淺談網絡防火墻安全技術教育

【摘要】21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。網絡安全技術是網絡安全體系中重要部分，本文就網絡安全技術的在教學中的關鍵點，談一些看法。

在教學中為讓學生對網絡安全中重要部分有深入的具體了解，筆者著重從防火墻為出發點，向學生進行了網絡安全教育。

1.防火墻概述

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

2.防火墻的功能

2.1防火墻是網絡安全的屏障

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊。

2.2防火墻可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。

2.3對網絡存取和訪問進行監控審計

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

2.4防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

3.實現防火墻的主要技術

3.1代管服務器

代管服務器技術是把不安全的服務如FTP、Telnet等放到防火墻上，使它同時充當服務器，對外部的請求做出回答。與應用層代理實現相比，代管服務器技術不必為每種服務專門寫程序。而且，受保護網內部用戶想對外部網訪問時，也需先登錄到防火墻上，再向外提出請求，這樣從外部網向內就只能看到防火墻，從而隱藏了內部地址，提高了安全性。

3.2IP通道

如果一個大公司的兩個子公司相隔較遠，通過Internet通信。這種情況下，可以采用IP/Tunnels來防止Internet上的黑客截取信息，從而在Internet上形成一個虛擬的企業網。

3.3隔離域名服務器

這種技術是通過防火墻將受保護網絡的域名服務器與外部網的域名服務器隔離，使外部網的域名服務器只能看到防火墻的IP地址，無法了解受保護網絡的具體情況，這樣可以保證受保護網絡的IP地址不被外部網絡知悉。

3.4加密技術

信息交換加密技術分為兩類：即對稱加密和非對稱加密。在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。

4.防火墻的安裝

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵。如果公司內部網絡規模較大，并且設置有虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網（VPN）。

5.結束語

信息安全是國家發展所面臨的一個重要問題。對于這個問題，要從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它，發展安全產業的政策是信息安全保障系統的一個重要組成部分，它對我國未來電子化、信息化的發展將起到非常重要的作用。

【參考文獻】

［1］何軍.2004年防火墻技術走向［M］.賽迪評測網絡安全實驗，2004（11）.

［2］侯小東.防火墻和安全審計是基礎［J］.中國計算機報（網絡與通信），2003（8）.

［3］王洪，賈卓生，唐宏.計算機網絡應用教程［M］.機械工業出版社，2000（9）：238.177