現(xiàn)如今，防火墻技術(shù)已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)抵御非法訪問及不當入侵的一個關(guān)鍵途徑，防火墻是在一個不安全的網(wǎng)絡(luò)環(huán)境中搭建一個較安全的子網(wǎng)平臺。

　　【摘要】伴隨網(wǎng)絡(luò)技術(shù)突飛猛進的發(fā)展，網(wǎng)絡(luò)的安全問題頻繁發(fā)生，網(wǎng)絡(luò)攻擊現(xiàn)象不斷涌現(xiàn)，特別是在政府機構(gòu)、科研研所、金融機構(gòu)、企業(yè)的計算機網(wǎng)絡(luò)較易遭遇來自黑客的侵襲。黑客攻擊者可輕易地攻擊未附加任何安全保護措施的網(wǎng)絡(luò)，例如肆意變更關(guān)鍵的信息數(shù)據(jù)、進行非授權(quán)訪問以及傳播網(wǎng)絡(luò)病毒等。這些不良攻擊事件一旦出現(xiàn)，將會給相應(yīng)部門帶來較大的經(jīng)濟損失。在已經(jīng)研制出的眾多安全防范方案中，防火墻技術(shù)由于較成熟，并具備產(chǎn)品化，相對較早地被不少單位所運用。本文結(jié)合網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀，系統(tǒng)地闡述防火墻的安全技術(shù)保障措施及未來發(fā)展前景。

　　【關(guān)鍵詞】網(wǎng)絡(luò)安全,防火墻技術(shù),黑客攻擊,信息數(shù)據(jù)

　　1引言

　　本文系統(tǒng)地分析防火墻的組織架構(gòu)方法，內(nèi)、外部防火墻的部署，最終完成防火墻網(wǎng)絡(luò)安全技術(shù)的設(shè)計策略，促使網(wǎng)絡(luò)整體具備相對較高的安全級別，進一步提升網(wǎng)絡(luò)的安全性能，并展望防火墻網(wǎng)絡(luò)安全技術(shù)未來的發(fā)展前景。

　　2防火墻的組織架構(gòu)方法

　　一套防火墻系統(tǒng)一般要由代理服務(wù)器及屏蔽路由器所構(gòu)成。代理服務(wù)器有助于辨別并過濾掉非法的網(wǎng)絡(luò)請求，其最大優(yōu)勢在于盡早實現(xiàn)用戶級的日志記錄、賬號控制及身份識別等目標，所存在的缺陷是必須對每項服務(wù)均構(gòu)建相應(yīng)的應(yīng)用層網(wǎng)關(guān)，才能提供全方位的保護方案，這在應(yīng)用中難以落實。屏蔽路由器用于防范IP的欺詐性攻擊，其優(yōu)勢在于架構(gòu)形式相對簡便，硬件所耗費的成本低，不利之處在于較難構(gòu)建包過濾規(guī)則，屏蔽路由器缺乏有效的用戶級身份識別等。

　　創(chuàng)建一個嚴密的規(guī)則集，搭建安全體系結(jié)構(gòu)是防火墻網(wǎng)絡(luò)技術(shù)組織架構(gòu)的關(guān)鍵一環(huán)，也有賴于規(guī)則密集的每條規(guī)則的執(zhí)行，需重點把握幾個要點：將默認防火墻多余的服務(wù)予以取消；全部的服務(wù)均經(jīng)認可；允許內(nèi)部網(wǎng)絡(luò)的用戶出網(wǎng)；增加鎖定規(guī)則，阻塞對防火墻的所有訪問；嚴禁除管理員以外的任何用戶隨意訪問防火墻；允許互聯(lián)網(wǎng)用戶進行DNS服務(wù)器的訪問；允許互聯(lián)網(wǎng)及內(nèi)網(wǎng)用戶經(jīng)SMTP實現(xiàn)對郵件服務(wù)器的訪問，允許同樣用戶群經(jīng)HTTP訪問Web服務(wù)器；內(nèi)網(wǎng)用戶不得公開訪問DMZ；內(nèi)部POP的訪問應(yīng)認可；從DMZ到內(nèi)網(wǎng)用戶的任何通話，均需作出相應(yīng)的拒絕，并予以警告；管理員可采用加密的形式訪問內(nèi)網(wǎng)；必要時，可將最普遍運用的規(guī)則移至規(guī)則集的頂部。防火墻僅剖析少部分規(guī)則，便能提升防火墻的網(wǎng)路安全性能。

