芻議防火墻技術及應用

王志丹

本文介紹了防火墻的概念、主要技術、相關的校園網應用，分析了防火墻技術在Internet安全上的重要作用，并提出其優點和不足之處。防火墻作為網絡安全體系的基礎和核心控制設備，在網絡安全中具有舉足輕重的地位，使用一個安全、穩定、可靠的防火墻是非常重要的。

【關鍵詞】網絡 防火墻 安全

隨著計算機的應用由單機發展到網絡，網絡面臨著大量的安全威脅，其安全問題日益嚴重，日益成為廣泛關注的焦點。大家紛紛為自己的內部網絡“筑墻”，防病毒與防黑客成為確保信息系統安全的基本手段。

1 防火墻的基本概念

防火墻是一個系統或一組系統，它在企業內網與因特網間執行一定的安全策略，所有從因特網流入或流向因特網的信息按照此策略來實施檢查，以決定網絡之間的通信是否被允許。防火墻加強了網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，以保護內部網絡操作環境的特殊網絡互聯設備。

2 目前的防火墻主要有以下三種技術

2.1 包過濾技術

這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

2.2 代理技術

代理服務軟件運行在一臺主機上構成代理服務器，負責截獲客戶的請求，并且根據它的安全規則來決定這個請求是否允許。如果允許的話，這個請求才傳給真正的防火墻。狀態檢測技術：

狀態監控防火墻的安全性能特別好，它使用的軟件引擎在網關來執行網絡安全策略，監控模塊。不影響網絡的安全，正常工作的前提下，提取相應的數據存儲、更新狀態數據及上下文信息、監控通信層。

3 防火墻技術在校園網中的應用

隨著學院網絡出口帶寬不斷加大，應用服務系統逐漸增多，校園網用戶數烈劇上升，網絡的安全也就越來越嚴竣。

3.1 校園網防火墻部署

防火墻是網絡安全的屏障。一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。在防火墻設置上我們按照以下原則配置來提高網絡安全性：

（1）根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，嚴格禁止來自公網對校園內部網不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則。

（2）將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外攻擊。

（3）在防火墻上建立內網計算機的IP 地址和以C地址的對應表，防止IP地址被盜用。

（4）在局域網的入口架設千兆防火墻，并實現VNP的功能，在校園網絡入口處建立第一層的安全屏障，VPN保證了管理員在家里或出差時能夠安全接入數據中心。

（5）定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

（6）允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

3.2 校園網防火墻配置

默認情況下，所有的防火墻都是按以下兩種情況配置的：

（1）拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。

（2）允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。

4 防火墻技術優點、缺點

4.1 使用防火墻系統的優點

（1）可以對網絡安全進行集中控制和管理。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上，在結構上形成了一個控制中心，大大加強了網絡安全，并簡化了網絡管理。

（2）由于防火墻在結構上的特殊位置，使其方便地提供了監視、管理與審計網絡的使用及預警。

（3）為解決IP的地址危機提供了可行方案。由于Internet的日益發展及其IP地址空間的有限，使得用戶無法獲得足夠的注冊IP地址。防火墻系統則正處于設置網絡地址轉換NAT的最佳位置，NAT有助于緩和IP地址空間的不足，并使得一個結構改變Internet服務提供商時而不必重新編址。

（4）防火墻系統可以作為Internet信息服務器的安裝地點，對外發布信息。防火墻可作為企業向外部用戶發布信息的中心聯絡點。防火墻可以配置允許外部用戶訪問這些服務器，而又禁止外部未授權的用戶對內部網絡上的其它系統資源進行訪問。

4.2 防火墻的缺點

（1）防火墻不能防范不經由防火墻的攻擊。例如：如果允許從受保護網內部不受限制地向外撥號。一些用戶可以形成與Internet的直接連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道，所以應該保證內部網與外部網之間通道的唯一性。

（2）防火墻不能防止感染了病毒的軟件或文件的傳輸.這只能在每臺主機上裝反病毒的實時監控軟件。

（3）防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊。所以對于來歷不明的數據要先進行殺毒或者程序編碼辨證，以防止帶有后門程序。

5 結束語

隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業、國防和教育等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。

參考文獻

[1]陳柏良，嚴國輝編著.電子商務[M].北京：北京理工大學出版社，2011.

[2]吳秀梅主編，畢燁，王見，傅嘉偉編著.防火墻及應用教程[M].北京：清華大學出版社，2010.

[3]榮海迅.防火墻技術及其發展趨勢剖析[J].淮北職業技術學院學報，2008（03）.

[4]閻慧等著.防火墻原理與技術[M].北京：機械工業出版社，2004.

[5]陳翔，高可用.強管理的新一代防火墻[J].計算機世界，2006.

[6]魏利華.網絡安全：防火墻技術研究[J]. 淮陰工業學院學報，2003（10）.

[7]郝玉潔，常征.網絡安全與防火墻技術[J].電子科技大學學報（社科版），2002（01）.

作者單位

麗江師范高等?？茖W校 云南省麗江市 674100endprint