現(xiàn)如今，防火墻技術(shù)已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)抵御非法訪問(wèn)及不當(dāng)入侵的一個(gè)關(guān)鍵途徑，防火墻是在一個(gè)不安全的網(wǎng)絡(luò)環(huán)境中搭建一個(gè)較安全的子網(wǎng)平臺(tái)。

　　【摘要】伴隨網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的發(fā)展，網(wǎng)絡(luò)的安全問(wèn)題頻繁發(fā)生，網(wǎng)絡(luò)攻擊現(xiàn)象不斷涌現(xiàn)，特別是在政府機(jī)構(gòu)、科研研所、金融機(jī)構(gòu)、企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)較易遭遇來(lái)自黑客的侵襲。黑客攻擊者可輕易地攻擊未附加任何安全保護(hù)措施的網(wǎng)絡(luò)，例如肆意變更關(guān)鍵的信息數(shù)據(jù)、進(jìn)行非授權(quán)訪問(wèn)以及傳播網(wǎng)絡(luò)病毒等。這些不良攻擊事件一旦出現(xiàn)，將會(huì)給相應(yīng)部門帶來(lái)較大的經(jīng)濟(jì)損失。在已經(jīng)研制出的眾多安全防范方案中，防火墻技術(shù)由于較成熟，并具備產(chǎn)品化，相對(duì)較早地被不少單位所運(yùn)用。本文結(jié)合網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀，系統(tǒng)地闡述防火墻的安全技術(shù)保障措施及未來(lái)發(fā)展前景。

　　【關(guān)鍵詞】網(wǎng)絡(luò)安全,防火墻技術(shù),黑客攻擊,信息數(shù)據(jù)

　　1引言

　　本文系統(tǒng)地分析防火墻的組織架構(gòu)方法，內(nèi)、外部防火墻的部署，最終完成防火墻網(wǎng)絡(luò)安全技術(shù)的設(shè)計(jì)策略，促使網(wǎng)絡(luò)整體具備相對(duì)較高的安全級(jí)別，進(jìn)一步提升網(wǎng)絡(luò)的安全性能，并展望防火墻網(wǎng)絡(luò)安全技術(shù)未來(lái)的發(fā)展前景。

　　2防火墻的組織架構(gòu)方法

　　一套防火墻系統(tǒng)一般要由代理服務(wù)器及屏蔽路由器所構(gòu)成。代理服務(wù)器有助于辨別并過(guò)濾掉非法的網(wǎng)絡(luò)請(qǐng)求，其最大優(yōu)勢(shì)在于盡早實(shí)現(xiàn)用戶級(jí)的日志記錄、賬號(hào)控制及身份識(shí)別等目標(biāo)，所存在的缺陷是必須對(duì)每項(xiàng)服務(wù)均構(gòu)建相應(yīng)的應(yīng)用層網(wǎng)關(guān)，才能提供全方位的保護(hù)方案，這在應(yīng)用中難以落實(shí)。屏蔽路由器用于防范IP的欺詐性攻擊，其優(yōu)勢(shì)在于架構(gòu)形式相對(duì)簡(jiǎn)便，硬件所耗費(fèi)的成本低，不利之處在于較難構(gòu)建包過(guò)濾規(guī)則，屏蔽路由器缺乏有效的用戶級(jí)身份識(shí)別等。

　　創(chuàng)建一個(gè)嚴(yán)密的規(guī)則集，搭建安全體系結(jié)構(gòu)是防火墻網(wǎng)絡(luò)技術(shù)組織架構(gòu)的關(guān)鍵一環(huán)，也有賴于規(guī)則密集的每條規(guī)則的執(zhí)行，需重點(diǎn)把握幾個(gè)要點(diǎn)：將默認(rèn)防火墻多余的服務(wù)予以取消；全部的服務(wù)均經(jīng)認(rèn)可；允許內(nèi)部網(wǎng)絡(luò)的用戶出網(wǎng)；增加鎖定規(guī)則，阻塞對(duì)防火墻的所有訪問(wèn)；嚴(yán)禁除管理員以外的任何用戶隨意訪問(wèn)防火墻；允許互聯(lián)網(wǎng)用戶進(jìn)行DNS服務(wù)器的訪問(wèn)；允許互聯(lián)網(wǎng)及內(nèi)網(wǎng)用戶經(jīng)SMTP實(shí)現(xiàn)對(duì)郵件服務(wù)器的訪問(wèn)，允許同樣用戶群經(jīng)HTTP訪問(wèn)Web服務(wù)器；內(nèi)網(wǎng)用戶不得公開(kāi)訪問(wèn)DMZ；內(nèi)部POP的訪問(wèn)應(yīng)認(rèn)可；從DMZ到內(nèi)網(wǎng)用戶的任何通話，均需作出相應(yīng)的拒絕，并予以警告；管理員可采用加密的形式訪問(wèn)內(nèi)網(wǎng)；必要時(shí)，可將最普遍運(yùn)用的規(guī)則移至規(guī)則集的頂部。防火墻僅剖析少部分規(guī)則，便能提升防火墻的網(wǎng)路安全性能。

