網(wǎng)絡安全中的防火墻技術(shù)

　　摘要： 本文首先對計算機網(wǎng)絡安全中的防火墻技術(shù)進行了概述，然后論述了網(wǎng)絡防火墻技術(shù)的分類，最后對防火墻的未來發(fā)展趨勢進行了介紹。
　　關(guān)鍵詞： 網(wǎng)絡安全 防火墻技術(shù) 分類 發(fā)展趨勢
　　1.引言
　　近年來計算機網(wǎng)絡技術(shù)的更新與發(fā)展，加快了計算機的普及，形成了計算機技術(shù)和計算機信息資源的強強聯(lián)合與共享的整合。網(wǎng)絡已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界。但計算機網(wǎng)絡的迅速發(fā)展在提高了工作效率的同時，也帶來了日益嚴峻的問題——網(wǎng)絡安全。近年來，網(wǎng)絡安全事故頻發(fā)，新的病毒和木馬程序也不斷出現(xiàn)。我們可以通過很多網(wǎng)絡工具、設(shè)備和策略來保護不可信任的網(wǎng)絡，其中防火墻是運用非常廣泛和效果最好的選擇。
　　2.防火墻技術(shù)概述
　　顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關(guān)4個部分組成。從某種意義上來說，防火墻實際上代表了一個網(wǎng)絡的訪問原則。如某個網(wǎng)絡決定設(shè)定防火墻，那么首先需要由網(wǎng)絡決策人員及網(wǎng)絡專家共同決定本網(wǎng)絡的安全策略，即確定哪些類型的信息允許通過防火墻，哪些類型的信息不允許通過防火墻。
　　3.防火墻技術(shù)的分類
　　防火墻技術(shù)可分為包過濾型、代理型和監(jiān)測型等三大類型。
　　3.1包過濾型
　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP／UDP源端口和目標端口等。包過濾型防火墻一般是通過檢查數(shù)據(jù)包中的地址、協(xié)議、端口等信息按照事先設(shè)定好的條件進行過濾，對數(shù)據(jù)包實行有選擇的通過，符合規(guī)定條件的允許通過，不符合條件的禁止通行。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)是一種完全基于網(wǎng)絡層的安全技術(shù)，無法識別基于應用層的惡意侵入。
　　3.2代理型
　　代理型防火墻，代表某個專用網(wǎng)絡同互聯(lián)網(wǎng)進行通訊的防火墻，它的安全性高于包過濾型產(chǎn)品，并已經(jīng)開始向應用層發(fā)展。當你將瀏覽器配置成使用代理功能時，防火墻就將你的瀏覽器的請求轉(zhuǎn)給互聯(lián)網(wǎng)；當互聯(lián)網(wǎng)返回響應時，代理服務器再把它轉(zhuǎn)給你的瀏覽器。代理服務器也用于頁面的緩存。內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間不存在直接連接。
　　3.3監(jiān)測型
　　監(jiān)測型防火墻是新一代的產(chǎn)品。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，不僅能夠監(jiān)測來自網(wǎng)絡外部的攻擊，而且對來自內(nèi)部的惡意破壞有極強的防范作用。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高，也不易管理，因此目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。
　　4.防火墻技術(shù)的發(fā)展趨勢
　　防火墻技術(shù)是隨著科技的進步而不斷改進的。作為保護網(wǎng)絡邊界的安全產(chǎn)品，防火墻技術(shù)也已經(jīng)逐步趨于成熟，并為廣大用戶所認可。但是防火墻所暴露的問題也慢慢凸顯出來。未來防火墻是朝高速、多功能化、模塊化的方向發(fā)展。
　　4.1高速防火墻
　　從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠。新一代防火墻系統(tǒng)不僅應該能更好地保護防火墻后面內(nèi)部網(wǎng)絡的安全，而且應該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級別的安全保護，但是同時它也成為限制網(wǎng)絡帶寬的瓶頸，這極大地制約了在網(wǎng)絡中的實際應用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時會產(chǎn)生延時。自然，數(shù)據(jù)通過率越高，防火墻性能越好。
　　這里還要提到日志問題，根據(jù)國家有關(guān)標準和要求，防火墻日志要求記錄的內(nèi)容相當多。隨著網(wǎng)絡流量越來越大，龐大的日志對日志服務器提出了很高的要求。目前，業(yè)界應用較多的SYSLOG日志，采用的是文本方式，每一個字符都需要一個字節(jié)，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析。所以，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務器軟件的一個基本要求。
　　4.2多功能化
　　多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器；支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSEC VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。
　　4.3模塊化
　　網(wǎng)絡產(chǎn)品的設(shè)計與開發(fā)基礎(chǔ)離不開用戶的需求。而網(wǎng)絡用戶各異。帶來的需求各異，對防火墻的要求就會靈活多樣。根據(jù)用戶需求和威脅的動態(tài)變化靈活配置的模塊化防火墻，可以實現(xiàn)更好的擴展性，而且維護和升級更加方便，因此防火墻的模塊化發(fā)展是未來的重要發(fā)展趨勢之一。
　　5.結(jié)語
　　隨著新的防火墻技術(shù)的研發(fā)，防火墻技術(shù)在網(wǎng)絡安全方面將會發(fā)揮越來越重要的作用。防火墻是網(wǎng)絡安全的重要安全保障，如何提高防火墻在實際中的應用能力來保證系統(tǒng)的高速高效運行，對網(wǎng)絡的安全至關(guān)重要。
　　參考文獻：
　　［1］Charles P.Pfleeger Shari LawrencePfleeger.信息安全原理與應用.電子工業(yè)出版社.
　　［2］凌力.網(wǎng)絡協(xié)議與網(wǎng)絡安全.清華大學出版社.
　　［3］袁家政.計算機網(wǎng)絡安全與應用技術(shù).清華大學出版社.
　　［4］蔡立軍.計算機網(wǎng)絡安全技術(shù).中國水利水電出版