林云強

摘 要：在互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全問題頻發(fā)，應(yīng)用防火墻網(wǎng)絡(luò)安全技術(shù)有利于網(wǎng)絡(luò)更好的運行，保障網(wǎng)絡(luò)環(huán)境的安全。闡述了防火墻的概念和作用，簡要分析了防火墻的具體架構(gòu)，從多方面說明了防火墻背景下的網(wǎng)絡(luò)安全技術(shù)要點，并探討了應(yīng)用防火墻的網(wǎng)絡(luò)安全技術(shù)，以期為人們提供有價值的參考。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全技術(shù)；身份驗證；路由器

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.16.136

1 防火墻

防火墻是指在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道隔離防御系統(tǒng)。應(yīng)用防火墻最主要的目的是通過對網(wǎng)絡(luò)入、出環(huán)節(jié)的控制，促使各環(huán)節(jié)經(jīng)過防火墻的檢查，從而有效預(yù)防網(wǎng)絡(luò)遭到外來因素的破壞和干擾，達到保護內(nèi)部網(wǎng)絡(luò)不受非法訪問的目的。

2 防火墻的功能

2.1 可提高網(wǎng)絡(luò)的安全性能

防火墻的應(yīng)用能大幅度提升內(nèi)部網(wǎng)絡(luò)的安全性能，降低安全風(fēng)險。比如，防火墻可以迫使NFS的進、出受網(wǎng)絡(luò)保護。此外，防火墻還能保護網(wǎng)絡(luò)免受路由的攻擊，抵擋各種不安全因素，并通知管理員。

2.2 強化網(wǎng)絡(luò)安全

執(zhí)行站點安全策略配備在防火墻內(nèi)部，相比于傳統(tǒng)的將安全問題分散到不同主機上的方式，這種集中安全管理的防火墻更加經(jīng)濟、安全。

2.3 監(jiān)控網(wǎng)絡(luò)的訪問和存取

防火墻能有效記錄各種網(wǎng)絡(luò)活動，遇到可疑的網(wǎng)絡(luò)活動時會報警，并為網(wǎng)絡(luò)管理員提供全面的信息，比如誰在訪問網(wǎng)絡(luò)、在網(wǎng)路上訪問哪些信息。一旦防火墻監(jiān)控到可疑動作，就會自動報警，并提供攻擊和監(jiān)測的具體信息。

2.4 保護內(nèi)部信息不被泄露

通過防火墻對內(nèi)部網(wǎng)絡(luò)的保護和劃分，可實現(xiàn)對內(nèi)部重點網(wǎng)絡(luò)的保護和隔離，降低了重點局部網(wǎng)絡(luò)安全問題對整個局域網(wǎng)內(nèi)部的影響。應(yīng)用防火墻后，網(wǎng)絡(luò)具有了加密和身份驗證功能，進一步降低了網(wǎng)絡(luò)暴露在外的風(fēng)險，從而保護內(nèi)部信息不被泄露。

3 防火墻架構(gòu)分析

完整的防火墻由代理服務(wù)器和屏蔽路由器組成。通過屏蔽路由器可有效預(yù)防IP欺騙性攻擊。該系統(tǒng)硬件成本比較低、架構(gòu)簡單，但因缺乏用戶身份驗證和管理投資，很難建立包過濾規(guī)則。現(xiàn)階段，越來越多的路由生產(chǎn)廠家開始關(guān)注并開發(fā)具有過濾規(guī)則的用戶界面，積極制訂用戶身份標準認證協(xié)議。通過代理服務(wù)器能有效識別、屏蔽和拒絕非法請求。在該系統(tǒng)中，具有賬號管理、記錄日志、身份認證功能，但如果想全面提升安全保障力度，則需要建立應(yīng)用層對應(yīng)網(wǎng)關(guān)，但其不易被系統(tǒng)接受。該系統(tǒng)的具體實現(xiàn)方案是以部署內(nèi)部防火墻和外部防火墻的方式實現(xiàn)的。部署防火墻可有效過濾各種信息，保護敏感數(shù)據(jù)不被破壞和偷竊。同時，還能詳細記錄有關(guān)事件的發(fā)生時間與操作行為。

