李旭東

（湖南師范大學(xué)附屬中學(xué) 410006）

防火墻技術(shù)的應(yīng)用意義與網(wǎng)絡(luò)防范措施

李旭東

（湖南師范大學(xué)附屬中學(xué) 410006）

網(wǎng)絡(luò)社會(huì)對(duì)人們生活和生產(chǎn)的影響是非常深刻的，防火墻已經(jīng)成為網(wǎng)絡(luò)中不可缺少的一部分，利用防火墻可以有效強(qiáng)化內(nèi)部網(wǎng)的安全性。本文主要針對(duì)網(wǎng)絡(luò)背景下防火墻技術(shù)防護(hù)措施進(jìn)行分析。

防火墻技術(shù)；網(wǎng)絡(luò)安全；防護(hù)措施

在IT行業(yè)的發(fā)展之下，網(wǎng)絡(luò)時(shí)代對(duì)于人們的影響也越來(lái)越深遠(yuǎn)，網(wǎng)絡(luò)已經(jīng)成為了人們生活與工作中的重要內(nèi)容，由于網(wǎng)絡(luò)是可以共享的，因此，不存在絕對(duì)的安全，必須要有更加完善的網(wǎng)絡(luò)技術(shù)才能夠保障網(wǎng)絡(luò)的安全。防火墻技術(shù)就是其中的關(guān)鍵技術(shù)。防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，合理應(yīng)用防火墻可以有效保證數(shù)據(jù)信息的安全性。

1 防火墻技術(shù)的應(yīng)用意義

防火墻是本地網(wǎng)絡(luò)與外地網(wǎng)絡(luò)間的隔離防御系統(tǒng)，應(yīng)用防火墻可以有效避免網(wǎng)絡(luò)受到外界因素的干擾，是一種典型的隔離和控制技術(shù)。防火墻可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)不受侵犯，對(duì)于不確定的、不安全的數(shù)據(jù)進(jìn)行有效隔離過(guò)濾，從而達(dá)到降低內(nèi)部網(wǎng)信息受侵犯的風(fēng)險(xiǎn)的目的，強(qiáng)化內(nèi)部網(wǎng)絡(luò)的環(huán)境安全。從邏輯層面來(lái)看，防火墻兼具分析器和限制器的功能，可以在邏輯上分離內(nèi)網(wǎng)與外網(wǎng)，防火墻可以設(shè)置在計(jì)算機(jī)上，也可以固定于路由器中。防火墻的功能非常全面：

（1）優(yōu)化網(wǎng)絡(luò)安全性能：應(yīng)用防火墻可以有效降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，讓MFS的進(jìn)出都能夠受到網(wǎng)絡(luò)的保護(hù)。同時(shí)，防火墻還可以讓網(wǎng)絡(luò)免受路由器的影響，將各類(lèi)不安全因素杜絕。

（2）提升網(wǎng)絡(luò)安全，防火墻可以利用身份認(rèn)證、審計(jì)等軟件來(lái)執(zhí)行站點(diǎn)安全策略，與傳統(tǒng)安全防護(hù)模式相比，防火墻無(wú)論是在安全性還是在經(jīng)濟(jì)性上，都更加理想。

（3）保護(hù)信息安全，防火墻可以對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，對(duì)重點(diǎn)網(wǎng)絡(luò)進(jìn)行隔離防護(hù)，有效避免局部網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生，還可以提供身份驗(yàn)證、網(wǎng)絡(luò)加密等功能，避免內(nèi)部信息泄露。

防火墻多是由一組或者單個(gè)的系統(tǒng)組成，其本質(zhì)屬于隔離技術(shù)，防火墻的應(yīng)用可以避免從因特網(wǎng)流入的信息進(jìn)入到防火墻中，對(duì)于所有的信息，防火墻都會(huì)進(jìn)行詳細(xì)的檢查，可以有效保護(hù)用戶數(shù)據(jù)的安全性。從技術(shù)層面而言，網(wǎng)絡(luò)防火墻屬于訪問(wèn)控制技術(shù)的一種類(lèi)型，在不安全網(wǎng)絡(luò)與機(jī)構(gòu)網(wǎng)絡(luò)之間設(shè)置好防火墻可以避免信息資源非法訪問(wèn)，換言之，防火墻是門(mén)檻，負(fù)責(zé)控制進(jìn)出通信，可以保證網(wǎng)絡(luò)不受外來(lái)因素的攻擊，當(dāng)然，防火墻并非因特網(wǎng)與網(wǎng)絡(luò)的隔離，也可以應(yīng)用在企業(yè)部門(mén)網(wǎng)絡(luò)的隔離上。

