基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析

王立群

摘要：21世紀(jì)是信息時(shí)代，以計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)、多媒體技術(shù)為核心的信息技術(shù)在近20年中有了飛躍性的發(fā)展。計(jì)算機(jī)技術(shù)的應(yīng)用與發(fā)展促進(jìn)了信息技術(shù)的變革，并且計(jì)算機(jī)技術(shù)不斷普及，成為人們?nèi)粘Ｉ钪兄匾囊徊糠郑粌H對(duì)社會(huì)中的個(gè)人有重要影響，還影響著世界經(jīng)濟(jì)和社會(huì)的發(fā)展。但是，隨著信息技術(shù)的不斷普及也逐漸產(chǎn)生了各種問題，互聯(lián)網(wǎng)中存在著更多的威脅和攻擊，互聯(lián)網(wǎng)安全容易受到他人的破壞，容易造成個(gè)人信息的泄漏甚至導(dǎo)致系統(tǒng)平臺(tái)和網(wǎng)絡(luò)資源癱瘓無效。因此，文章對(duì)基于防火墻的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了探討。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全技術(shù)

如今互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到社會(huì)中的方方面面，成為人們社會(huì)生活的一部分。所以網(wǎng)絡(luò)安全的重要性更加突出，只有安全的互聯(lián)網(wǎng)才能夠保障互聯(lián)網(wǎng)的正常使用，否則當(dāng)互聯(lián)網(wǎng)遭受破壞、信息能夠被竊取、互聯(lián)網(wǎng)服務(wù)被非法中斷問題出現(xiàn)時(shí)必然會(huì)影響人們的正常生活和社會(huì)生產(chǎn)。防火墻技術(shù)作為網(wǎng)絡(luò)安全的一個(gè)重要保障起著不可替代的作用，通過加密防毒、NAT技術(shù)、多端口、安全審計(jì)等對(duì)網(wǎng)絡(luò)安全的保障有更加重要的作用。

1防火墻技術(shù)和網(wǎng)絡(luò)安全的概念

1.1防火墻技術(shù)的概念

防火墻是一個(gè)處于專用網(wǎng)與共用網(wǎng)之間的軟硬件結(jié)合的系統(tǒng)，它為內(nèi)部網(wǎng)構(gòu)建了一個(gè)安全屏障，是建立在互聯(lián)網(wǎng)之間的一個(gè)安全網(wǎng)關(guān)，可以保護(hù)內(nèi)部網(wǎng)用戶免受非法用戶入侵的目的。它有2個(gè)重要功能：一是將不符合條件的人和數(shù)據(jù)隔離在網(wǎng)絡(luò)外部；二是允許符合條件的人進(jìn)入。它是內(nèi)部網(wǎng)成員與外部通信的必要條件。防火墻具有4個(gè)功能：網(wǎng)絡(luò)安全的屏障，強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部信息泄漏。網(wǎng)絡(luò)安全屏障不僅可以提高內(nèi)部網(wǎng)絡(luò)的安全性，還可以通過過濾網(wǎng)絡(luò)數(shù)據(jù)和安全服務(wù)，有效地降低內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)。因此，只有那些特殊的應(yīng)用程序的選擇能夠通過防火墻。加強(qiáng)網(wǎng)絡(luò)安全策略是對(duì)所有安全軟件進(jìn)行集中的安全管理。例如，認(rèn)證和審核等，這些安全軟件可以在防火墻上配置防火墻的安全程序，并且管理更加經(jīng)濟(jì)、方便。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)是指如果所有的訪問都能夠通過防火墻，那么防火墻就能夠記錄下這些訪問記錄并且進(jìn)行存儲(chǔ)與整理，同時(shí)能夠提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)現(xiàn)可以的訪問數(shù)據(jù)時(shí)，防火墻會(huì)先攔截繼而進(jìn)行適當(dāng)?shù)膱?bào)警并且提供網(wǎng)絡(luò)是否收到檢測和攻擊的詳細(xì)信息。防止內(nèi)部信息的外泄，這是通過防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)的影響。

1.2網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是保護(hù)網(wǎng)絡(luò)系統(tǒng)的軟硬件系統(tǒng)，并對(duì)數(shù)據(jù)進(jìn)行分析。網(wǎng)絡(luò)安全是一個(gè)綜合性的學(xué)科，包括密碼技術(shù)、計(jì)算機(jī)科學(xué)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)等知識(shí)，只要涉及網(wǎng)絡(luò)信息的真實(shí)性、安全性、完整性、保密性和可控性等都是網(wǎng)絡(luò)安全的研究領(lǐng)域。安全性是信息安全的特性，是未經(jīng)授權(quán)的用戶實(shí)體或過程。完整性是指對(duì)數(shù)據(jù)的修改必須由用戶授權(quán)，如果未經(jīng)授權(quán)就不能修改或者破壞信息。可用性是指數(shù)據(jù)可以得到授權(quán)的實(shí)體訪問，并且根據(jù)安全需要進(jìn)行訪問的特性。可控性是指能夠控制信息的傳播和內(nèi)容的性質(zhì)。現(xiàn)階段網(wǎng)絡(luò)安全所受到的威脅眾多，除了一些意外事故和自然災(zāi)害之外更多的是人為因素，例如入侵的黑客、病毒等。對(duì)于網(wǎng)絡(luò)入侵有著眾多的方式，例如：口令入侵、木馬、萬維網(wǎng)欺騙技術(shù)、電子郵件攻擊、節(jié)點(diǎn)攻擊、網(wǎng)絡(luò)監(jiān)聽、黑客軟件、安全漏洞攻擊、端口掃描攻擊等。

