0 引言

隨著科技創(chuàng)新的發(fā)展，以計(jì)算機(jī)為基礎(chǔ)、互聯(lián)網(wǎng)絡(luò)為支撐的信息技術(shù)正在引領(lǐng)時(shí)代發(fā)展的潮流。并且由于近15年的發(fā)展，人們已經(jīng)認(rèn)可了“信息化時(shí)代”，并且在各個(gè)領(lǐng)域不斷對(duì)其進(jìn)行創(chuàng)新研究與開(kāi)發(fā)應(yīng)用。以我國(guó)為例，出現(xiàn)了網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)征婚與網(wǎng)上訂餐等等，而且由于國(guó)家的提倡，在不久的將來(lái)，互聯(lián)網(wǎng)技術(shù)與實(shí)體企業(yè)的結(jié)合，將會(huì)給我國(guó)的發(fā)展帶來(lái)新的動(dòng)力，并對(duì)我國(guó)的產(chǎn)業(yè)結(jié)構(gòu)調(diào)整帶來(lái)新的機(jī)遇。本文以網(wǎng)絡(luò)安全問(wèn)題為主題，集中討論信息化背景下的防火墻技術(shù)。首先對(duì)其進(jìn)行了簡(jiǎn)要概述，主要從網(wǎng)絡(luò)安全體系的構(gòu)建切入，展開(kāi)對(duì)防火墻技術(shù)的詳細(xì)分析，著重闡述了防火墻技術(shù)的分類、功能、特點(diǎn)，并對(duì)其技術(shù)優(yōu)勢(shì)進(jìn)行了說(shuō)明，而且對(duì)其缺陷也做了介紹，最后，對(duì)其未來(lái)發(fā)展進(jìn)行了展望。希望通過(guò)本文初步分析可以引起更多的交流與討論，同時(shí)希望可以為該方面的研究提供一些可資利用的信息，以供參考。

1 概述網(wǎng)絡(luò)安全問(wèn)題

因互聯(lián)網(wǎng)的迅猛發(fā)展與迅速的普及化，以及通過(guò)網(wǎng)絡(luò)的犯罪活動(dòng)等，暴露了諸多網(wǎng)絡(luò)安全隱患，對(duì)人們使用網(wǎng)絡(luò)產(chǎn)生了一些負(fù)面影響，所以，應(yīng)該通過(guò)網(wǎng)絡(luò)安全體系的構(gòu)建為用戶提供更為安全可靠的網(wǎng)絡(luò)使用環(huán)境。近些年來(lái)，我國(guó)了出現(xiàn)了一些殺毒軟件，而且隨著功能的不斷更新，技術(shù)的完善化，為網(wǎng)絡(luò)安全提供了保障。其中，最為主要的還是通過(guò)防火墻技術(shù)來(lái)達(dá)到對(duì)不安全因素的預(yù)防，同時(shí)對(duì)內(nèi)部網(wǎng)絡(luò)的信息安全提供檢查與監(jiān)測(cè)，并為其提供安全服務(wù)。從計(jì)算機(jī)安全體系結(jié)構(gòu)方面分析，其最終的目標(biāo)即在于保護(hù)信息傳輸系統(tǒng)的安全，為用戶提供隱私保護(hù)，而且對(duì)一些可能性的破壞現(xiàn)象進(jìn)行預(yù)防，從而為用戶安全使用網(wǎng)絡(luò)提供可靠的環(huán)境，在其構(gòu)建過(guò)程中，注重用戶身份驗(yàn)證、權(quán)限控制、數(shù)據(jù)權(quán)限、方式控制、安全審計(jì)、病毒防治、加密等等，而且主要集中于安全傳播、安全過(guò)濾，控制非法活動(dòng)、保證計(jì)算機(jī)用戶的安全。

2 防火墻技術(shù)

2.1 防火墻技術(shù)的類型

從分類看，防火墻技術(shù)主要包括包過(guò)濾、代理、狀態(tài)檢查、地址翻譯、虛擬專用網(wǎng)及內(nèi)容檢查技術(shù)。

首先，包過(guò)濾技術(shù)，是指對(duì)數(shù)據(jù)包的選擇性過(guò)濾，但要求有一定的網(wǎng)絡(luò)位置；其中最主要的是包檢查模塊，安裝位置在路由器，也可安裝于網(wǎng)關(guān)，其有效性集中體現(xiàn)在提前處理，也就是說(shuō)，在TPC處理IP包之前，進(jìn)行提前處理。從基本原理分析，因?yàn)闄z查模塊的處理功能，可以使進(jìn)出站的數(shù)據(jù)得到防火墻的檢查、驗(yàn)證，若有不符合規(guī)則的數(shù)據(jù)包存在，則會(huì)出現(xiàn)報(bào)警處理；若有需丟棄的數(shù)據(jù)包，通過(guò)過(guò)濾策略，可進(jìn)行回復(fù)選擇，在這一方面，需要謹(jǐn)慎處理，因?yàn)楣粽咄鶗?huì)對(duì)拒絕包類型進(jìn)行分析，并通過(guò)這一條件猜測(cè)包過(guò)濾規(guī)則等。