　　3防火墻的網(wǎng)絡(luò)安全技術(shù)要點

　　3.1需精確地評估防火墻的失效狀況

　　評估防火墻的安全防護性能，不但要觀察其工作狀態(tài)正常與否，能否迅速地明確非法訪問或惡意攻擊的痕跡，還需預(yù)測防火墻被攻擊后的具體狀態(tài)。通常情況下，依照級別劃分，共有四類狀態(tài)：受攻擊時能再次開啟，并恢復(fù)到常規(guī)的工作狀態(tài)中；在未受攻擊時可持續(xù)工作；關(guān)閉并許可全部的數(shù)據(jù)經(jīng)過；關(guān)閉且嚴禁全部的數(shù)據(jù)經(jīng)過。前兩類狀態(tài)較理想，第三種是最不安全的狀態(tài)。因此，在設(shè)置防火墻時，要事先開展失效狀態(tài)的性能檢測，對防火墻喪失效果的狀態(tài)加以精確的評估。3.2正確選擇、科學配置防火墻

　　作為維護網(wǎng)絡(luò)安全的技術(shù)防護途徑，防火墻的實現(xiàn)形式有多元化，構(gòu)建一套科學的防護系統(tǒng)，實現(xiàn)防火墻的有效配置需嚴格遵循下列程序：對風險進行系統(tǒng)分析；對需求開展必要的探究；明確安全政策；采用精確的防護途徑，力促其同安全方略相一致。

　　3.3有賴于動態(tài)維護

　　防火墻在安裝及正式應(yīng)用后，并非徹底地完成任務(wù)，要使其充分地發(fā)揮安全保護作用，就需對其實施嚴密的追蹤及維護，這就要同供貨廠商加強彼此之間的聯(lián)系，時時注意廠家的動態(tài)，由于廠家一經(jīng)發(fā)現(xiàn)產(chǎn)品潛在的安全缺陷，便會立即發(fā)布相應(yīng)的補救產(chǎn)品，這時需盡早更新防火墻。

　　3.4搞好規(guī)則集的檢測審計工作

　　網(wǎng)絡(luò)安全的首號“敵人”是配置錯誤，一個可靠的規(guī)則集是確保防火墻網(wǎng)絡(luò)安全的重中之重。假若用戶公開IMAP，那么會使欺詐性的數(shù)據(jù)包經(jīng)過用戶的防火墻。為此，需保障規(guī)則集的簡短，規(guī)則越少，便為維護提供便利條件，配置錯誤的出現(xiàn)率就越低。一般情況下，網(wǎng)絡(luò)準則≤30條最合適。當經(jīng)由規(guī)則入手時，首先就需全方位地檢測安全體系框架，而不單是防火墻。規(guī)則集少，所分析的規(guī)則就少，那么防火墻的CPU周期就會縮短，效率會隨之提升。

　　4防火墻網(wǎng)絡(luò)安全技術(shù)的實現(xiàn)方案

　　4.1設(shè)置內(nèi)部防火墻，編制可靠的安全方案

　　在服務(wù)器的入口端設(shè)定內(nèi)部防火墻，可形成完善的安全策略，進而嚴控內(nèi)網(wǎng)的訪問。內(nèi)部防火墻會對各用戶的訪問權(quán)限予以設(shè)定，保障內(nèi)網(wǎng)用戶僅訪問所需的網(wǎng)絡(luò)資源，針對撥號備份的線路連接，可依靠識別功能，管控遠程用戶。內(nèi)部防火墻能記下網(wǎng)絡(luò)區(qū)段間的訪問數(shù)據(jù)，及時探查失誤的操作以及從內(nèi)網(wǎng)的另外網(wǎng)絡(luò)區(qū)段所發(fā)起的攻擊行為，并予以集中化管理，每個網(wǎng)絡(luò)區(qū)段上部的主機不必獨立設(shè)置安全策略，以有效地減少由于主觀因素所致的網(wǎng)絡(luò)安全技術(shù)問題。

