基于防火墻的安全策略研究

◆楊 喆

(西安煤礦機械有限公司 陜西 710200)

基于防火墻的安全策略研究

◆楊 喆

(西安煤礦機械有限公司 陜西 710200)

當前信息時代，互聯(lián)網(wǎng)得到了極大的發(fā)展，為我們的生活及工作都帶來了很大的便利，但是與此同時，網(wǎng)絡安全也成為一個社會廣泛關注的問題，網(wǎng)絡攻擊的情況經(jīng)常發(fā)生，人們對網(wǎng)絡安全也提出了更高的要求。防火墻是一種有效的防范網(wǎng)絡攻擊的技術，需要注重其科學、合理的應用，本文分析了基于防火墻的防范網(wǎng)絡攻擊的安全策略。

防火墻；網(wǎng)絡攻擊；安全策略

0 引言

網(wǎng)絡具有開放性和共享性的特點，這為我們帶來便利的同時，也為網(wǎng)絡安全留下安全隱患，計算機網(wǎng)絡的安全成為人們關注的重點。網(wǎng)絡攻擊和犯罪情況時有發(fā)生，對企業(yè)運營以及個人生活都產(chǎn)生了嚴重的影響，這就需要重視防范網(wǎng)絡攻擊的安全策略，加強防火墻的有效應用，提高網(wǎng)絡攻擊防范水平。

1 防火墻概念

防火墻是一種訪問控制技術，其作用是加強對兩個或者是多個網(wǎng)絡間邊界的防衛(wèi)能力。一個防火墻系統(tǒng)，可能是一臺主機、一個路由器，也可能是主機群。其目的是對局域網(wǎng)進行保護，防止其受到局域網(wǎng)外的其他因素破壞及干擾。防火墻通常都是在高層網(wǎng)關基礎上建立，例如站點通過網(wǎng)絡連接。要對部分主機群或者是一個局域網(wǎng)進行保護，可以通過在局域網(wǎng)的邊界設置防火墻來實現(xiàn)。

2 防火墻的功能

2.1 保證網(wǎng)絡安全

防火墻對促進網(wǎng)絡安全提升具有重要作用，一個防火墻就可以極大程度提高內(nèi)部網(wǎng)絡的安全程度，對服務進行過濾，將不安全的過濾掉，來減少風險，以此來提高網(wǎng)絡環(huán)境的安全性。例如，防火墻可以禁止不安全協(xié)議訪問，如NFS協(xié)議，會對網(wǎng)絡進行保護，可以防止外部攻擊者通過這些脆弱的協(xié)議對內(nèi)部網(wǎng)絡的攻擊和破壞。防火墻還可以防止網(wǎng)絡受到路由的攻擊，例如 IP選項中的源路由攻擊以及ICMP重定向中的重定向路徑。防火墻可以有效阻擋這些攻擊，且將警告告知網(wǎng)絡安全管理員。

2.2 能夠加強網(wǎng)絡安全策略

基于防火墻的安全方案配置，可以將各種安全軟件都配置在其中，例如加密、審計、身份認證等。防火墻和將網(wǎng)絡安全問題分散到各個主機上的管理方式不同，其采取的是集中安全管理，成本也更低。比如，在訪問網(wǎng)絡時，一次一密口令系統(tǒng)以及部分身份認證系統(tǒng)就不用單獨設置，可以完全集中到防火墻系統(tǒng)上。

2.3 監(jiān)控審計網(wǎng)絡的存取及訪問

如果網(wǎng)絡的所有訪問都需要經(jīng)過防火墻允許，就可以將這些訪問記錄都記錄下來，形成日志記錄，也可以將網(wǎng)絡的使用情況形成統(tǒng)計數(shù)據(jù)。在網(wǎng)絡出現(xiàn)可疑的行為操作時，防火墻可以及時報警，還可以提供相關信息，查看網(wǎng)絡有沒有受到攻擊。除此之外，對網(wǎng)絡使用信息及誤用信息的收集也很重要，這些信息可以反映防火墻的防護情況和水平。網(wǎng)絡在日常運行過程中，也需要通過數(shù)據(jù)信息的統(tǒng)計，分析網(wǎng)絡的需求，分析威脅情況等。

2.4 避免將內(nèi)部信息泄露到外面

用防火墻劃分內(nèi)部網(wǎng)絡，可以將內(nèi)部網(wǎng)中的重要網(wǎng)段都隔離開來，這樣可以減小敏感網(wǎng)絡安全問題或者是局部重點安全問題的影響，減小他們對全局網(wǎng)絡的影響程度。隱私也是內(nèi)部網(wǎng)絡中很重要的內(nèi)容。而防火墻就可以將這樣的能夠暴露內(nèi)部細節(jié)的服務隱蔽掉，如DNS服務、Finger等[1]。如Finger就可以將主機的全部用戶的相關信息都顯示出來，如真名、注冊名等，這些信息攻擊者都可以輕松獲得。攻擊者可以掌握系統(tǒng)是否是經(jīng)常使用，系統(tǒng)上是不是有用戶正在連線上網(wǎng)，還會知道這一系統(tǒng)在受到攻擊時能否引起注意等信息。應用防火墻可以阻塞內(nèi)部網(wǎng)絡中的DNS信息，這樣攻擊者就不會了解主機的IP地址及域名。

