應用防火墻的網絡安全技術分析

林云強

摘 要：在互聯網時代，網絡安全問題頻發，應用防火墻網絡安全技術有利于網絡更好的運行，保障網絡環境的安全。闡述了防火墻的概念和作用，簡要分析了防火墻的具體架構，從多方面說明了防火墻背景下的網絡安全技術要點，并探討了應用防火墻的網絡安全技術，以期為人們提供有價值的參考。

關鍵詞：防火墻；網絡安全技術；身份驗證；路由器

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.16.136

1 防火墻

防火墻是指在外界網絡與本地網絡之間的一道隔離防御系統。應用防火墻最主要的目的是通過對網絡入、出環節的控制，促使各環節經過防火墻的檢查，從而有效預防網絡遭到外來因素的破壞和干擾，達到保護內部網絡不受非法訪問的目的。

2 防火墻的功能

2.1 可提高網絡的安全性能

防火墻的應用能大幅度提升內部網絡的安全性能，降低安全風險。比如，防火墻可以迫使NFS的進、出受網絡保護。此外，防火墻還能保護網絡免受路由的攻擊，抵擋各種不安全因素，并通知管理員。

2.2 強化網絡安全

執行站點安全策略配備在防火墻內部，相比于傳統的將安全問題分散到不同主機上的方式，這種集中安全管理的防火墻更加經濟、安全。

2.3 監控網絡的訪問和存取

防火墻能有效記錄各種網絡活動，遇到可疑的網絡活動時會報警，并為網絡管理員提供全面的信息，比如誰在訪問網絡、在網路上訪問哪些信息。一旦防火墻監控到可疑動作，就會自動報警，并提供攻擊和監測的具體信息。

2.4 保護內部信息不被泄露

通過防火墻對內部網絡的保護和劃分，可實現對內部重點網絡的保護和隔離，降低了重點局部網絡安全問題對整個局域網內部的影響。應用防火墻后，網絡具有了加密和身份驗證功能，進一步降低了網絡暴露在外的風險，從而保護內部信息不被泄露。

3 防火墻架構分析

完整的防火墻由代理服務器和屏蔽路由器組成。通過屏蔽路由器可有效預防IP欺騙性攻擊。該系統硬件成本比較低、架構簡單，但因缺乏用戶身份驗證和管理投資，很難建立包過濾規則。現階段，越來越多的路由生產廠家開始關注并開發具有過濾規則的用戶界面，積極制訂用戶身份標準認證協議。通過代理服務器能有效識別、屏蔽和拒絕非法請求。在該系統中，具有賬號管理、記錄日志、身份認證功能，但如果想全面提升安全保障力度，則需要建立應用層對應網關，但其不易被系統接受。該系統的具體實現方案是以部署內部防火墻和外部防火墻的方式實現的。部署防火墻可有效過濾各種信息，保護敏感數據不被破壞和偷竊。同時，還能詳細記錄有關事件的發生時間與操作行為。

4 網絡安全技術要點分析

應用防火墻能提高內部網絡的安全性，但并不意味著能做到萬無一失。深入分析防火墻的原理和實現方式后，筆者總結了以下技術要點。

4.1 合理選擇防火墻

作為一種對于網絡完全有效的防護方式，防火墻有多種實現方式。在合理選擇防火墻前，需要全面進行風險分析、需求分析，進一步制訂安全防范策略，從而有針對性地選擇防護方式，盡可能地保持安全政策與防護方式的統一性。

4.2 準確評估防火墻失效問題

在評價防火墻安全性和性能的過程中，需要查看防火墻運行是否正常、能否阻擋非法訪問或惡意攻擊；如果防火墻被攻破，則其狀態是怎樣的。按照一定的級別劃分，防火墻失效有4種情況：①在沒有被攻破時能正常工作；②在受到傷害時可以重新啟動，并恢復至之前的工作界面；③禁止和關閉所有通行數據；④關閉且允許數據繼續通行。

第一種和第二種狀態比較理想，第四種狀態最不安全。在選擇防火墻的過程中，需要驗證并準確評估其失效狀態。

4.3 防火墻的動態維護

在安裝防火墻和防火墻投入使用后，需對其運行狀態進行動態性維護，維護和跟蹤其發展動態，時刻觀察動態并與之保持聯系。一旦發現安全漏洞，則會積極推出補救措施，并及時更新防火墻。