2 防火墻技術(shù)背景下的網(wǎng)絡(luò)安全防護(hù)問(wèn)題

2.1 科學(xué)選擇防火墻

防火墻的實(shí)現(xiàn)方式是非常多的，在選擇防火墻之前，需要進(jìn)行需求和風(fēng)險(xiǎn)分析，以此來(lái)制定防范策略，最大限度的保持防護(hù)方式以及安全政策的一致性。在評(píng)估防火墻性能與安全性時(shí)，要查看防火墻是否能夠正常工作，能不能阻擋惡意攻擊，如果防火墻被攻擊，會(huì)呈現(xiàn)出怎樣的狀態(tài)。一般情況下，防火墻的失效有四種類(lèi)型：①在未受到破壞的情況下可以正常工作；②在受到破壞時(shí)可以重啟恢復(fù)；③禁止、關(guān)閉通行數(shù)據(jù)；④則關(guān)閉并且允許數(shù)據(jù)運(yùn)行，其中一二兩種方式的防護(hù)性能最為理想，在選擇防火墻時(shí)，需要對(duì)其失效狀態(tài)進(jìn)行合理的驗(yàn)證與評(píng)估。在防火墻投入運(yùn)行后，需要及時(shí)的進(jìn)行動(dòng)態(tài)性維護(hù)，對(duì)防火前的運(yùn)行狀態(tài)進(jìn)行跟蹤維護(hù)，如果發(fā)現(xiàn)漏洞，要及時(shí)補(bǔ)救和更新。一般情況下，常用的防火墻類(lèi)型主要以分布式防火墻為主，該種類(lèi)型的防火墻有效增加了主機(jī)防護(hù)的防護(hù)功能，可以避免外部危險(xiǎn)因素的影響，用戶還可以利用虛擬專(zhuān)用網(wǎng)、外聯(lián)網(wǎng)、內(nèi)部網(wǎng)來(lái)訪問(wèn)，即便某個(gè)端點(diǎn)系統(tǒng)被入侵，其他的系統(tǒng)也不會(huì)受到影響。該種防火墻技術(shù)很好的保護(hù)了各類(lèi)主機(jī)之間的通信，可以有效保證主機(jī)之間的通信。

2.2 制定出可靠的規(guī)則集

制定可靠規(guī)則集是保障防火墻性能順利實(shí)現(xiàn)的關(guān)鍵，如果防火墻規(guī)則集錯(cuò)誤，即便再完善的防火墻，也無(wú)法起到應(yīng)有的作用：

2.2.1 完善安全性策略

在制定規(guī)則集前，相關(guān)人員需要掌握系統(tǒng)的安全策略，規(guī)則集需要滿足幾個(gè)條件，內(nèi)部員工不受訪問(wèn)網(wǎng)絡(luò)的限制，外部員工可以使用web服務(wù)器登錄登錄，管理員可以遠(yuǎn)程訪問(wèn)系統(tǒng)。第一項(xiàng)內(nèi)容容易實(shí)現(xiàn)，但是第二項(xiàng)和第三項(xiàng)就具備一定的難度，需要建立起web服務(wù)器與email服務(wù)器，將其設(shè)置于DMZ中，并設(shè)置好加密功能。

2.2.2 制定好規(guī)則次序

規(guī)則次序是非常重要的，會(huì)直接影響到防火墻的運(yùn)行，多數(shù)防火墻都會(huì)遵照一定的順序來(lái)檢查數(shù)據(jù)包，看數(shù)據(jù)包是否與規(guī)則相對(duì)應(yīng)，如果檢查結(jié)果顯示匹配，就會(huì)停止檢查，若一直未檢查到匹配的規(guī)則，就會(huì)拒絕接收數(shù)據(jù)包。采取該種措施可以有效避免錯(cuò)誤配置問(wèn)題的發(fā)生。

2.2.3 落實(shí)規(guī)則集

在安全防范措施與規(guī)則次數(shù)被確診后，就需要逐條落實(shí)其中的規(guī)則，在落實(shí)時(shí)，可以將不必要防火墻關(guān)閉，并增加鎖定規(guī)則，除了管理員禁止其他無(wú)關(guān)人員訪問(wèn)防火墻?？梢栽试S內(nèi)部用戶通過(guò)郵件協(xié)議的方式訪問(wèn)服務(wù)器，將各類(lèi)常用規(guī)則設(shè)置在規(guī)則集上部，提升防火墻安全性。

2.2.4 更換控制

上述工作完成，合理的組織各項(xiàng)規(guī)則之后，需要標(biāo)注詳細(xì)且經(jīng)常對(duì)它們進(jìn)行更新。詳細(xì)的標(biāo)注能更好的指導(dǎo)人們認(rèn)識(shí)規(guī)則的具體內(nèi)容，更全面的掌握規(guī)則之后，出現(xiàn)的錯(cuò)誤配置幾率就更小。如果一個(gè)機(jī)構(gòu)有多重防火墻，在修改規(guī)則的過(guò)程中，需要標(biāo)記清楚更改人員的姓名、原因以及時(shí)間。

3 小結(jié)

在信息化背景下，對(duì)網(wǎng)絡(luò)安全問(wèn)題及其體系需要增強(qiáng)建設(shè)，而且應(yīng)該對(duì)防火墻技術(shù)加大研究力度，做好網(wǎng)絡(luò)防御工作。另一方面，應(yīng)該加大對(duì)于網(wǎng)絡(luò)犯罪的打擊力度，并對(duì)其犯罪手法進(jìn)行細(xì)致的分析與研究，如此，有助于提升互聯(lián)網(wǎng)絡(luò)安全性能的提升，并提高對(duì)其防護(hù)的技術(shù)水平。

[1]陳建強(qiáng).基于計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)分析[J].電子技術(shù)與軟件工程，2013（16）.

[2]胡平，李臻，彭紀(jì)奎.基于入侵檢測(cè)的分布式防火墻的應(yīng)用研究[J].微電子學(xué)與計(jì)算機(jī)，2011（06）.

[3]錢(qián)誠(chéng)，韓戴鴻，鄔顯豪，徐彬凌，胡大川.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)關(guān)鍵技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（03）.

[4]鄭曉娟.安全網(wǎng)絡(luò)構(gòu)建中防火墻技術(shù)的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（03）.

TP393.0

A

1004-7344（2016）26-0273-01

2016-9-4