防火墻技術在計算機網絡中的應用

摘 要：互聯網到今天已經從基本信息共享向電子商務、網絡應用等更為復雜的方向發展，隨著商業應用的增加，網絡安全逐漸成為一個潛在的巨大問題。其中也會涉及到是否構成犯罪行為的問題。防火墻技術的引入給管理和提高網絡的安全性，提供了一個必要而便捷的方式。文中論述了防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準及其安全體系的構成。

關鍵詞：網絡安全；防火墻技術；應用

1 概述

“防火墻”的本意是指發生火災時，用來防止火勢蔓延的一道障礙物，一般都修建在建筑物之間。由于網絡防火墻提供了與此類似的功能，所以人們采用防火墻這一術語來描述設置在計算機網絡之間的隔離裝置，可以隔離兩個或者多個網絡、限制網絡互訪，以保護網絡用戶的安全。防火墻通常位于用戶網絡系統的邊界處，通過設定一定的篩選機制來決定允許或拒絕數據包通過，實現對進入網絡內部的服務和訪問的審計和控制。

網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術，就其產品的主流趨勢而言，大多數代理服務器（也稱應用網關）也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那么我們究竟應該在哪些地方部署防火墻呢？首先，應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規模較大，并且設置有虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網（VPN）。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

2 防火墻中使用的主要技術

2.1 包過濾技術是在網絡層對數據包進行選擇

它依據系統內事先設定好的篩選規則，檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口與TCP連接狀態等信息，并以此來確定是否允許數據包通過防火墻。包過濾的最大優點是它對用戶是透明的，即不需要使用用戶名和密碼來登錄，不要應用程序做任何改動。這使得防火墻速度快且易于維護。單純采用包過濾技術的防火墻產品價格低、易使用，但也存在著明顯的缺陷。由于采用這種產品時，允許在內部和外部系統之間直接交換數據包，那么內部網中的所有主機和路由器所允許的全部服務就都可能會成為攻擊目標。這就意味著可以從外部網絡上直接訪問的主機要支持復雜的用戶認證機制，并且網絡管理員要不斷地檢查網絡狀態，以確定是否受到攻擊。包過濾可能無法對網絡上流動的信息提供全面的控制，因為它僅能夠通過對數據包的分析而允許或拒絕某些特定服務，但不能很好地理解上下文環境/數據。作為判斷依據的規則表很容易變得龐大而復雜，如果包過濾功能在主機上實現，必然消耗較多的CPU時間，影響系統性能。所以，通常把包過濾功能作為第一道防線，目前經常使用在路由器硬件中。

2.2 應用網關是在網絡的應用層上建立協議過濾和轉發功能

它針對特定的網絡應用服務協議使用指定的數據過濾邏輯。并在過濾的同時，對數據包進行必要的登記、統計和分析，形成日志報告。數據包過濾和應用網關有一個共同的特點，就是它們僅依靠特定的邏輯來判斷是否允許數據包通過。一旦滿足邏輯，則防火墻內外的計算機系統就會建立直接聯系，防火墻外部的用戶便有可能直接了解內部網的結構和運行狀態，這顯然有利于實施非法訪問和攻擊。

2.3 虛擬專用網技術（VPN）

虛擬專用網技術是通過一些公共網絡（如因特網）實現的具有授權檢查和加密技術的通信方式。VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。基于防火墻的VPN為了保證安全性，通常采用國際標準IPSEC作為加密、認證的協議，加強對通信雙方身份的認證，保證數據在加密、傳輸過程中的完整性。基于Internet建立的VPN，可以保護網絡免受病毒感染，防止欺騙，防商業間諜，增強訪問控制，增強系統管理，加強認證。

3 防火墻的選擇

選擇防火墻的標準有很多，但最重要的是以下幾。

3.1 防火墻為網絡系統的安全屏障

總擁有成本防火墻產品作為網絡系統的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本，關鍵部門則應另當別論。

3.2 防火墻本身是安全的

作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像馬其頓防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統內部，網絡系統也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，這類問題一般用戶根本無從入手，只有通過權威認證機構的全面測試才能確定。所以對用戶來說，保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說，防火墻的許多配置需要系統管理員手工修改，如果系統管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

3.3 管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

4 安全技術的研究現狀和動向

我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網絡安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。

國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”（BeuLapadula模型）的基礎上，指定了“可信計算機系統安全評估準則”（TCSEC），其后又制定了關于網絡系統數據庫方面和系列安全解釋，形成了安全信息系統體系結構的準則。網絡安全技術在21世紀將成為信息網絡發展的關鍵技術，21世紀人類步入信息社會后，信息這一社會發展的重要戰略資源需要網絡安全技術的有力保障，才能形成社會發展的推動力。在我國信息網絡安全技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網絡的安全，推動我國國民經濟的高速發展。

參考文獻

[1]黃健.對計算機網絡安全與防護的幾點思考[J].魅力中國，2008（2）.

[2]王應強.淺談計算機網絡安全[J].中共鄭州市委黨校學報，2009（4）.