4.4 可靠規則集的制訂

可靠規則集的制訂是使防火墻安全、有效的關鍵性步驟。如果防火墻的規則集不正確，則再強大的防火墻也起不到任何作用。

4.4.1 制訂安全性策略

應由上級管理人員制訂安全防范策略，使防火墻成為實施安全防范策略的工具。在制訂規則集前，必須全面掌握安全策略，建設以下3方面的內容：①內部員工訪問網絡不受限制；②外部用戶能使用Email服務器和Web服務器；③管理員能遠程訪問系統。從實際情況看，大部分部門的安全策略要遠遠超過上述內容。

4.4.2 積極構建安全體系

在將一項安全策略轉化成技術的過程中，內部員工訪問網絡不受限制是比較容易實現的，這是因為內部網絡中的所有數據信息都允許在網絡中傳輸。對于外部用戶能使用Email服務器和Web服務器，需要建立Email服務器和Web服務器，這是因為所有人都能訪問Email服務器和Web服務器，因此，不能信任所有人。鑒于此，可以將Email服務器和Web服務器放到DMZ中去實現，DMZ是一個孤立的網絡，經常存放不被信任的系統。該網絡中的系統無法連接、啟動內部網絡。對于管理員遠程訪問系統而言，可通過加密服務的方式進行。筆者建議在這一過程中加入DNS，雖然上述安全策略中未陳述此項內容，但在實際運營過程中需積極提供該服務。

4.4.3 規則次序的制訂

規則次序的制訂非常重要。不同的規則次序排列相同的規則時，可能會徹底改變防火墻的運行情況。比如，大部分防火墻按照順序對數據包進行檢查，收到第一個數據包與第一條規則相對應，收到第二個數據包與第二條規則相對應，以此類推。如果檢查到匹配選項，則會停止檢查；如果沒有找到匹配規則，則會拒絕該數據包。一般而言，比較特殊的規則應放在前面，比較普通的規則應放在后面。這樣的方式能有效避免防火墻的錯誤配置。

4.4.4 落實規則集

一旦確認了規則次數和安全防范策略，就要落實每條規則。在實際落實過程中，需要注意以下8個關鍵點：①切斷不必要的防火墻默認服務；②內部網絡的所有人都能出網，任何服務都被允許，與安全策略規定吻合；③增添鎖定規則，除管理員之外，其他人員都不能訪問防火墻；④丟棄不匹配的數據包，且不記錄；⑤允許網絡用戶訪問DNS，允許內部用戶和網絡用戶依照郵件傳遞協議訪問郵件服務器，允許內部POP訪問；不允許內部用戶公開訪問DMZ；⑥拒絕、警告、記錄DMZ與內部用戶之間的通話；⑦管理員能通過加密方式訪問內部網絡；⑧將最常用規則盡可能地放到規則集上部，進一步提升防火墻的安全性能。

4.4.5 更換控制

合理制訂各項規則后，需標注詳細、經常更新這些規則。詳細的標注能更好地指導人們認識規則的具體內容，全面掌握規則后，出現的錯誤配置概率會更低。如果一個機構設有多重防火墻，則在修改規則的過程中需要標記清楚更改人員的姓名、更改原因和更改時間。

4.4.6 強化審計工作

完成規則集的制訂后，下一個重要環節是檢測。需要注意的是，建立有效防火墻的關鍵在于建立簡單的規則集，錯誤配置是網絡的最大敵人。因此，應盡可能確保規則集的簡短和簡潔。簡單的規則集理解和掌握起來比較容易。筆者建議，規則集應在30條以內，如果1個規則集超過50條，則必將會失敗。規則集越簡單，出現錯誤配置的概率就越小，所以，簡單的規則集無形之中提高了安全性能。

5 結束語

綜上所述，認真研究并應用以防火墻為基礎的網絡安全技術有著重要的意義。本文從防火墻的概念、作用和具體架構的角度，從合理選擇防火墻的策略、準確評估防火墻失效的方法、動態維護防護墻的措施和可靠規則集的制訂四方面進行了討論，詳細說明了應用防火墻網絡安全技術的要點，值得相關方面參考和借鑒。

參考文獻

[1]劉彥保.防火墻技術及其在網絡安全中的應用[J].安徽教育學院學報，2011（02）.

[2]張曉芳.基于防火墻屏蔽技術的網絡安全初探[J].無線互聯科技，2012（07）.

〔編輯：張思楠〕

Abstract： In the Internet era， network security problems are frequent； the application of firewall network security technology is conducive to the operation of the network better， to protect the security of the network environment. The concept and function of firewall is introduced. The specific architecture of firewall is briefly analyzed the concept and function of firewall is discussed in the paper， from many aspects illustrates the firewall under the background of network security techniques， and discusses the application of firewall network security technology， in order to provide valuable reference to the people.

Key words： firewall； network security technology； authentication； router