(jù)的泄露將給基于互聯(lián)網(wǎng)構(gòu)建的信息化社會(huì)帶來(lái)巨大的隱患，個(gè)人信息的泄露會(huì)直接影響到個(gè)人的隱私和經(jīng)濟(jì)利益，導(dǎo)致相應(yīng)的網(wǎng)絡(luò)犯罪和社會(huì)問(wèn)題。而企業(yè)數(shù)據(jù)的泄露不僅會(huì)導(dǎo)致企業(yè)的經(jīng)濟(jì)損失，甚至可能會(huì)影響到國(guó)家的發(fā)展和安全利益。特別是在云計(jì)算技術(shù)應(yīng)用深入發(fā)展的今天，越來(lái)越多的個(gè)人和企業(yè)通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息的存儲(chǔ)、處理等，因此，個(gè)人信息和企業(yè)數(shù)據(jù)的泄露是嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。例如，美國(guó)的臉譜網(wǎng)曾經(jīng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致5000多萬(wàn)用戶(hù)的隱私信息面臨泄露的風(fēng)險(xiǎn)。

3）關(guān)鍵系統(tǒng)越來(lái)越容易受到攻擊

隨著遠(yuǎn)程監(jiān)控技術(shù)和物聯(lián)網(wǎng)技術(shù)的發(fā)展與應(yīng)用，操作技術(shù)與IT技術(shù)的融合，關(guān)鍵系統(tǒng)越來(lái)越容易受到網(wǎng)絡(luò)的攻擊。例如，物聯(lián)網(wǎng)的設(shè)備制造商很少考慮到網(wǎng)絡(luò)的安全問(wèn)題，因此，導(dǎo)致了黑客利用物聯(lián)網(wǎng)設(shè)備進(jìn)行一系列的網(wǎng)絡(luò)攻擊。同時(shí)隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展與應(yīng)用的深入，未來(lái)的網(wǎng)絡(luò)安全問(wèn)題將會(huì)更加復(fù)雜和日益嚴(yán)重。