　　4.2合理設(shè)定外部防火墻，防范外網(wǎng)攻擊

　　經(jīng)外部防火墻的設(shè)定，把內(nèi)網(wǎng)同外網(wǎng)相分開，可防范外網(wǎng)攻擊行為。外部防火墻通過編制訪問策略，僅已被授權(quán)的主機方能訪問內(nèi)網(wǎng)IP，使外網(wǎng)僅能訪問內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會變換地址，使外網(wǎng)無法掌握內(nèi)網(wǎng)結(jié)構(gòu)，阻斷了黑客攻擊的目標。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間，防火墻對獲取的數(shù)據(jù)包加以剖析，把其中合法請求傳導(dǎo)到對應(yīng)服務(wù)主機，拒絕非法訪問。

　　5防火墻技術(shù)的未來發(fā)展趨勢及前景

　　為有效地增強防火墻對網(wǎng)絡(luò)的安全性能，防火墻技術(shù)在發(fā)展的未來會全方位顧及到操作系統(tǒng)的安全、網(wǎng)絡(luò)的可靠、數(shù)據(jù)信息的保密及應(yīng)用程序的安全等問題，勢必朝著智能化、高擴展性能等方向邁進。

　　5.1智能化

　　網(wǎng)絡(luò)安全所面臨的主要問題包括以蠕蟲為典型表現(xiàn)形式的病毒傳播、以拒絕訪問為目標的網(wǎng)絡(luò)攻擊、以垃圾電子郵箱為主要內(nèi)容的控制等。這幾個問題已包含網(wǎng)絡(luò)安全的絕大多數(shù)問題，傳統(tǒng)意義上，防火墻解決上述問題的能力十分有限，效果欠佳。因此，智能防火墻作為新一代防火墻研發(fā)的趨勢，必定會發(fā)揮相應(yīng)的作用。

　　5.2擴展性能更佳

　　伴隨P2P的運用、3G網(wǎng)絡(luò)等網(wǎng)絡(luò)技術(shù)的成熟發(fā)展，防火墻的功能及規(guī)模也要自覺適應(yīng)網(wǎng)絡(luò)技術(shù)及安全方略的改變，未來的防火墻需是一項能伸縮自如的模塊化實現(xiàn)方案，包含從最基礎(chǔ)的包過濾到加密的VPN包過濾器，再到一個單獨的網(wǎng)關(guān)，使用戶依照需求設(shè)置防火墻系統(tǒng)。

　　5.3性能趨于高效

　　伴隨芯片技術(shù)及算法的發(fā)展，防火墻會較多地參與到應(yīng)用層的分析、軟件的精確過濾中，進而通過軟硬件兼具的方案為用戶供應(yīng)更加可靠安全的性能服務(wù)。

　　6結(jié)束語

　　綜上所述，在維護網(wǎng)絡(luò)安全方面要充分運用防火墻技術(shù)，深入了解防火墻的功能、類型、原理，在實踐中不斷地完善和優(yōu)化防火墻的技術(shù)性能，為網(wǎng)絡(luò)安全貢獻強大的技術(shù)力量。

　　參考文獻

　　[1]張曉芳.基于防火墻屏蔽技術(shù)的網(wǎng)絡(luò)安全初探[J].無線互聯(lián)科技.2012（07）.

　　[2]商娟葉，劉靜.基于防火墻的網(wǎng)絡(luò)安全技術(shù)[J].電子設(shè)計工程.2010（06）.

　　[3]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊.2007（09）.

　　[4]張新剛，劉妍.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2008（05）.

　　[5]曾繁榮.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用探究[J].青春歲月.2012（08）

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/jisuanjiyingyonglw/32422.html