2各類防火墻的設(shè)計(jì)技術(shù)

2.1包過濾技術(shù)

網(wǎng)絡(luò)中傳送信息的單位是數(shù)據(jù)包，數(shù)據(jù)包包含IP源地址、IP目的地址、內(nèi)部協(xié)議、TCP/ICMP消息類型、數(shù)據(jù)包的收發(fā)接口等。這些數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時(shí)可以通過不同的途徑到達(dá)目的地。包過濾技術(shù)就是在數(shù)據(jù)包傳送技術(shù)基礎(chǔ)上發(fā)生作用的，它利用路由器監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的數(shù)據(jù)包，拒絕發(fā)送可疑的數(shù)據(jù)包。網(wǎng)絡(luò)連接都需要借助路由器，路由器成為內(nèi)外網(wǎng)絡(luò)之間通信必須經(jīng)過的途徑，防火墻就是一個(gè)擁有過濾功能的簡單路由器。防火墻進(jìn)行網(wǎng)絡(luò)安全防護(hù)時(shí)，對(duì)所有的數(shù)據(jù)包都逐一審查，查看是否安全，是否經(jīng)過授權(quán)。針對(duì)過濾包技術(shù)進(jìn)行防火墻設(shè)計(jì)時(shí)應(yīng)該遵循以下規(guī)則：對(duì)所有進(jìn)入內(nèi)部網(wǎng)的數(shù)據(jù)包其源地址不能是網(wǎng)絡(luò)內(nèi)部地址，并且目的地地址必須是外部地址；對(duì)離開內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)其源地址必須是內(nèi)部地址，并且目的地地址不能是內(nèi)部地址；對(duì)任何通過防火墻的數(shù)據(jù)無論是目的地址還是源地址都不能是私有地址。包過濾技術(shù)能夠?qū)崿F(xiàn)配置客戶開放外網(wǎng)對(duì)內(nèi)網(wǎng)的服務(wù)器訪問，實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)發(fā)起的數(shù)據(jù)端口連接，開放對(duì)內(nèi)網(wǎng)的非連接請求，接受來自內(nèi)網(wǎng)的數(shù)據(jù)包轉(zhuǎn)發(fā)等等作用。

2.2地址翻譯技術(shù)

該技術(shù)可以通過對(duì)傳輸數(shù)據(jù)包報(bào)頭中的IP地址進(jìn)行替換，允許私有地址訪問公共網(wǎng)絡(luò)，它會(huì)在內(nèi)主機(jī)訪問外網(wǎng)時(shí)生成一個(gè)訪問記錄，通過將私有的源地址進(jìn)行偽裝和隱藏就可以利用這個(gè)偽裝地址進(jìn)行內(nèi)外網(wǎng)間的數(shù)據(jù)傳輸。當(dāng)代網(wǎng)絡(luò)生活中共有的IP地址越來越少，通過私有網(wǎng)絡(luò)訪問公網(wǎng)是普遍現(xiàn)象，地址翻譯技術(shù)在對(duì)IP地址進(jìn)行轉(zhuǎn)換的過程中要注意內(nèi)部接口和外部接口，明確地進(jìn)行網(wǎng)絡(luò)地址翻譯。

2.3代理技術(shù)

代理技術(shù)的構(gòu)建是在內(nèi)網(wǎng)主機(jī)和服務(wù)器之間構(gòu)建一個(gè)代理服務(wù)器，這個(gè)服務(wù)器作為內(nèi)網(wǎng)的唯一標(biāo)示，只有通過這個(gè)才能與外網(wǎng)進(jìn)行數(shù)據(jù)信息的接收和轉(zhuǎn)發(fā)。這項(xiàng)技術(shù)要以代理服務(wù)設(shè)備為基礎(chǔ)對(duì)數(shù)據(jù)包進(jìn)行封鎖，這樣能夠讓外網(wǎng)對(duì)內(nèi)網(wǎng)的修改和破壞變得更加困難，還能夠有效地隱蔽內(nèi)網(wǎng)自身的漏洞，不被外網(wǎng)發(fā)現(xiàn)。

2.4屏蔽主機(jī)防火墻的設(shè)計(jì)

屏蔽主機(jī)防火墻由包濾路由器與外部網(wǎng)連接，用一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，替代服務(wù)器發(fā)生作用。屏蔽主機(jī)防火墻設(shè)計(jì)的主要配置參數(shù)包括：WWW服務(wù)器：192.168.0.10；外網(wǎng)主機(jī)：211.1.1.2；內(nèi)部網(wǎng)：192.168.0.0/24；接內(nèi)網(wǎng)：192.168.0.1；接外部路由器：61.1.1.2。