其次，代理技術(shù)，主要是指對(duì)特定應(yīng)用服務(wù)的有效控制，針對(duì)性強(qiáng)，每一個(gè)特定應(yīng)用服務(wù)都可對(duì)應(yīng)控制。其作用集中在應(yīng)用層，狀態(tài)性能突出，對(duì)部分與傳輸相關(guān)的狀態(tài)容易呈現(xiàn)，具體來(lái)講，即是作為一個(gè)中間轉(zhuǎn)接站，完成外部網(wǎng)與內(nèi)部網(wǎng)申請(qǐng)服務(wù)的對(duì)接，從內(nèi)部網(wǎng)絡(luò)看，只接受代理的服務(wù)請(qǐng)求，而且對(duì)外部網(wǎng)絡(luò)及其它節(jié)點(diǎn)的直接請(qǐng)求，則會(huì)采取拒絕態(tài)度，從功能角度分析，代理服務(wù)避屬于堡壘主機(jī)或雙宿網(wǎng)關(guān)，可以有效的為網(wǎng)絡(luò)安全提供保障。

第三，狀態(tài)檢查技術(shù)，主要是指可實(shí)現(xiàn)防火墻功能的一項(xiàng)技術(shù)，其作用在網(wǎng)絡(luò)層。如同包過(guò)濾技術(shù)一樣，它也有一個(gè)檢測(cè)模塊，但不同的是，這一檢測(cè)模塊主要是在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎?？梢猿槿【W(wǎng)絡(luò)通信中的狀態(tài)信息，并對(duì)其進(jìn)行監(jiān)測(cè)。從功能看，可支持多種協(xié)議及應(yīng)用程序，對(duì)應(yīng)用與服務(wù)功能也容易實(shí)現(xiàn)擴(kuò)充，尤其是可以完成對(duì) RPC、UDP等端口信息的監(jiān)測(cè)，優(yōu)于包過(guò)濾與代理技術(shù)。

第四，地址翻譯技術(shù)，是指對(duì) IP地址的代替，用一個(gè)代替另一個(gè)。一是為了隱藏內(nèi)部網(wǎng)的IP地址；二是使內(nèi)部網(wǎng)IP地址無(wú)效，從而防止外部網(wǎng)的訊問(wèn)，但能夠確保內(nèi)部網(wǎng)絡(luò)間的互訪。

第五，虛擬專用網(wǎng)技術(shù)，主要是臨時(shí)性的安全連接，需要在公共網(wǎng)絡(luò)中完成，可以有效保證內(nèi)部網(wǎng)在公用網(wǎng)絡(luò)中的安全與穩(wěn)定。擁有加密數(shù)據(jù)、信息認(rèn)證、身份確認(rèn)、訪問(wèn)控制等功能，從目前來(lái)看，受到了網(wǎng)絡(luò)安全技術(shù)人員的追捧。

第六，在高層服務(wù)協(xié)議數(shù)據(jù)監(jiān)控方面，需要用到內(nèi)容檢查技術(shù)，從而為數(shù)據(jù)流提供安全保障，在分析數(shù)據(jù)方面，它有高度的智能化。

2.2 防火墻技術(shù)的功能與特點(diǎn)

網(wǎng)絡(luò)攻擊與防火墻技術(shù)，二者如同水火，是一對(duì)矛盾，也是網(wǎng)絡(luò)中的兩個(gè)主要對(duì)手，攻擊者屬于破壞者，防火墻屬于保護(hù)者，不斷在互聯(lián)網(wǎng)絡(luò)上上演著“成功與失敗”。從功能來(lái)看，防火墻技術(shù)是網(wǎng)絡(luò)安全系統(tǒng)的重要保障，主要是利用控制與監(jiān)測(cè)手段達(dá)到對(duì)信息的保護(hù)；從發(fā)展階段看，它已經(jīng)經(jīng)歷了四大階段，基本功能體現(xiàn)在對(duì)進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾，對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)進(jìn)行授權(quán)限制，對(duì)進(jìn)出防火墻的信息內(nèi)容、活動(dòng)進(jìn)行記錄、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與報(bào)警。從優(yōu)勢(shì)方面看，防火墻屬于訪問(wèn)控制設(shè)備，主要針對(duì)內(nèi)部網(wǎng)與外部網(wǎng)，防火墻因其基本功能，可以有效地為網(wǎng)絡(luò)系統(tǒng)提供安全可靠的保障，比如，針對(duì)易受攻擊的服務(wù)，可以通過(guò)隔離，將安全程度較低的服務(wù)放在受保護(hù)子網(wǎng)之外，從而降低使用風(fēng)險(xiǎn)，預(yù)防攻擊；針對(duì)訪問(wèn)，防火墻可以對(duì)網(wǎng)點(diǎn)系統(tǒng)訪問(wèn)進(jìn)行控制，還可以通過(guò)防火墻系統(tǒng)，保障改動(dòng)軟件、附加軟件的安全，但需將這些軟件放置在防火墻系統(tǒng)內(nèi)；再如執(zhí)行網(wǎng)絡(luò)政策、封鎖域名信息、監(jiān)控網(wǎng)絡(luò)使用狀態(tài)等優(yōu)勢(shì)都非常明顯。從缺陷方面看，主要集中于防火墻無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)用戶的攻擊進(jìn)行預(yù)防，而且由于安全性能的提升，會(huì)限制一些網(wǎng)絡(luò)服務(wù)，還有對(duì)于可能繞過(guò)防火墻的攻擊也束手無(wú)策，尤其是因網(wǎng)絡(luò)技術(shù)的不斷更新，新型的攻擊也不易防御，因此，應(yīng)該認(rèn)識(shí)到防火墻技術(shù)與攻擊技術(shù)是此消彼長(zhǎng)的關(guān)系，需要不斷的進(jìn)行跟進(jìn)與研究，才能更好的做到為網(wǎng)絡(luò)安全提供可靠的保證。

