構(gòu)建物聯(lián)網(wǎng)的網(wǎng)絡(luò)防火墻安全體系

寧啟智

摘要：智能時(shí)代再也不是科幻片中人們向往的場(chǎng)景，而是真真切切出現(xiàn)在我們的生活中。互聯(lián)網(wǎng)和物聯(lián)網(wǎng)已經(jīng)悄然改變著我們普通人的生活。但是，很多人對(duì)互聯(lián)網(wǎng)的安全問題不夠明確，安全意識(shí)也很淡薄，那么對(duì)將來(lái)物聯(lián)網(wǎng)的安全問題更是會(huì)忽視，那么后果是相當(dāng)嚴(yán)重的。在很多人看來(lái)，如果網(wǎng)暫時(shí)斷了，不會(huì)對(duì)我們的生活造成太大的影響，郵件或者聊天記錄也會(huì)時(shí)時(shí)保存。但是，如果物聯(lián)網(wǎng)或者智能電網(wǎng)被攻破，那么不僅會(huì)危及國(guó)家安全，人民的生命財(cái)產(chǎn)也會(huì)相當(dāng)危險(xiǎn)，這不得不說(shuō)是一種筆危害個(gè)人生命還要危險(xiǎn)的行為。

關(guān)鍵詞：物聯(lián)網(wǎng)；防火墻；安全體系架構(gòu)

【中圖分類號(hào)】TP393.08【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】2236-1879（2017）12-0306-02

物聯(lián)網(wǎng)現(xiàn)在就像人們不可或缺的依靠，正在一步步走進(jìn)各行各業(yè)，而物聯(lián)網(wǎng)被攻擊的可能性也在一點(diǎn)一點(diǎn)地增加。那么物聯(lián)網(wǎng)的安全如何來(lái)保障呢？筆者就如何構(gòu)建物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻來(lái)提高物聯(lián)網(wǎng)的安全指數(shù)進(jìn)行討論。

1為什么要構(gòu)建物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻

物聯(lián)網(wǎng)的安全關(guān)系到國(guó)家安全和人民生命財(cái)產(chǎn)安全，所以設(shè)置和構(gòu)建強(qiáng)有力的網(wǎng)絡(luò)防火墻是物聯(lián)網(wǎng)工作的重中之重。將能夠加強(qiáng)ACL的裝置設(shè)置在不同網(wǎng)間，裝置以組合的形式存在。其作用就是對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，在可信任的企業(yè)內(nèi)網(wǎng)和信任度低的公網(wǎng)中構(gòu)建防火墻，通過鏈接或者是可靠檢驗(yàn)對(duì)外來(lái)者進(jìn)行檢驗(yàn)，從而保護(hù)網(wǎng)絡(luò)不受到危害。

物聯(lián)網(wǎng)防火墻就像是一個(gè)網(wǎng)絡(luò)警察，將所有的不規(guī)范行為進(jìn)行屏蔽或者修改，將整個(gè)網(wǎng)絡(luò)的安全策略，無(wú)條件地執(zhí)行下去。構(gòu)建物聯(lián)網(wǎng)防火墻還有一個(gè)很重要的作用就是防止單網(wǎng)段傳播錯(cuò)誤信息。防火墻能對(duì)很多網(wǎng)段同時(shí)監(jiān)控，如果發(fā)現(xiàn)問題，迅速將該網(wǎng)段隔離，并將網(wǎng)絡(luò)中的錯(cuò)誤代碼和錯(cuò)誤活動(dòng)內(nèi)容進(jìn)行記錄和信息采集。物聯(lián)網(wǎng)防火墻將錯(cuò)誤信息記錄，也能將潛在的危險(xiǎn)屏蔽掉，從而保障物聯(lián)網(wǎng)的安全指數(shù)。在物聯(lián)網(wǎng)防火墻上設(shè)置監(jiān)控點(diǎn)，就像長(zhǎng)城上的了望塔一樣，一發(fā)現(xiàn)危險(xiǎn)，立刻限制訪客進(jìn)入，還可以將訪客驅(qū)逐，令其繞行。在物聯(lián)網(wǎng)上安裝限制器，分離器，分析器等等裝置，能很好的完成防火墻任務(wù)，保護(hù)物聯(lián)網(wǎng)的安全。

2如何構(gòu)建物聯(lián)網(wǎng)的防火墻安全體系

物聯(lián)網(wǎng)防火墻安全體系架構(gòu)有很多種類，每一種都有自己的特長(zhǎng)和不足，我們?cè)谶x擇安全體系架構(gòu)種類的時(shí)候，一定要根據(jù)自己的需要，綜合考慮各種因素，爭(zhēng)取最優(yōu)化運(yùn)用。物聯(lián)網(wǎng)防火墻安全體系架構(gòu)基本上可以分成五種類型，下面筆者就逐一講解。

2.1主機(jī)型過濾架構(gòu)的優(yōu)缺點(diǎn)：

由于主機(jī)型過濾架構(gòu)的運(yùn)行機(jī)制是由過濾Router和運(yùn)行網(wǎng)關(guān)型的軟堡壘構(gòu)成，攻擊者需要先滲透處于內(nèi)網(wǎng)和外網(wǎng)之間的過濾Router，再攻破只與內(nèi)網(wǎng)連接的軟堡壘，才能達(dá)到目的。主機(jī)型過濾架構(gòu)從某種意義上是兩個(gè)不同類型的屏障在共同保護(hù)內(nèi)部網(wǎng)絡(luò)，可以快速有效的實(shí)現(xiàn)代理任務(wù)和交互認(rèn)證，對(duì)內(nèi)網(wǎng)進(jìn)行有效控制。由于過濾主機(jī)成為網(wǎng)絡(luò)安全的“單失效點(diǎn)”，會(huì)被黑客集中攻擊，因此也是網(wǎng)絡(luò)中最需要防護(hù)的節(jié)點(diǎn)。主機(jī)型過濾架構(gòu)具備相對(duì)低成本、易操作、易維護(hù)、安全性好等特點(diǎn)，被很多需要安全網(wǎng)絡(luò)的環(huán)境所采用。

