網(wǎng)絡防火墻關鍵技術探討

吳佳鋒

摘 要：防火墻作為提高網(wǎng)絡安全性的主要措施之一，在日益發(fā)展的信息技術和網(wǎng)絡技術背景下，將面臨更大的挑戰(zhàn)，因此，還需要對其作進一步研究。對網(wǎng)絡防火墻作的作用進行了分析，并對其關鍵技術進行了簡要探討。

關鍵詞：網(wǎng)絡安全；嵌入式防火墻；黑客；訪問記錄

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.06.135

在計算機網(wǎng)絡應用效率不斷提高的背景下，其中的安全問題也面臨著更大的挑戰(zhàn)。防火墻是提高網(wǎng)絡環(huán)境安全性的主要方式之一，要想合法、有效和完整地保證計算機網(wǎng)絡安全，就需要進一步研究其關鍵技術。因此，我們應結合網(wǎng)絡安全需求，不斷優(yōu)化和完善，爭取進一步提高防火墻的保護作用。

1 網(wǎng)絡防火墻作用分析

1.1 提高網(wǎng)絡的安全性

防火墻可有效限制非法用戶的入侵行為，比如，網(wǎng)絡破壞者或黑客等進入網(wǎng)絡內部時，可禁止安全脆弱性服務和未授權的通信進出網(wǎng)絡，從而通過此種方式避免來自網(wǎng)絡的安全威脅。

1.2 限制暴露用戶點

采用防火墻可實現(xiàn)對內部網(wǎng)絡的劃分，對網(wǎng)絡中的網(wǎng)段進行隔離，避免對一個網(wǎng)段造成影響的安全威脅利用整個網(wǎng)絡傳播，從而對局部重點或敏感網(wǎng)絡安全問題進行限制，最終確保全局網(wǎng)絡的正常運行。此外，防火墻還可以保護一個網(wǎng)段不受到來自其他網(wǎng)段的攻擊，通過用戶身份認證的方式保證用戶的合法性，即防火墻以事先確定的安全檢查策略為基礎，確定內部用戶可享有的服務權限。

1.3 網(wǎng)絡訪問記錄和監(jiān)控

所有在單一網(wǎng)絡接入點進出的信息都必須經過防火墻，因此，防火墻可以對網(wǎng)絡存取和訪問的各類信息進行收集并記錄，且防火墻還可以對網(wǎng)絡運行環(huán)境進行監(jiān)控，一旦發(fā)現(xiàn)安全威脅，則會及時報警。

1.4 網(wǎng)絡地址轉化

網(wǎng)絡防火墻可作為部署NAT的邏輯地址，在一定程度上緩解地址空間短缺問題，同時，還能消除結構在變換ISP時產生的重新編址問題。

2 網(wǎng)絡防火墻關鍵技術分析

2.1 數(shù)據(jù)包過濾技術

包過濾技術，即在網(wǎng)絡環(huán)境中的適當位置對數(shù)據(jù)包進行選擇性通過處理。其中，數(shù)據(jù)包的選擇依據(jù)為系統(tǒng)內設置的過濾原則，對于滿足過濾規(guī)則的數(shù)據(jù)包可執(zhí)行轉發(fā)或丟棄處理；對于未滿足過濾原則的數(shù)據(jù)包則進行刪除處理。此項技術的主要目的是對進出網(wǎng)絡的數(shù)據(jù)信息進行控制和操作，以過濾原則為基礎，對進出網(wǎng)絡的數(shù)據(jù)進行過濾，并選擇相應方式進行處理。此外，包過濾技術還可以分析并監(jiān)控整個信息系統(tǒng)的運行狀態(tài)和會話，保證整個網(wǎng)絡運行環(huán)境的安全性；可控制站點與站點、網(wǎng)絡與網(wǎng)絡和站點與網(wǎng)絡之間的相互訪問，但不可以對傳輸?shù)臄?shù)據(jù)內容進行控制。

包過濾技術實現(xiàn)的基礎為過濾路由器，它是一種硬件設備，可以對普通路由器進行功能性擴展，以及PC機安裝相應軟件，比如常見的通過修改Linux內核，即可以讓Linux主機具備包過濾功能。包過濾防護墻一般安裝在路由器、服務器或雙宿網(wǎng)關等位置，從而起到相應的防護作用。

2.2 分布式防火墻技術

分布式防護墻技術是一種新型的防火墻體系結構，主要包括主機防護墻、網(wǎng)絡防火墻和中心管理三個部分。其中，主機防火墻的主要作用為充當網(wǎng)絡服務器和保護桌面系統(tǒng)，主機的物理位置可以選在企業(yè)網(wǎng)內或外；一般需要將網(wǎng)絡防火墻設置在內部網(wǎng)絡、外部網(wǎng)絡、內網(wǎng)與子網(wǎng)之間，主要支持內網(wǎng)可能存在的IP和非IP協(xié)議；中心管理是分布式防火墻技術的核心部分，主要起到收集、匯總日志和安全策略分發(fā)的作用，并將防火墻安全防護系統(tǒng)延伸到網(wǎng)絡中作用于各主機。這種防護技術可以實現(xiàn)對網(wǎng)絡邊界、網(wǎng)絡內部各節(jié)點和各子網(wǎng)之間的安全防護，具有錯層次、多協(xié)議和內外綜合防護的優(yōu)點。

2.3 嵌入式防火墻技術

嵌入式防火墻即內嵌于路由器或交換機的防火墻，現(xiàn)在其已經成為部分路由器的標準配置。在安裝時，用戶可以購買防火墻模塊，并將其安裝到已有的交換機或路由器中即可。這種防火墻技術可作用于網(wǎng)絡中的每一臺PC、服務器或筆記本。分布于整個網(wǎng)絡的嵌入式防火墻可使用戶更加方便地訪問信息，且用戶所具有的各項網(wǎng)絡資源不會被暴露在非法入侵者面前。此外，嵌入式防火墻分布結構還可以避免因系統(tǒng)中一臺端點被入侵，進而影響整個網(wǎng)絡的情況發(fā)生，同時，還可以以身份驗證的方式確保用戶的合法身份，允許其進入具備限制訪問權限的計算機系統(tǒng)中，從而保證非法用戶無法進入系統(tǒng)。

可以將嵌入式防火墻技術具有的安全防范功能進一步延伸到邊緣防火墻范圍之外，甚至可以分布到網(wǎng)絡的各個終端，即使是攻擊者通過了防火墻的防護，并取得了運行防火墻主機的控制權，也無法對其他主機進行攻擊。

3 結束語

防火墻是維護網(wǎng)路系統(tǒng)安全運行的重要方式之一，現(xiàn)已經被廣泛應用于計算機防護中。在計算機網(wǎng)絡技術和信息技術快速發(fā)展的背景下，網(wǎng)絡運行安全面臨著更大的挑戰(zhàn)。因此，我們需要對所有的防火墻技術進行分析，并在現(xiàn)有基礎上，對各項新型技術進行研究，從而不斷提高防火墻的安全防護效果。

參考文獻

[1]鄭偉.基于防火墻的網(wǎng)絡安全技術的研究[D].長春：吉林大學，2012.

〔編輯：張思楠〕