王立群

摘要：21世紀是信息時代，以計算機技術(shù)、互聯(lián)網(wǎng)技術(shù)、多媒體技術(shù)為核心的信息技術(shù)在近20年中有了飛躍性的發(fā)展。計算機技術(shù)的應(yīng)用與發(fā)展促進了信息技術(shù)的變革，并且計算機技術(shù)不斷普及，成為人們?nèi)粘Ｉ钪兄匾囊徊糠?，不僅對社會中的個人有重要影響，還影響著世界經(jīng)濟和社會的發(fā)展。但是，隨著信息技術(shù)的不斷普及也逐漸產(chǎn)生了各種問題，互聯(lián)網(wǎng)中存在著更多的威脅和攻擊，互聯(lián)網(wǎng)安全容易受到他人的破壞，容易造成個人信息的泄漏甚至導(dǎo)致系統(tǒng)平臺和網(wǎng)絡(luò)資源癱瘓無效。因此，文章對基于防火墻的網(wǎng)絡(luò)安全技術(shù)進行了探討。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全技術(shù)

如今互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到社會中的方方面面，成為人們社會生活的一部分。所以網(wǎng)絡(luò)安全的重要性更加突出，只有安全的互聯(lián)網(wǎng)才能夠保障互聯(lián)網(wǎng)的正常使用，否則當互聯(lián)網(wǎng)遭受破壞、信息能夠被竊取、互聯(lián)網(wǎng)服務(wù)被非法中斷問題出現(xiàn)時必然會影響人們的正常生活和社會生產(chǎn)。防火墻技術(shù)作為網(wǎng)絡(luò)安全的一個重要保障起著不可替代的作用，通過加密防毒、NAT技術(shù)、多端口、安全審計等對網(wǎng)絡(luò)安全的保障有更加重要的作用。

1防火墻技術(shù)和網(wǎng)絡(luò)安全的概念

1.1防火墻技術(shù)的概念

防火墻是一個處于專用網(wǎng)與共用網(wǎng)之間的軟硬件結(jié)合的系統(tǒng)，它為內(nèi)部網(wǎng)構(gòu)建了一個安全屏障，是建立在互聯(lián)網(wǎng)之間的一個安全網(wǎng)關(guān)，可以保護內(nèi)部網(wǎng)用戶免受非法用戶入侵的目的。它有2個重要功能：一是將不符合條件的人和數(shù)據(jù)隔離在網(wǎng)絡(luò)外部；二是允許符合條件的人進入。它是內(nèi)部網(wǎng)成員與外部通信的必要條件。防火墻具有4個功能：網(wǎng)絡(luò)安全的屏障，強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，防止內(nèi)部信息泄漏。網(wǎng)絡(luò)安全屏障不僅可以提高內(nèi)部網(wǎng)絡(luò)的安全性，還可以通過過濾網(wǎng)絡(luò)數(shù)據(jù)和安全服務(wù)，有效地降低內(nèi)部網(wǎng)絡(luò)的風(fēng)險。因此，只有那些特殊的應(yīng)用程序的選擇能夠通過防火墻。加強網(wǎng)絡(luò)安全策略是對所有安全軟件進行集中的安全管理。例如，認證和審核等，這些安全軟件可以在防火墻上配置防火墻的安全程序，并且管理更加經(jīng)濟、方便。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計是指如果所有的訪問都能夠通過防火墻，那么防火墻就能夠記錄下這些訪問記錄并且進行存儲與整理，同時能夠提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)現(xiàn)可以的訪問數(shù)據(jù)時，防火墻會先攔截繼而進行適當?shù)膱缶⑶姨峁┚W(wǎng)絡(luò)是否收到檢測和攻擊的詳細信息。防止內(nèi)部信息的外泄，這是通過防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)的影響。

1.2網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是保護網(wǎng)絡(luò)系統(tǒng)的軟硬件系統(tǒng)，并對數(shù)據(jù)進行分析。網(wǎng)絡(luò)安全是一個綜合性的學(xué)科，包括密碼技術(shù)、計算機科學(xué)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)等知識，只要涉及網(wǎng)絡(luò)信息的真實性、安全性、完整性、保密性和可控性等都是網(wǎng)絡(luò)安全的研究領(lǐng)域。安全性是信息安全的特性，是未經(jīng)授權(quán)的用戶實體或過程。完整性是指對數(shù)據(jù)的修改必須由用戶授權(quán)，如果未經(jīng)授權(quán)就不能修改或者破壞信息?？捎眯允侵笖?shù)據(jù)可以得到授權(quán)的實體訪問，并且根據(jù)安全需要進行訪問的特性。可控性是指能夠控制信息的傳播和內(nèi)容的性質(zhì)?，F(xiàn)階段網(wǎng)絡(luò)安全所受到的威脅眾多，除了一些意外事故和自然災(zāi)害之外更多的是人為因素，例如入侵的黑客、病毒等。對于網(wǎng)絡(luò)入侵有著眾多的方式，例如：口令入侵、木馬、萬維網(wǎng)欺騙技術(shù)、電子郵件攻擊、節(jié)點攻擊、網(wǎng)絡(luò)監(jiān)聽、黑客軟件、安全漏洞攻擊、端口掃描攻擊等。