　　3防火墻的網(wǎng)絡(luò)安全技術(shù)要點(diǎn)

　　3.1需精確地評(píng)估防火墻的失效狀況

　　評(píng)估防火墻的安全防護(hù)性能，不但要觀察其工作狀態(tài)正常與否，能否迅速地明確非法訪問(wèn)或惡意攻擊的痕跡，還需預(yù)測(cè)防火墻被攻擊后的具體狀態(tài)。通常情況下，依照級(jí)別劃分，共有四類狀態(tài)：受攻擊時(shí)能再次開(kāi)啟，并恢復(fù)到常規(guī)的工作狀態(tài)中；在未受攻擊時(shí)可持續(xù)工作；關(guān)閉并許可全部的數(shù)據(jù)經(jīng)過(guò)；關(guān)閉且嚴(yán)禁全部的數(shù)據(jù)經(jīng)過(guò)。前兩類狀態(tài)較理想，第三種是最不安全的狀態(tài)。因此，在設(shè)置防火墻時(shí)，要事先開(kāi)展失效狀態(tài)的性能檢測(cè)，對(duì)防火墻喪失效果的狀態(tài)加以精確的評(píng)估。3.2正確選擇、科學(xué)配置防火墻

　　作為維護(hù)網(wǎng)絡(luò)安全的技術(shù)防護(hù)途徑，防火墻的實(shí)現(xiàn)形式有多元化，構(gòu)建一套科學(xué)的防護(hù)系統(tǒng)，實(shí)現(xiàn)防火墻的有效配置需嚴(yán)格遵循下列程序：對(duì)風(fēng)險(xiǎn)進(jìn)行系統(tǒng)分析；對(duì)需求開(kāi)展必要的探究；明確安全政策；采用精確的防護(hù)途徑，力促其同安全方略相一致。

　　3.3有賴于動(dòng)態(tài)維護(hù)

　　防火墻在安裝及正式應(yīng)用后，并非徹底地完成任務(wù)，要使其充分地發(fā)揮安全保護(hù)作用，就需對(duì)其實(shí)施嚴(yán)密的追蹤及維護(hù)，這就要同供貨廠商加強(qiáng)彼此之間的聯(lián)系，時(shí)時(shí)注意廠家的動(dòng)態(tài)，由于廠家一經(jīng)發(fā)現(xiàn)產(chǎn)品潛在的安全缺陷，便會(huì)立即發(fā)布相應(yīng)的補(bǔ)救產(chǎn)品，這時(shí)需盡早更新防火墻。

　　3.4搞好規(guī)則集的檢測(cè)審計(jì)工作

　　網(wǎng)絡(luò)安全的首號(hào)“敵人”是配置錯(cuò)誤，一個(gè)可靠的規(guī)則集是確保防火墻網(wǎng)絡(luò)安全的重中之重。假若用戶公開(kāi)IMAP，那么會(huì)使欺詐性的數(shù)據(jù)包經(jīng)過(guò)用戶的防火墻。為此，需保障規(guī)則集的簡(jiǎn)短，規(guī)則越少，便為維護(hù)提供便利條件，配置錯(cuò)誤的出現(xiàn)率就越低。一般情況下，網(wǎng)絡(luò)準(zhǔn)則≤30條最合適。當(dāng)經(jīng)由規(guī)則入手時(shí)，首先就需全方位地檢測(cè)安全體系框架，而不單是防火墻。規(guī)則集少，所分析的規(guī)則就少，那么防火墻的CPU周期就會(huì)縮短，效率會(huì)隨之提升。

　　4防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案

　　4.1設(shè)置內(nèi)部防火墻，編制可靠的安全方案

　　在服務(wù)器的入口端設(shè)定內(nèi)部防火墻，可形成完善的安全策略，進(jìn)而嚴(yán)控內(nèi)網(wǎng)的訪問(wèn)。內(nèi)部防火墻會(huì)對(duì)各用戶的訪問(wèn)權(quán)限予以設(shè)定，保障內(nèi)網(wǎng)用戶僅訪問(wèn)所需的網(wǎng)絡(luò)資源，針對(duì)撥號(hào)備份的線路連接，可依靠識(shí)別功能，管控遠(yuǎn)程用戶。內(nèi)部防火墻能記下網(wǎng)絡(luò)區(qū)段間的訪問(wèn)數(shù)據(jù)，及時(shí)探查失誤的操作以及從內(nèi)網(wǎng)的另外網(wǎng)絡(luò)區(qū)段所發(fā)起的攻擊行為，并予以集中化管理，每個(gè)網(wǎng)絡(luò)區(qū)段上部的主機(jī)不必獨(dú)立設(shè)置安全策略，以有效地減少由于主觀因素所致的網(wǎng)絡(luò)安全技術(shù)問(wèn)題。