4 網(wǎng)絡(luò)安全技術(shù)要點分析

應(yīng)用防火墻能提高內(nèi)部網(wǎng)絡(luò)的安全性，但并不意味著能做到萬無一失。深入分析防火墻的原理和實現(xiàn)方式后，筆者總結(jié)了以下技術(shù)要點。

4.1 合理選擇防火墻

作為一種對于網(wǎng)絡(luò)完全有效的防護方式，防火墻有多種實現(xiàn)方式。在合理選擇防火墻前，需要全面進行風(fēng)險分析、需求分析，進一步制訂安全防范策略，從而有針對性地選擇防護方式，盡可能地保持安全政策與防護方式的統(tǒng)一性。

4.2 準確評估防火墻失效問題

在評價防火墻安全性和性能的過程中，需要查看防火墻運行是否正常、能否阻擋非法訪問或惡意攻擊；如果防火墻被攻破，則其狀態(tài)是怎樣的。按照一定的級別劃分，防火墻失效有4種情況：①在沒有被攻破時能正常工作；②在受到傷害時可以重新啟動，并恢復(fù)至之前的工作界面；③禁止和關(guān)閉所有通行數(shù)據(jù)；④關(guān)閉且允許數(shù)據(jù)繼續(xù)通行。

第一種和第二種狀態(tài)比較理想，第四種狀態(tài)最不安全。在選擇防火墻的過程中，需要驗證并準確評估其失效狀態(tài)。

4.3 防火墻的動態(tài)維護

在安裝防火墻和防火墻投入使用后，需對其運行狀態(tài)進行動態(tài)性維護，維護和跟蹤其發(fā)展動態(tài)，時刻觀察動態(tài)并與之保持聯(lián)系。一旦發(fā)現(xiàn)安全漏洞，則會積極推出補救措施，并及時更新防火墻。

4.4 可靠規(guī)則集的制訂

可靠規(guī)則集的制訂是使防火墻安全、有效的關(guān)鍵性步驟。如果防火墻的規(guī)則集不正確，則再強大的防火墻也起不到任何作用。

4.4.1 制訂安全性策略

應(yīng)由上級管理人員制訂安全防范策略，使防火墻成為實施安全防范策略的工具。在制訂規(guī)則集前，必須全面掌握安全策略，建設(shè)以下3方面的內(nèi)容：①內(nèi)部員工訪問網(wǎng)絡(luò)不受限制；②外部用戶能使用Email服務(wù)器和Web服務(wù)器；③管理員能遠程訪問系統(tǒng)。從實際情況看，大部分部門的安全策略要遠遠超過上述內(nèi)容。

4.4.2 積極構(gòu)建安全體系

在將一項安全策略轉(zhuǎn)化成技術(shù)的過程中，內(nèi)部員工訪問網(wǎng)絡(luò)不受限制是比較容易實現(xiàn)的，這是因為內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)信息都允許在網(wǎng)絡(luò)中傳輸。對于外部用戶能使用Email服務(wù)器和Web服務(wù)器，需要建立Email服務(wù)器和Web服務(wù)器，這是因為所有人都能訪問Email服務(wù)器和Web服務(wù)器，因此，不能信任所有人。鑒于此，可以將Email服務(wù)器和Web服務(wù)器放到DMZ中去實現(xiàn)，DMZ是一個孤立的網(wǎng)絡(luò)，經(jīng)常存放不被信任的系統(tǒng)。該網(wǎng)絡(luò)中的系統(tǒng)無法連接、啟動內(nèi)部網(wǎng)絡(luò)。對于管理員遠程訪問系統(tǒng)而言，可通過加密服務(wù)的方式進行。筆者建議在這一過程中加入DNS，雖然上述安全策略中未陳述此項內(nèi)容，但在實際運營過程中需積極提供該服務(wù)。

