防火墻技術(shù)在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用

張建強(qiáng)

摘要：計(jì)算機(jī)網(wǎng)絡(luò)給人們的生產(chǎn)生活帶來(lái)諸多便利，但網(wǎng)絡(luò)信息傳輸中也面臨泄漏、竊取風(fēng)險(xiǎn)，為保證網(wǎng)絡(luò)信息傳輸安全，人們研發(fā)并應(yīng)用各種安全技術(shù)，其中防火墻技術(shù)是杰出代表，應(yīng)用較為普遍。文章對(duì)防火墻類(lèi)型及功能作簡(jiǎn)單分析，探討其在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用，以供參考。

關(guān)鍵詞：防火墻；技術(shù)；計(jì)算機(jī)安全

防火墻技術(shù)是由硬件與軟件組合而成的網(wǎng)絡(luò)訪問(wèn)控制器，依據(jù)一定的安全規(guī)則對(duì)流過(guò)防火墻的網(wǎng)絡(luò)包進(jìn)行控制，以保證網(wǎng)絡(luò)安全。目前防火墻由多種類(lèi)型，構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)時(shí)可根據(jù)實(shí)際情況加以應(yīng)用。

1 防火墻類(lèi)型

目前，防火墻類(lèi)型較多，包括包過(guò)濾防護(hù)墻、狀態(tài)檢測(cè)防火墻、代理防火墻等，這些防火墻在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中發(fā)揮重要作用防火墻的部署位置如圖l所示。其中包過(guò)濾防火墻充當(dāng)“通信警察”的角色，依據(jù)防火墻規(guī)則表判斷接收或拒絕包，即，防火墻依據(jù)規(guī)則對(duì)每個(gè)包進(jìn)行檢查，看是否相符，如均不相符則拒絕接收。另外，還可基于傳輸控制協(xié)議（ Transmission Control Protocol，TCP）或用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）的對(duì)數(shù)據(jù)包的端口號(hào)進(jìn)行定義，確定是否建立特定連接。

狀態(tài)檢測(cè)防火墻在傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上引入狀態(tài)檢測(cè)表，實(shí)現(xiàn)對(duì)訪問(wèn)包的放行或攔截判斷。其包括TCP包與UDP包處理兩個(gè)方面。針對(duì)TCP包，如沒(méi)有建立相關(guān)規(guī)則處理外部連接請(qǐng)求，防火墻作丟棄處理。如內(nèi)部需要與外部主機(jī)通訊，防火墻對(duì)連接包進(jìn)行注明，允許響應(yīng)便可進(jìn)行包的傳輸，直到連接任務(wù)完成為止。針對(duì)UDP包，如傳入的包攜帶的協(xié)議與地址和傳出連接請(qǐng)求匹配，則允許通過(guò)，否則丟棄。

代理防火墻對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行檢查，利用自身網(wǎng)關(guān)復(fù)制傳遞信息，避免非受信與受信主機(jī)間直接通信。該類(lèi)防火墻基于應(yīng)用層，不僅對(duì)一些復(fù)雜的訪問(wèn)進(jìn)行控制，而且還能做嚴(yán)格、精細(xì)的審核與注冊(cè)。代理防火墻的工作流程為：客戶機(jī)提出訪問(wèn)服務(wù)器數(shù)據(jù)請(qǐng)求時(shí)，該請(qǐng)求首先發(fā)送至代理服務(wù)器，代理服務(wù)器根據(jù)請(qǐng)求向服務(wù)器索取相關(guān)數(shù)據(jù)后，再將數(shù)據(jù)傳輸給客戶機(jī)。代理防火墻避免內(nèi)外系統(tǒng)間的直接通信，降低外部入侵內(nèi)部網(wǎng)絡(luò)概率。

2 防火墻功能

基于計(jì)算機(jī)網(wǎng)絡(luò)安全需求，防火墻具備的功能較多，包括過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、審計(jì)與報(bào)警等。其中過(guò)濾是防火墻的基本功能，通過(guò)過(guò)濾判斷是否進(jìn)行通信，降低訪問(wèn)行為可能帶來(lái)的危險(xiǎn)。例如，對(duì)統(tǒng)一資源定位符（Uniform Resource Locator， URL）過(guò)濾可限制內(nèi)網(wǎng)訪問(wèn)某些站點(diǎn)或相關(guān)目錄等。