2各類防火墻的設(shè)計技術(shù)

2.1包過濾技術(shù)

網(wǎng)絡(luò)中傳送信息的單位是數(shù)據(jù)包，數(shù)據(jù)包包含IP源地址、IP目的地址、內(nèi)部協(xié)議、TCP/ICMP消息類型、數(shù)據(jù)包的收發(fā)接口等。這些數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時可以通過不同的途徑到達目的地。包過濾技術(shù)就是在數(shù)據(jù)包傳送技術(shù)基礎(chǔ)上發(fā)生作用的，它利用路由器監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的數(shù)據(jù)包，拒絕發(fā)送可疑的數(shù)據(jù)包。網(wǎng)絡(luò)連接都需要借助路由器，路由器成為內(nèi)外網(wǎng)絡(luò)之間通信必須經(jīng)過的途徑，防火墻就是一個擁有過濾功能的簡單路由器。防火墻進行網(wǎng)絡(luò)安全防護時，對所有的數(shù)據(jù)包都逐一審查，查看是否安全，是否經(jīng)過授權(quán)。針對過濾包技術(shù)進行防火墻設(shè)計時應(yīng)該遵循以下規(guī)則：對所有進入內(nèi)部網(wǎng)的數(shù)據(jù)包其源地址不能是網(wǎng)絡(luò)內(nèi)部地址，并且目的地地址必須是外部地址；對離開內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)其源地址必須是內(nèi)部地址，并且目的地地址不能是內(nèi)部地址；對任何通過防火墻的數(shù)據(jù)無論是目的地址還是源地址都不能是私有地址。包過濾技術(shù)能夠?qū)崿F(xiàn)配置客戶開放外網(wǎng)對內(nèi)網(wǎng)的服務(wù)器訪問，實現(xiàn)外網(wǎng)對內(nèi)網(wǎng)發(fā)起的數(shù)據(jù)端口連接，開放對內(nèi)網(wǎng)的非連接請求，接受來自內(nèi)網(wǎng)的數(shù)據(jù)包轉(zhuǎn)發(fā)等等作用。

2.2地址翻譯技術(shù)

該技術(shù)可以通過對傳輸數(shù)據(jù)包報頭中的IP地址進行替換，允許私有地址訪問公共網(wǎng)絡(luò)，它會在內(nèi)主機訪問外網(wǎng)時生成一個訪問記錄，通過將私有的源地址進行偽裝和隱藏就可以利用這個偽裝地址進行內(nèi)外網(wǎng)間的數(shù)據(jù)傳輸。當代網(wǎng)絡(luò)生活中共有的IP地址越來越少，通過私有網(wǎng)絡(luò)訪問公網(wǎng)是普遍現(xiàn)象，地址翻譯技術(shù)在對IP地址進行轉(zhuǎn)換的過程中要注意內(nèi)部接口和外部接口，明確地進行網(wǎng)絡(luò)地址翻譯。

2.3代理技術(shù)

代理技術(shù)的構(gòu)建是在內(nèi)網(wǎng)主機和服務(wù)器之間構(gòu)建一個代理服務(wù)器，這個服務(wù)器作為內(nèi)網(wǎng)的唯一標示，只有通過這個才能與外網(wǎng)進行數(shù)據(jù)信息的接收和轉(zhuǎn)發(fā)。這項技術(shù)要以代理服務(wù)設(shè)備為基礎(chǔ)對數(shù)據(jù)包進行封鎖，這樣能夠讓外網(wǎng)對內(nèi)網(wǎng)的修改和破壞變得更加困難，還能夠有效地隱蔽內(nèi)網(wǎng)自身的漏洞，不被外網(wǎng)發(fā)現(xiàn)。

2.4屏蔽主機防火墻的設(shè)計

屏蔽主機防火墻由包濾路由器與外部網(wǎng)連接，用一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，替代服務(wù)器發(fā)生作用。屏蔽主機防火墻設(shè)計的主要配置參數(shù)包括：WWW服務(wù)器：192.168.0.10；外網(wǎng)主機：211.1.1.2；內(nèi)部網(wǎng)：192.168.0.0/24；接內(nèi)網(wǎng)：192.168.0.1；接外部路由器：61.1.1.2。