3 防火墻基本類型

當前市場上的防火墻絕大多數(shù)是軟件系統(tǒng)，將其安裝到計算機中進行運行，防范網(wǎng)絡攻擊。除此之外，還有以硬件系統(tǒng)形式出現(xiàn)，一般是設計在路由器中。將防火墻進行分類，可以分成包過濾防火墻、狀態(tài)監(jiān)視器以及代理服務器。

3.1 包過濾防火墻

包過濾就是在網(wǎng)絡層中，對數(shù)據(jù)包進行選擇，符合標準的數(shù)據(jù)包可以通過。過濾邏輯是根據(jù)系統(tǒng)提前設定好的，通過這一邏輯對數(shù)據(jù)流中的所有數(shù)據(jù)包進行檢查，檢查內(nèi)容包括目標地址、源地址、使用端口，經(jīng)檢查符合過濾邏輯的數(shù)據(jù)包才會通過。

3.2 代理服務器防火墻

代理服務器具體是被設置在防火墻網(wǎng)關上的，代理服務器一般都具有緩存速度快的特點。緩存會將計算機用戶經(jīng)常訪問的站點信息存儲下來，當下一位用戶要訪問一樣的網(wǎng)址時，服務器就會提供緩存下的信息，可以不用重新再去加載這一內(nèi)容。這樣可以有效節(jié)約網(wǎng)絡資源以及時間，提高訪問效率。

3.3 狀態(tài)監(jiān)視器技術

其通過對保存的數(shù)據(jù)包相關信息進行分析，包括協(xié)議、端口、類型、地址等，在此基礎上，逐步形成“會話過濾"功能[2]。每次在建立連接時，防火墻會為其建立一個對話狀態(tài)，具體內(nèi)容有這一連接數(shù)據(jù)包的各種信息，以后這一數(shù)據(jù)包連接也都會在這個狀態(tài)信息基礎上進行。

4 防火墻的防范網(wǎng)絡攻擊的安全策略

4.1 部署外部防火墻

通過這一措施可以在內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)之間進行有效的隔離，進而可以起到防止外部網(wǎng)絡攻擊的作用。防火墻對于訪問可以制定相應的策略，要想訪問內(nèi)部網(wǎng)絡，外部主機就需要經(jīng)過授權，在此基礎上，才能對有限的內(nèi)部資源進行訪問，確保其只能訪問到內(nèi)網(wǎng)中的一些授權的資源，和業(yè)務沒有關系的操作則不會被通過，無法實現(xiàn)訪問。防火墻還能夠?qū)崿F(xiàn)地址轉(zhuǎn)換操作，外部互聯(lián)網(wǎng)無法了解內(nèi)部局域網(wǎng)的結(jié)構(gòu)，這樣黑客在對內(nèi)部網(wǎng)絡進行攻擊時就會沒有目標。

防火墻的位置設置十分重要，需要在內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)之間，確保將二者實現(xiàn)全面隔離，這樣才能有效拒絕外部網(wǎng)絡訪問，讓其服務請求止步于防火墻。防火墻會分析收到的數(shù)據(jù)包，經(jīng)確認請求是合理的之后，會將請求傳到服務器主機上，否則主機可以拒絕非法的訪問。外部的用戶是看不到內(nèi)網(wǎng)的情況的，可以說防火墻是內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)之間唯一的通信渠道，可以將所有訪問內(nèi)部網(wǎng)絡的情況和信息記錄下，形成完整的日志文件。只有確保防火墻是要保護的網(wǎng)絡和外網(wǎng)之間的唯一連通渠道，才能有效防范網(wǎng)絡攻擊。如果內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)有多個連接通道，那么就必須在每個互聯(lián)通道設置防火墻。圖1是防火墻部署情況[3]。

圖1 防火墻部署情況

4.2 部署內(nèi)部防火墻

內(nèi)部防火墻就是需要設置在各個應用服務器的入口處位置，需要制定健全的安全策略，進而對內(nèi)網(wǎng)用戶訪問進行有效的控制。并且還可以針對不用的用戶制定有效的訪問權限，這樣讓內(nèi)網(wǎng)的用戶在訪問時只能查看權限內(nèi)的資源。利用身份認證功能，可以有效實現(xiàn)用戶遠程管理，可以將具體訪問情況和信息都記錄下來，及時地發(fā)現(xiàn)錯誤的操作情況以及攻擊行為。借助于防火墻安全策略的集中管理，就不用給各個主機設置獨立的安全策略，可以減少由于人為原因產(chǎn)生的網(wǎng)絡安全問題。

5 結(jié)束語

綜上所述，基于防火墻的防范網(wǎng)絡攻擊的安全策略具有重要意義。防火墻是抵抗網(wǎng)絡攻擊、提高網(wǎng)絡安全性的有效技術，需要對其進行合理利用，科學選擇類型，充分發(fā)揮出其作用。

[1]畢曉東.基于防火墻的網(wǎng)絡安全技術初探[J].山東省農(nóng)業(yè)管理干部學院學報，2013.

[2]劉益洪，陳林.基于防火墻的網(wǎng)絡安全技術分析[J].通信技術，2012.

[3]張連根.防火墻技術在網(wǎng)絡安全中的應用[J].科技資訊，2011.