2.3 防火墻技術(shù)的發(fā)展

以目前的發(fā)展態(tài)勢(shì)分析，上世紀(jì)九十年代中期以防火墻技術(shù)加密碼技術(shù)，漸漸走向成熟，尤其是近二十年的發(fā)展，形成了四個(gè)主要的發(fā)展階段，首先是路由器階段，主要是通過(guò)路由器分組過(guò)濾達(dá)到對(duì)網(wǎng)絡(luò)訪問(wèn)的控制，具體是對(duì)其數(shù)據(jù)包源地址、目的地址、UCP端口號(hào)、TCP端口號(hào)等方面的參數(shù)進(jìn)行檢查，體現(xiàn)了防火墻與路由器的結(jié)合及一體性，但明顯的缺點(diǎn)在于，黑客容易通過(guò)偽造路由信息，透過(guò)防火墻達(dá)到攻擊的目的，這是因?yàn)樾畔⒁悦魑膫魉驮斐?；另一個(gè)即是因路由協(xié)議存在較多漏洞，因而易被外部網(wǎng)探入，還有在分組過(guò)濾規(guī)則方面與配置方面復(fù)雜性的增加，降低了整體性能與管理難度。其次，在代理服務(wù)器階段，這一階段的顯著特征是獨(dú)立過(guò)濾功能，并且由于審計(jì)與報(bào)警功能的添加，可以利用模塊化的方式來(lái)達(dá)到安全控制與管理，但因其引起了運(yùn)行速度的變慢，所以就在很短時(shí)間內(nèi)出現(xiàn)了代替品，也即是第三個(gè)狀態(tài)監(jiān)控功能的階段。在此階段，可以通過(guò)網(wǎng)絡(luò)層，進(jìn)行數(shù)據(jù)包內(nèi)容的實(shí)時(shí)性檢查、監(jiān)控，對(duì)用戶的編程空間起到了較好的保護(hù)作用，由于原碼的保密性質(zhì)，安全性不能保證，而且因防火墻與操作系統(tǒng)多屬一家，因而操作系統(tǒng)商家一般不對(duì)安全性負(fù)責(zé)。因而隨著時(shí)間推移與技術(shù)進(jìn)步，目前出現(xiàn)了較多帶有安全操作系統(tǒng)的防火墻，因其應(yīng)用了諸多新技術(shù)，如安全服務(wù)網(wǎng)絡(luò)、身份鑒別、加密技術(shù)、定制化服務(wù)、網(wǎng)絡(luò)診斷、清除等等安全技術(shù)，因而可以對(duì)各種攻擊手段進(jìn)行較好的防護(hù)。因此，從其現(xiàn)在的發(fā)展以及對(duì)于未來(lái)的發(fā)展來(lái)進(jìn)行一番展望，可以認(rèn)識(shí)到它的可能性發(fā)展動(dòng)向，比如，向智能化、集成化方向的轉(zhuǎn)向、自動(dòng)殺毒功能的實(shí)現(xiàn)、人機(jī)交互界面的升級(jí)與優(yōu)化等等。

3 結(jié)束語(yǔ)

總而言之，信息化已經(jīng)成為了時(shí)代發(fā)展的主旋律，由于有了互聯(lián)網(wǎng)絡(luò)，人類的生活方式發(fā)生了巨大轉(zhuǎn)變，而且生活形態(tài)有了質(zhì)的變化。因而，在信息化背景下，對(duì)網(wǎng)絡(luò)安全問(wèn)題及其體系需要增強(qiáng)建設(shè)，而且應(yīng)該對(duì)防火墻技術(shù)加大研究力度，做好網(wǎng)絡(luò)防御工作。另一方面，應(yīng)該加大對(duì)于網(wǎng)絡(luò)犯罪的打擊力度，并對(duì)其犯罪手法進(jìn)行細(xì)致的分析與研究，如此，有助于提升互聯(lián)網(wǎng)絡(luò)安全性能的提升，并提高對(duì)其防護(hù)的技術(shù)水平。從發(fā)展的角度看，伴隨算法優(yōu)化，過(guò)濾功能不斷擴(kuò)展及檢測(cè)與預(yù)警功能的提升等，防火墻技術(shù)將會(huì)更全面、綜合性更強(qiáng)，并且為我國(guó)的網(wǎng)絡(luò)安全建設(shè)工作提供新的力量。