　　4.2合理設(shè)定外部防火墻，防范外網(wǎng)攻擊

　　經(jīng)外部防火墻的設(shè)定，把內(nèi)網(wǎng)同外網(wǎng)相分開(kāi)，可防范外網(wǎng)攻擊行為。外部防火墻通過(guò)編制訪問(wèn)策略，僅已被授權(quán)的主機(jī)方能訪問(wèn)內(nèi)網(wǎng)IP，使外網(wǎng)僅能訪問(wèn)內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會(huì)變換地址，使外網(wǎng)無(wú)法掌握內(nèi)網(wǎng)結(jié)構(gòu)，阻斷了黑客攻擊的目標(biāo)。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間，防火墻對(duì)獲取的數(shù)據(jù)包加以剖析，把其中合法請(qǐng)求傳導(dǎo)到對(duì)應(yīng)服務(wù)主機(jī)，拒絕非法訪問(wèn)。

　　5防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)及前景

　　為有效地增強(qiáng)防火墻對(duì)網(wǎng)絡(luò)的安全性能，防火墻技術(shù)在發(fā)展的未來(lái)會(huì)全方位顧及到操作系統(tǒng)的安全、網(wǎng)絡(luò)的可靠、數(shù)據(jù)信息的保密及應(yīng)用程序的安全等問(wèn)題，勢(shì)必朝著智能化、高擴(kuò)展性能等方向邁進(jìn)。

　　5.1智能化

　　網(wǎng)絡(luò)安全所面臨的主要問(wèn)題包括以蠕蟲(chóng)為典型表現(xiàn)形式的病毒傳播、以拒絕訪問(wèn)為目標(biāo)的網(wǎng)絡(luò)攻擊、以垃圾電子郵箱為主要內(nèi)容的控制等。這幾個(gè)問(wèn)題已包含網(wǎng)絡(luò)安全的絕大多數(shù)問(wèn)題，傳統(tǒng)意義上，防火墻解決上述問(wèn)題的能力十分有限，效果欠佳。因此，智能防火墻作為新一代防火墻研發(fā)的趨勢(shì)，必定會(huì)發(fā)揮相應(yīng)的作用。

　　5.2擴(kuò)展性能更佳

　　伴隨P2P的運(yùn)用、3G網(wǎng)絡(luò)等網(wǎng)絡(luò)技術(shù)的成熟發(fā)展，防火墻的功能及規(guī)模也要自覺(jué)適應(yīng)網(wǎng)絡(luò)技術(shù)及安全方略的改變，未來(lái)的防火墻需是一項(xiàng)能伸縮自如的模塊化實(shí)現(xiàn)方案，包含從最基礎(chǔ)的包過(guò)濾到加密的VPN包過(guò)濾器，再到一個(gè)單獨(dú)的網(wǎng)關(guān)，使用戶依照需求設(shè)置防火墻系統(tǒng)。

　　5.3性能趨于高效

　　伴隨芯片技術(shù)及算法的發(fā)展，防火墻會(huì)較多地參與到應(yīng)用層的分析、軟件的精確過(guò)濾中，進(jìn)而通過(guò)軟硬件兼具的方案為用戶供應(yīng)更加可靠安全的性能服務(wù)。

　　6結(jié)束語(yǔ)

　　綜上所述，在維護(hù)網(wǎng)絡(luò)安全方面要充分運(yùn)用防火墻技術(shù)，深入了解防火墻的功能、類型、原理，在實(shí)踐中不斷地完善和優(yōu)化防火墻的技術(shù)性能，為網(wǎng)絡(luò)安全貢獻(xiàn)強(qiáng)大的技術(shù)力量。

　　參考文獻(xiàn)

　　[1]張曉芳.基于防火墻屏蔽技術(shù)的網(wǎng)絡(luò)安全初探[J].無(wú)線互聯(lián)科技.2012（07）.

　　[2]商娟葉，劉靜.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].電子設(shè)計(jì)工程.2010（06）.

　　[3]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊.2007（09）.

　　[4]張新剛，劉妍.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2008（05）.

　　[5]曾繁榮.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用探究[J].青春歲月.2012（08）

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/jisuanjiyingyonglw/32422.html