談下一代防火墻安全特征及發展趨勢

何曉敏

[摘 要]隨著越來越重要的信息應用以互聯網作為運行基礎，用戶面臨的威脅形形色色，各類網絡安全問題日益突出。尤其是黑客、計算機病毒對網絡安全的危害，使得人們不得不重視防火墻技術。防火墻是一種行之有效的網絡安全機制，是在網絡的內部與外部之間實施安全防范的系統安全。只有了解了現有防火墻的安全特征，才能完善安全防范手段，實現下一代防火墻的安全使用。根據互聯網目前的系統管理現狀，本文就針對下一代防火墻的安全特征進行分析，探討其未來發展趨勢。

[關鍵詞]下一代防火墻；安全特征；發展趨勢

中圖分類號：TM215 文獻標識碼：A 文章編號：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導下，互聯網的飛速發展給人們的生活帶來便捷，人們對互聯網的依賴程度加大。但是，近年來計算機網絡面臨的威脅越來越多的人為攻擊事件，數量劇烈上升趨勢。人們的利益受到威脅，對互聯網的放火墻安全性能產生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭取解決下一代互聯網的安全威脅。

1.研究防火墻安全特征

1.1 互聯網面對的安全威脅

自莫里斯蠕蟲病毒出現以來，病毒的數量呈爆炸式增長，安全漏洞數量增長較快，系統或軟件的嚴重級別漏洞增多。同時，黑客等網絡不法分子通過網絡技術，攻破用戶防火墻，帶來安全威脅。對于銀行系統、商業系統、政府和軍事領域而言，這些比較敏感的系統和部門對公共通信網絡中存儲與傳輸的數據安全問題尤為關注。目前，最常見的安全問題是網絡協議和軟件的安全缺陷、計算機病毒、身份信息竊取、網絡釣魚詐騙及分布式拒絕服務。其中計算機病毒并不獨立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯網金融的發展，人們的身份信息與銀行資產很容易被黑客侵入，個人和企業的信息輕而易舉被竊取，造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術標準

在2005、2006年，防火墻標準進行了重新編制，只針對包過濾和應用級防火墻技術，其中代理服務器要求和并列到應用級防火墻技術中進行描述。先后形成了《GB/T20010—2005信息安全技術包過濾防火墻評估準則》。GB/T20281—2006標準則吸收了原來國家標準的所有重要內容。該標準將防火墻通用技術要求分為功能、性能、安全和保證四大類。其中，功能要求是對防火墻產品應具備的安全功能提出具體的要求，包括包過濾、應用代理、內容過濾、安全審計和安全管理等；安全要求是對防火墻自身安全和防護能力提出具體的要求；保證要求則針對防火墻開發者和防火墻自身提出具體的要求。性能要求是對防火墻產品應達到的性能指標做出規定。同時，將防火墻產品進行安全等級劃分。安全等級分為三個級別，逐級提高，功能強弱、安全強度和保證要求的高低是等級劃分的具體依據，功能、安全為該標準的安全功能要求內容。這是我國信息安全標準中第一次將性能值進行量化的標準。

1.3 采用防火墻系統的必要性

隨著越來越多重要的信息應用以互聯網作為運行基礎，信息安全問題已經成為威脅民生、社會、甚至國家安全的重要問題。從計算機網絡安全技術的角度來看，防火墻是指強加于兩個網絡之間邊界處，以保護內部網絡免遭外部網絡威脅的系統或者系統組合。防火墻技術作為保護計算機網絡安全的最常用技術之一，當前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內部網絡數據和其他資源的前提下，允許本地用戶使用外部網絡資源，并將外部未授權的用戶屏蔽在內部網絡之外，從而解決了因連接外部網絡所帶來的安全問題。

2.分析下一代防火墻的發展趨勢

2.1 防火墻發展的新技術趨勢

就目前國內形勢而言，下一代防火墻發展的新技術趨勢有四方面。隨著運行商、金融、大型企業的數據中心等用戶對安全的關注，對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統的硬件構架已經無法滿足用戶的需求，因此多核處理，ASIC加速芯片處理等技術紛紛登場，高性能成為新的技術趨勢。雖然IPv6在目前推廣和普及的力度較大，但新的安全問題也逐漸產生。在純IPv6網絡中，IPv6端與端的IPSec以及最終拜托NAT的發展構架對防火墻產品的沖擊影響較大，但在IPv4/6共存階段，針對不同過渡協議混雜的背景，防火墻產品還是有著技術發展和實現的需求，所以使防火墻適用于IPv4/6也是重要技術趨勢之一。基于防火墻用戶的配置策略，應用深層控制技術開始越來越多的被提及。同時，隨著云時代的到來，各類云服務逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術的發展開發出云服務虛擬化技術。

2.2 下一代互聯網高性能防火墻標準

據國家標準化管理委員會2013年下達的國家標準制修訂計劃，對原有《GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法》進行修訂，由于下一代互聯網的特性是防火墻功能屬性，所以維持原有標準名稱。該標準與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類，加強了防火墻的應用層控制能力，增加了下一代互聯網協議支持能力的要求，級別統一劃分為基本級和增強級。該標準安全功能主要對產品實現的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分，其中網絡層控制主要包括包過濾、NAT、狀態檢測、策略路由等方面。這些安全功能新標準要求將大大提高下一代防火墻的安全特性。在環境適應性要求方面，該標準對下一代防火墻產品的部署模式及下一代互聯網環境的適應性支持進行了要求。同時，該標準的性能要求對下一代防火墻的吞吐量、延遲、最大并發連接數、最大連接速率和最大事務等性能指標進行了要求。

2.3 網絡安全的實現

網絡安全的實現是多方面的。訪問控制是網絡安全防御和保護的主要策略。進行訪問控制的目的是保護網絡資源不被非法使用和非法訪問。控制用戶可以訪問網絡資源的范圍，為網絡訪問提供限制，只允許訪問權限的用戶訪問網絡資源。且隨著當前通信技術的快速發展，用戶對信息的安全處理、安全存儲、安全傳輸的需要也越來越迫切，并受到了廣泛關注。信息在網絡傳輸的安全威脅是由于TPC/IP協議所固有的，因此數據加密技術成為實現計算機網絡安全技術的必然選擇。病毒防護主要包括計算機病毒的預防、檢測與清除。最理想的防止病毒攻擊的方法就是預防，在第一時間內阻止病毒進入系統。攻擊防御對網絡及網絡設備的傳輸行為進行實時監視，在惡意行為被發動時及時進行阻止，攻擊防御可以針對特征分析及分析做出判斷。同時，網絡安全建設“三分技術，七分管理”。因此，除了運用各種安全技術之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結語

總而言之，事物的發展過程是曲折的，前途是光明的。隨著人類在經濟、工業、軍事領域方面越來越多地依賴信息化管理和處理，由于信息網絡在設計上對安全問題的忽視，以及爆發性應用背后存在的使用和管理上的脫節，使互聯網中信息的安全性逐漸受到嚴重威脅，實用和安全矛盾逐漸顯現。而下一代防火墻的安全特性隨著互聯網的發展是不斷改進，進行高性能技術的研究，已有所成果。所以，關于下一代防火墻的安全特性我們要抱有積極的態度。

參考文獻

[1] 吳秀梅.防火墻技術及應用教程[M].北京：清華大學出版社.2010.

[2] 黎連業，張維.防火墻及其應用技術.清華大學，2004.