2.5屏蔽子網(wǎng)絡(luò)防火墻的設(shè)計

屏蔽子網(wǎng)防火墻是在被屏蔽子網(wǎng)體系結(jié)構(gòu)中再添加額外的安全層到屏蔽主機體系結(jié)構(gòu)中。它的配置設(shè)計主要參數(shù)包括：外部網(wǎng)：10.0.0.0/8；DMZ區(qū)：172.16.0.0/16；內(nèi)部網(wǎng)：192.168.4.0/24；接內(nèi)部路由器：192.168.4.1。

2.6防火墻設(shè)計的主要原則

在網(wǎng)絡(luò)設(shè)計中電路設(shè)備的安全和效率是首先需要保障的，對于關(guān)鍵的設(shè)備和電路要做好冗余和備份。另一方面就是要保證網(wǎng)絡(luò)傳輸?shù)目煽啃院涂捎眯?，需要采用故障處理和容錯技術(shù)。在網(wǎng)絡(luò)設(shè)計中需要遵守的主要原則有：安全保密性原則、可擴充性原則、經(jīng)濟合理性原則、可實施性原則。安全保密性措施指的是在設(shè)計網(wǎng)絡(luò)時需要制定一整套措施來保證傳輸信息的安全，人們在利用網(wǎng)絡(luò)信息時保障數(shù)據(jù)傳輸?shù)陌踩侵陵P(guān)重要的，當人們?yōu)g覽網(wǎng)頁時很容易留下個人資料、隱私信息等，而大部分的用戶都沒有關(guān)于保障信息安全的相關(guān)知識和技術(shù)，也很容易忽視這些信息的刪除，所以建立一整套的安全保密措施是至關(guān)重要的，能夠有效防止一些非法分子盜取用戶的隱私信息，這一原則對于社會個人、企業(yè)、國家都有重要作用?？蓴U充性原則指的是在網(wǎng)絡(luò)規(guī)模不斷擴大和功能不斷完善的今天對于網(wǎng)絡(luò)擴容提出了新的要求。首先要不能影響用戶的使用，其次就是要靈活方便，網(wǎng)絡(luò)升速、配置調(diào)整，這些都是網(wǎng)絡(luò)設(shè)計時需要考慮的內(nèi)容，這主要是方便日后數(shù)據(jù)包容量的擴大和滿足用戶業(yè)務(wù)數(shù)量的激增以及業(yè)務(wù)流向的調(diào)整。經(jīng)濟合理性原則指的是在選擇和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和技術(shù)時要進行技術(shù)經(jīng)濟和性能價格之間的比較，對于現(xiàn)有的設(shè)備要做到充分的保護和利用。在進行網(wǎng)絡(luò)設(shè)計時要先對性價比進行分析，例如：僅僅是用戶個人上網(wǎng)不涉及非常重要的信息時，如果讓個人進行網(wǎng)絡(luò)設(shè)計肯定性價比較高，并且起到的作用也不大，但對于一些大型企業(yè)或者政府部門來說，就需要進行很完善的網(wǎng)絡(luò)設(shè)計，因為它的網(wǎng)絡(luò)信息更加重要，很可能涉及政務(wù)信息、商業(yè)機密，并且這類信息也容易被一些非法分子攻擊，建立強大的防火墻能夠有效保障信息安全，保障用戶的切身利益?？蓪嵤┰瓌t是指在滿足上面的那些原則的基礎(chǔ)上還要充分考慮自身條件，網(wǎng)絡(luò)設(shè)計還要考慮施工和維護的可能性。

3結(jié)語

本文對當今社會網(wǎng)絡(luò)安全中的防火墻技術(shù)進行了分析和研究，介紹了多種防火墻的設(shè)計。網(wǎng)絡(luò)是一個非常龐大和復(fù)雜的系統(tǒng)，網(wǎng)絡(luò)的安全性也更為重要。威脅網(wǎng)絡(luò)安全的因素越來越多，防火墻是保障網(wǎng)絡(luò)通信安全的重要手段之_，在應(yīng)用防火墻維護網(wǎng)絡(luò)時要進行正確的配置和選擇，還要對其進行定期的維護，這樣才能夠充分發(fā)揮防火墻的作用，保障網(wǎng)絡(luò)通信安全。在設(shè)置防火墻時也要注意提高它在智能化、高速化和多功能化3個方面的作用。希望本文能夠?qū)Ψ阑饓Φ脑O(shè)計有所幫助，促進網(wǎng)絡(luò)安全的發(fā)展。