2.5屏蔽子網(wǎng)絡(luò)防火墻的設(shè)計(jì)

屏蔽子網(wǎng)防火墻是在被屏蔽子網(wǎng)體系結(jié)構(gòu)中再添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)中。它的配置設(shè)計(jì)主要參數(shù)包括：外部網(wǎng)：10.0.0.0/8；DMZ區(qū)：172.16.0.0/16；內(nèi)部網(wǎng)：192.168.4.0/24；接內(nèi)部路由器：192.168.4.1。

2.6防火墻設(shè)計(jì)的主要原則

在網(wǎng)絡(luò)設(shè)計(jì)中電路設(shè)備的安全和效率是首先需要保障的，對(duì)于關(guān)鍵的設(shè)備和電路要做好冗余和備份。另一方面就是要保證網(wǎng)絡(luò)傳輸?shù)目煽啃院涂捎眯裕枰捎霉收咸幚砗腿蒎e(cuò)技術(shù)。在網(wǎng)絡(luò)設(shè)計(jì)中需要遵守的主要原則有：安全保密性原則、可擴(kuò)充性原則、經(jīng)濟(jì)合理性原則、可實(shí)施性原則。安全保密性措施指的是在設(shè)計(jì)網(wǎng)絡(luò)時(shí)需要制定一整套措施來保證傳輸信息的安全，人們在利用網(wǎng)絡(luò)信息時(shí)保障數(shù)據(jù)傳輸?shù)陌踩侵陵P(guān)重要的，當(dāng)人們?yōu)g覽網(wǎng)頁時(shí)很容易留下個(gè)人資料、隱私信息等，而大部分的用戶都沒有關(guān)于保障信息安全的相關(guān)知識(shí)和技術(shù)，也很容易忽視這些信息的刪除，所以建立一整套的安全保密措施是至關(guān)重要的，能夠有效防止一些非法分子盜取用戶的隱私信息，這一原則對(duì)于社會(huì)個(gè)人、企業(yè)、國家都有重要作用。可擴(kuò)充性原則指的是在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大和功能不斷完善的今天對(duì)于網(wǎng)絡(luò)擴(kuò)容提出了新的要求。首先要不能影響用戶的使用，其次就是要靈活方便，網(wǎng)絡(luò)升速、配置調(diào)整，這些都是網(wǎng)絡(luò)設(shè)計(jì)時(shí)需要考慮的內(nèi)容，這主要是方便日后數(shù)據(jù)包容量的擴(kuò)大和滿足用戶業(yè)務(wù)數(shù)量的激增以及業(yè)務(wù)流向的調(diào)整。經(jīng)濟(jì)合理性原則指的是在選擇和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和技術(shù)時(shí)要進(jìn)行技術(shù)經(jīng)濟(jì)和性能價(jià)格之間的比較，對(duì)于現(xiàn)有的設(shè)備要做到充分的保護(hù)和利用。在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)要先對(duì)性價(jià)比進(jìn)行分析，例如：僅僅是用戶個(gè)人上網(wǎng)不涉及非常重要的信息時(shí)，如果讓個(gè)人進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)肯定性價(jià)比較高，并且起到的作用也不大，但對(duì)于一些大型企業(yè)或者政府部門來說，就需要進(jìn)行很完善的網(wǎng)絡(luò)設(shè)計(jì)，因?yàn)樗木W(wǎng)絡(luò)信息更加重要，很可能涉及政務(wù)信息、商業(yè)機(jī)密，并且這類信息也容易被一些非法分子攻擊，建立強(qiáng)大的防火墻能夠有效保障信息安全，保障用戶的切身利益。可實(shí)施原則是指在滿足上面的那些原則的基礎(chǔ)上還要充分考慮自身?xiàng)l件，網(wǎng)絡(luò)設(shè)計(jì)還要考慮施工和維護(hù)的可能性。

3結(jié)語

本文對(duì)當(dāng)今社會(huì)網(wǎng)絡(luò)安全中的防火墻技術(shù)進(jìn)行了分析和研究，介紹了多種防火墻的設(shè)計(jì)。網(wǎng)絡(luò)是一個(gè)非常龐大和復(fù)雜的系統(tǒng)，網(wǎng)絡(luò)的安全性也更為重要。威脅網(wǎng)絡(luò)安全的因素越來越多，防火墻是保障網(wǎng)絡(luò)通信安全的重要手段之_，在應(yīng)用防火墻維護(hù)網(wǎng)絡(luò)時(shí)要進(jìn)行正確的配置和選擇，還要對(duì)其進(jìn)行定期的維護(hù)，這樣才能夠充分發(fā)揮防火墻的作用，保障網(wǎng)絡(luò)通信安全。在設(shè)置防火墻時(shí)也要注意提高它在智能化、高速化和多功能化3個(gè)方面的作用。希望本文能夠?qū)Ψ阑饓Φ脑O(shè)計(jì)有所幫助，促進(jìn)網(wǎng)絡(luò)安全的發(fā)展。