所謂網(wǎng)絡(luò)地址轉(zhuǎn)換指防火墻對(duì)內(nèi)部主機(jī)IP地址進(jìn)行翻譯，防止外部監(jiān)視器探測(cè)到主機(jī)IP，即，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入防火墻時(shí)，系統(tǒng)會(huì)依據(jù)設(shè)置的NAT規(guī)則對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，如符合某條規(guī)則，則基于規(guī)則轉(zhuǎn)換數(shù)據(jù)包，并建立一條NAT進(jìn)程。如有包返回，則基于進(jìn)程表做相關(guān)的處理。NAT模式包括端口地址轉(zhuǎn)換、動(dòng)態(tài)地址池分配、靜態(tài)地址映射3種形式，其中端口地址轉(zhuǎn)換時(shí)，管理員可設(shè)置共有Internet地址負(fù)責(zé)轉(zhuǎn)換端口地址，用戶訪問(wèn)會(huì)映射至IP池中的IP端口上；動(dòng)態(tài)地址池分配指根據(jù)設(shè)置好的共有Internet地址，隨機(jī)將沒(méi)有使用的IP地址給用戶，用戶訪問(wèn)結(jié)束便收回；靜態(tài)地址映射指在內(nèi)外IP地址間構(gòu)建一一對(duì)應(yīng)的靜態(tài)映射關(guān)系，外部人員訪問(wèn)外網(wǎng)時(shí)，不需要與外網(wǎng)直接相連，保汪內(nèi)網(wǎng)的安全性。

3 防火墻應(yīng)用策略

在明確防火墻類(lèi)型與功能的基礎(chǔ)上，如何結(jié)合企業(yè)業(yè)務(wù)特點(diǎn)，做好防火墻部署，充分發(fā)揮防火墻的防護(hù)作用，保證企業(yè)網(wǎng)絡(luò)的安全性，一直是人們研究的熱點(diǎn)。筆者結(jié)合自身工作實(shí)踐認(rèn)為部署防火墻時(shí)應(yīng)認(rèn)真落實(shí)以下內(nèi)容。

3.1 明確防火墻應(yīng)用步驟

為保證防火墻的合理部署，提高部署工作效率，應(yīng)用防火墻技術(shù)時(shí)應(yīng)結(jié)合受保護(hù)網(wǎng)絡(luò)的實(shí)際情況，明確部署步驟，把握部署工作要點(diǎn)，確保各細(xì)節(jié)考慮與落實(shí)到位。一般情況部署防火墻時(shí)可遵守以下步驟。

首先，認(rèn)真分析企業(yè)網(wǎng)絡(luò)安全需求，將網(wǎng)絡(luò)劃分成若干、合理的區(qū)域。在區(qū)域之間設(shè)置訪問(wèn)網(wǎng)絡(luò)的控制點(diǎn)。其次，認(rèn)真分析各控制點(diǎn)可能發(fā)出的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，制定對(duì)應(yīng)的邊界安全策略，基于此，確定應(yīng)用的防火墻技術(shù)以及防護(hù)結(jié)構(gòu)。再次，給防火墻配置相關(guān)的邊界安全策略，認(rèn)真測(cè)試邊界安全策略，看運(yùn)行是否正常，發(fā)現(xiàn)問(wèn)題及時(shí)進(jìn)行處理。最后，正式運(yùn)行防火墻。同時(shí)，做好防火墻日常維護(hù)，保證防火墻防火性能的正常發(fā)揮。

3.2 遵守防火墻應(yīng)用原則

部署計(jì)算機(jī)防火墻時(shí)應(yīng)從設(shè)計(jì)、產(chǎn)品選取角度認(rèn)真分析，遵守一定的原則。一方面，設(shè)計(jì)防火墻時(shí)應(yīng)保持設(shè)計(jì)的簡(jiǎn)單性，保證防火墻運(yùn)行效率的同時(shí)，便于后期的維護(hù)。同時(shí)，還應(yīng)安排事故計(jì)劃，結(jié)合以往經(jīng)驗(yàn)，對(duì)防火墻運(yùn)行中可能遇到的問(wèn)題進(jìn)行評(píng)估與論證，制定相關(guān)的預(yù)防策略，防止防火墻故障影響網(wǎng)絡(luò)的正常使用。另一方面，保證防火墻產(chǎn)品選取的合理性。當(dāng)前防火墻產(chǎn)品較多，部署防火墻產(chǎn)品時(shí)應(yīng)綜合考慮防火墻基本功能、企業(yè)特殊需求以及用戶的訪問(wèn)需求等。同時(shí)，認(rèn)真考慮以下細(xì)則：防火墻產(chǎn)品應(yīng)有掛鉤程序或先進(jìn)的認(rèn)證手段，應(yīng)用的認(rèn)證方法應(yīng)安全、先進(jìn)；界面應(yīng)友好，方便編程以部署各種安全策略；為滿足用戶Gopher，超文本傳輸協(xié)議（ Hyper Text Transfer Protocol，HTTP），網(wǎng)絡(luò)新聞傳輸協(xié)議（Network News Transport Protocol，NNTP）需要，防火墻應(yīng)包含相關(guān)的代理服務(wù)程序，另外，具備精簡(jiǎn)日志的能力等。