4.4.3 規(guī)則次序的制訂

規(guī)則次序的制訂非常重要。不同的規(guī)則次序排列相同的規(guī)則時，可能會徹底改變防火墻的運行情況。比如，大部分防火墻按照順序?qū)?shù)據(jù)包進行檢查，收到第一個數(shù)據(jù)包與第一條規(guī)則相對應(yīng)，收到第二個數(shù)據(jù)包與第二條規(guī)則相對應(yīng)，以此類推。如果檢查到匹配選項，則會停止檢查；如果沒有找到匹配規(guī)則，則會拒絕該數(shù)據(jù)包。一般而言，比較特殊的規(guī)則應(yīng)放在前面，比較普通的規(guī)則應(yīng)放在后面。這樣的方式能有效避免防火墻的錯誤配置。

4.4.4 落實規(guī)則集

一旦確認了規(guī)則次數(shù)和安全防范策略，就要落實每條規(guī)則。在實際落實過程中，需要注意以下8個關(guān)鍵點：①切斷不必要的防火墻默認服務(wù)；②內(nèi)部網(wǎng)絡(luò)的所有人都能出網(wǎng)，任何服務(wù)都被允許，與安全策略規(guī)定吻合；③增添鎖定規(guī)則，除管理員之外，其他人員都不能訪問防火墻；④丟棄不匹配的數(shù)據(jù)包，且不記錄；⑤允許網(wǎng)絡(luò)用戶訪問DNS，允許內(nèi)部用戶和網(wǎng)絡(luò)用戶依照郵件傳遞協(xié)議訪問郵件服務(wù)器，允許內(nèi)部POP訪問；不允許內(nèi)部用戶公開訪問DMZ；⑥拒絕、警告、記錄DMZ與內(nèi)部用戶之間的通話；⑦管理員能通過加密方式訪問內(nèi)部網(wǎng)絡(luò)；⑧將最常用規(guī)則盡可能地放到規(guī)則集上部，進一步提升防火墻的安全性能。

4.4.5 更換控制

合理制訂各項規(guī)則后，需標注詳細、經(jīng)常更新這些規(guī)則。詳細的標注能更好地指導(dǎo)人們認識規(guī)則的具體內(nèi)容，全面掌握規(guī)則后，出現(xiàn)的錯誤配置概率會更低。如果一個機構(gòu)設(shè)有多重防火墻，則在修改規(guī)則的過程中需要標記清楚更改人員的姓名、更改原因和更改時間。

4.4.6 強化審計工作

完成規(guī)則集的制訂后，下一個重要環(huán)節(jié)是檢測。需要注意的是，建立有效防火墻的關(guān)鍵在于建立簡單的規(guī)則集，錯誤配置是網(wǎng)絡(luò)的最大敵人。因此，應(yīng)盡可能確保規(guī)則集的簡短和簡潔。簡單的規(guī)則集理解和掌握起來比較容易。筆者建議，規(guī)則集應(yīng)在30條以內(nèi)，如果1個規(guī)則集超過50條，則必將會失敗。規(guī)則集越簡單，出現(xiàn)錯誤配置的概率就越小，所以，簡單的規(guī)則集無形之中提高了安全性能。

5 結(jié)束語

綜上所述，認真研究并應(yīng)用以防火墻為基礎(chǔ)的網(wǎng)絡(luò)安全技術(shù)有著重要的意義。本文從防火墻的概念、作用和具體架構(gòu)的角度，從合理選擇防火墻的策略、準確評估防火墻失效的方法、動態(tài)維護防護墻的措施和可靠規(guī)則集的制訂四方面進行了討論，詳細說明了應(yīng)用防火墻網(wǎng)絡(luò)安全技術(shù)的要點，值得相關(guān)方面參考和借鑒。

參考文獻

[1]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].安徽教育學(xué)院學(xué)報，2011（02）.

[2]張曉芳.基于防火墻屏蔽技術(shù)的網(wǎng)絡(luò)安全初探[J].無線互聯(lián)科技，2012（07）.

〔編輯：張思楠〕

Abstract： In the Internet era， network security problems are frequent； the application of firewall network security technology is conducive to the operation of the network better， to protect the security of the network environment. The concept and function of firewall is introduced. The specific architecture of firewall is briefly analyzed the concept and function of firewall is discussed in the paper， from many aspects illustrates the firewall under the background of network security techniques， and discusses the application of firewall network security technology， in order to provide valuable reference to the people.

Key words： firewall； network security technology； authentication； router