計算機網(wǎng)絡(luò)安全與防火墻技術(shù)

聶麗偉

摘 要： 由于Internet的日益商業(yè)化和社會化，人們對Internet網(wǎng)絡(luò)信息的安全性越來越關(guān)注。然而，絕對安全的計算機是根本不存在的，絕對安全的網(wǎng)絡(luò)也是不可能的。隨著網(wǎng)絡(luò)經(jīng)濟和網(wǎng)絡(luò)社會時代的到來，網(wǎng)絡(luò)達到無處不有、無所不用的境地。為了維護計算機網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為，實施對網(wǎng)絡(luò)安全的有效管理。

關(guān)鍵詞： 計算機網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 防火墻技術(shù)

所謂防火墻，就是一個或一組網(wǎng)絡(luò)設(shè)備（計算機或路由器等），可用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的實現(xiàn)有多種形式，有些實現(xiàn)是很復雜的，但基本原理原理很簡單。如你可以把它想象成一對開關(guān)，一個開關(guān)用來阻止傳輸，另一個開關(guān)用來允許傳輸。換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵。當然，防火墻不僅用于某個網(wǎng)絡(luò)與因特網(wǎng)的隔離，而且可用于網(wǎng)絡(luò)中部門網(wǎng)絡(luò)之間的隔離。

1.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄相關(guān)的連接來源、服務(wù)器提供的通信量及試圖闖入者的任何企圖，以方便管理員監(jiān)測和跟蹤，防火墻本身必須免于滲透。

2.防火墻在網(wǎng)絡(luò)安全中的作用

一般來說，防火墻具有以下幾種功能：

（1）防火墻是網(wǎng)絡(luò)安全的屏障，防止非法用戶進入內(nèi)部網(wǎng)絡(luò)。

（2）防止內(nèi)部信息的外泄，很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警。

（3）可以作為部署NAT（Network Address Translation，網(wǎng)絡(luò)地址變換）的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來解決地址空間短缺的問題。

（4）可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度講，這就是所謂的停火區(qū)（DMZ）。

3.防火墻的分類

（1）包過濾型防火墻，又稱篩選路由器（Screening router）或網(wǎng)絡(luò)層防火墻（Network level firewall），工作在網(wǎng)絡(luò)層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù)，與用戶預定的訪問控制表進行比較，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實施過濾。

（2）代理服務(wù)器型防火墻。代理服務(wù)器型防火墻通過在主機上運行代理的服務(wù)程序，直接對特定的應(yīng)用層進行服務(wù)，因此也稱為應(yīng)用型防火墻。其核心是運行于防火墻主機上的代理服務(wù)器進程，代替網(wǎng)絡(luò)用戶發(fā)揮特定的TCP/IP功能。一個代理服務(wù)器實際上就是一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。

（3）復合型防火墻。由于對更高安全性的要求，通常把數(shù)據(jù)包過濾與代理服務(wù)系統(tǒng)的功能和特點綜合起來，構(gòu)成復合型防火墻系統(tǒng)，所用主機稱為堡壘主機，負責代理服務(wù)。各種類型的防火墻都有其優(yōu)缺點。當前的防火墻產(chǎn)品已不再是單一的包過濾型或代理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術(shù)：①動態(tài)包過濾；②內(nèi)核透明技術(shù)；③用戶認證機制；④內(nèi)容和策略感知能力：⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

4.網(wǎng)絡(luò)防火墻的設(shè)計

（1）設(shè)計防火墻系統(tǒng)的拓撲結(jié)構(gòu)。在確定防火墻系統(tǒng)的拓撲結(jié)構(gòu)時，首先必須確定被保護網(wǎng)絡(luò)的安全級別。從整個系統(tǒng)的成本、安全保護的實現(xiàn)、維護、升級、改造及重要的資源的保護等方面加以考慮，以完善防火墻系統(tǒng)的拓撲結(jié)構(gòu)。

（2）制定網(wǎng)絡(luò)安全策略。在實現(xiàn)過程中，沒有允許的服務(wù)是被禁止的，沒有被禁止的服務(wù)都是允許的，因此，網(wǎng)絡(luò)安全的第一條策略是拒絕一切未許可的服務(wù)，防火墻封鎖所有信息流，逐一完成每一項許可的服務(wù)；第二條策略是允許一切沒有被禁止的服務(wù)，防火墻轉(zhuǎn)發(fā)所有的信息，逐項刪除被禁止的服務(wù)。

（3）確定包過濾規(guī)則。包過濾規(guī)則以處理IP包頭信息為基礎(chǔ)，設(shè)計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進行具體設(shè)置。

（4）設(shè)計代理服務(wù)。代理服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點提出的服務(wù)請求，如果此請求被接受，代理服務(wù)器再建立與實服務(wù)器的連接。由于它作用于應(yīng)用層，因此可利用各種安全技術(shù)，如身份驗證、日志登錄、審計跟蹤、密碼技術(shù)等，增強網(wǎng)絡(luò)安全性，解決包過濾所不能解決的問題。

（5）嚴格定義功能模塊，分散實現(xiàn)。

（6）防火墻維護和管理方案的考慮。防火墻的日常維護是對訪問記錄進行審計，發(fā)現(xiàn)入侵和非法訪問情況。因此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網(wǎng)絡(luò)及其信息的安全性。

參考文獻：

[1]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù).中國水利水電出版社，2002.

[2]雷震甲.網(wǎng)絡(luò)工程師教程.清華大學出版社，2004.