2.2過濾型Router架構(gòu)的優(yōu)缺點(diǎn)：

這種架構(gòu)可以視作是對(duì)Router進(jìn)行安全功能附加，它針對(duì)由Router轉(zhuǎn)發(fā)的包進(jìn)行操作者要求的更嚴(yán)格檢查。無(wú)論對(duì)于機(jī)器還是操作者，Router的工作都是可查詢的。因此這種架構(gòu)更加透明，價(jià)格甚至比主機(jī)過濾架構(gòu)更加便宜，對(duì)網(wǎng)絡(luò)造成的延遲極小，當(dāng)然也更容易遭到破壞，并且維護(hù)相對(duì)困難。過濾路由也是“單失效點(diǎn)”，所不同的是，失效后相當(dāng)于安全的“大門”完全敞開，而我們要求失效點(diǎn)出現(xiàn)問題后，“大門”是關(guān)閉的，也就是說(shuō)這種架構(gòu)不符合當(dāng)下要求的“安全失效”模態(tài)，正因?yàn)檫@樣，過濾路由架構(gòu)推廣受到了相當(dāng)大的局限。

2.3子網(wǎng)型過濾架構(gòu)的優(yōu)缺點(diǎn)：

這是主機(jī)型過濾架構(gòu)的加強(qiáng)版本，通過兩個(gè)過濾路由在內(nèi)外網(wǎng)之間構(gòu)建子網(wǎng)，甚至還可以在子網(wǎng)中構(gòu)建堡壘主機(jī)，也就是說(shuō)所有數(shù)據(jù)都需要經(jīng)過子網(wǎng)的過濾和轉(zhuǎn)發(fā)，這使得數(shù)據(jù)更加安全，并且這種結(jié)構(gòu)破壞起來(lái)比較困難。因?yàn)橥獠康墓粢@過兩層路由和堡壘主機(jī)再進(jìn)行發(fā)現(xiàn)操作，想要在此過程中不切斷網(wǎng)絡(luò)或觸發(fā)鎖死和警報(bào)，已經(jīng)非常困難，如果網(wǎng)絡(luò)設(shè)置了更加嚴(yán)苛的訪問要求，則破壞變得更加困難。

2.4吊帶型架構(gòu)優(yōu)缺點(diǎn)：

這其實(shí)可以看做一種特殊的子網(wǎng)過濾型架構(gòu)，區(qū)別是將連接外網(wǎng)的過濾路由以及子網(wǎng)外置，將其構(gòu)建于本網(wǎng)周界或者直接尋找具有代理及Authentication服務(wù)的第三方Geteway，然后再經(jīng)過本網(wǎng)路由的過濾與內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸。目前來(lái)看，這是最安全的架構(gòu)模式了。

2.5雙宿主型主機(jī)架構(gòu)優(yōu)缺點(diǎn)：

這種架構(gòu)用一臺(tái)具備雙網(wǎng)卡的Host代替Router，兩個(gè)Interface分別負(fù)責(zé)與內(nèi)外網(wǎng)的通訊，用戶可通過向雙宿主機(jī)注冊(cè)或者代理的形式實(shí)現(xiàn)與外界通訊的網(wǎng)絡(luò)功能。主機(jī)的可控制安全范圍大于路由器，因此雙宿主機(jī)架構(gòu)相較于路由器的包過濾可以進(jìn)行更多的安全設(shè)置，但是雙宿主機(jī)本身極易受到攻擊，并且在一些層的服務(wù)上還是受到限制。

從安全性到提供服務(wù)的能力綜合來(lái)看，功能從弱到強(qiáng)依次是：過濾型Router、雙宿主型Host、主機(jī)過濾型、子網(wǎng)過濾型、吊帶型，在實(shí)際的選擇和使用過程中還需根據(jù)實(shí)際的安全級(jí)別要求、通訊服務(wù)要求以及預(yù)算等進(jìn)行合理安排。

3如何做好物聯(lián)網(wǎng)的網(wǎng)絡(luò)防火墻的創(chuàng)建工作

首先應(yīng)將所有有關(guān)安全的策略變成對(duì)應(yīng)的安全體系架構(gòu)。其次，公共內(nèi)網(wǎng)的數(shù)據(jù)即使是公司內(nèi)部員工訪問，也要建立安全級(jí)別確認(rèn)和密碼登陸系統(tǒng)。再其次，規(guī)則集合的落實(shí)是選擇好素材以后，首要做的事情。比如，添加鎖定，允許訪問郵件等等。最后，建立好規(guī)則集合以后，要對(duì)其進(jìn)行有針對(duì)性的檢測(cè)，檢測(cè)其能否進(jìn)行安全工作，防止發(fā)生犯錯(cuò)。

總而言之，物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻的構(gòu)建，其作用是顯而易見的。我們只有按照安全要求和安全準(zhǔn)則去構(gòu)建防火墻，才能保證防火墻的安全性，從而保障國(guó)家信息安全和人民財(cái)產(chǎn)安全。

參考文獻(xiàn)

[1]張毅，唐紅.物聯(lián)網(wǎng)綜述[J].數(shù)字通信，2010（4）.

[2]王慧強(qiáng).物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)及其應(yīng)用研究[J].大慶師范學(xué)報(bào)，2012（6）.