3.3 做好防火墻規(guī)則設(shè)置

防火前各種功能的實(shí)現(xiàn)，需要管理員設(shè)置相關(guān)規(guī)則，防火墻依據(jù)設(shè)置的規(guī)則，對(duì)數(shù)據(jù)包進(jìn)行判斷，確定允許訪問(wèn)還是拒絕訪問(wèn)，因此，防火墻安全規(guī)則設(shè)置是否合理直接影響防火墻安全作用的發(fā)揮。防火墻設(shè)置內(nèi)容較多，包括賬號(hào)口令設(shè)置、訪問(wèn)控制設(shè)置。地址轉(zhuǎn)換設(shè)置、日志管理設(shè)置等。以CISCO PIX防火墻為例，對(duì)NAT功能進(jìn)行設(shè)置。

內(nèi)網(wǎng)地址向外網(wǎng)地址的轉(zhuǎn)換：

Nat （inside）1 192.168.1.0 255.255.255.0

Global （outside）1 10.1.1.1 10.1.1.4

內(nèi)網(wǎng)地址向外網(wǎng)地址的映射：

Static （inside， outside） 10.1.1.5 192.168.0.1

Static （inside， outside） tcp 10.1.1.5 8080 192.168.1.1 80

NAT 0的作用設(shè)置

Access-Iist net permit ip 192.168.0.0 255.255.255.0any

Nat （inside）0 access-list net

另外，防火墻安全策略設(shè)置完成后，為避免因考慮不全面而出現(xiàn)問(wèn)題，應(yīng)做好防火墻運(yùn)行調(diào)試，保證防火墻各種訪問(wèn)控制策略，無(wú)異常、穩(wěn)定運(yùn)行。

3.4 加強(qiáng)防火墻安全管理

企業(yè)部署好防火墻后，并非萬(wàn)事大吉，還應(yīng)做好防火墻運(yùn)行中各種不良問(wèn)題的預(yù)防工作，保證防火墻防火性能的正常發(fā)揮，具體應(yīng)認(rèn)真落實(shí)以下工作內(nèi)容。

首先，做好防火墻運(yùn)行監(jiān)視。為及時(shí)發(fā)現(xiàn)異常，處理非法訪問(wèn)與攻擊行為，管理員應(yīng)切實(shí)履行自身管理職責(zé)，定期登錄防火墻查看訪問(wèn)日志，研究與分析發(fā)生攻擊行為的IP地址，及時(shí)進(jìn)行封堵，防止攻擊的進(jìn)一步加劇。其次，做好相關(guān)工作優(yōu)化。為提高工作效率，防火墻管理人員可將防火墻日志統(tǒng)一傳輸至日志收集服務(wù)器上，方便、系統(tǒng)的對(duì)防火墻訪問(wèn)情況進(jìn)行研究、分析。同時(shí)，做好防火墻配置策略、日志文件的定期備份。最后，做好防火墻系統(tǒng)維護(hù)。為防止非法分子利用防火墻系統(tǒng)漏洞攻擊企業(yè)內(nèi)網(wǎng)，針對(duì)硬件防火墻，管理員應(yīng)定期登錄防火墻設(shè)備生產(chǎn)廠家官網(wǎng)，了解安全公告，及時(shí)下載與修補(bǔ)防火墻系統(tǒng)漏洞。針對(duì)軟件防火墻管理員應(yīng)將防火墻的自動(dòng)更新功能打開(kāi)，使其能及時(shí)下載、安裝廠家發(fā)布的補(bǔ)丁。

4 結(jié)語(yǔ)

防火墻技術(shù)在保證網(wǎng)絡(luò)安全上發(fā)揮重要作用，隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，防火墻防護(hù)性能較之間有很大提升，出現(xiàn)很多類(lèi)型、功能強(qiáng)大的防火墻產(chǎn)品，應(yīng)用中企業(yè)應(yīng)結(jié)合自身實(shí)際，做好規(guī)劃研究，保證所用防火墻產(chǎn)品的合理性。本研究得出以下結(jié)論：

（1）當(dāng)前防火墻類(lèi)型較多，包括過(guò)濾防護(hù)墻、狀態(tài)檢測(cè)防火墻、代理防火墻等，究竟選用何種類(lèi)型的防火墻，需要企業(yè)根據(jù)自身業(yè)務(wù)特點(diǎn)加以確定。另外，為提高內(nèi)外安全性可綜合采用多種防火墻技術(shù)。

（2）部署防火墻時(shí)，應(yīng)在明確防火墻功能的基礎(chǔ)上進(jìn)行，保證軟硬件設(shè)置的合理性，促進(jìn)防火墻防護(hù)作用的充分發(fā)揮。目前防火墻產(chǎn)品的功能有過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT.審計(jì)與報(bào)警等，企業(yè)設(shè)置防火墻功能時(shí)，應(yīng)根據(jù)自己業(yè)務(wù)運(yùn)用相關(guān)功能。

（3）企業(yè)部署防火墻時(shí)不能盲目，明確防火墻部署步驟，遵守一定的部署原則，做好安全策略規(guī)則設(shè)置，同時(shí)，還應(yīng)認(rèn)真落實(shí)防火墻運(yùn)行期間的維護(hù)工作。