王潤(rùn)澤

摘 要

防火墻是網(wǎng)絡(luò)安全的重要保護(hù)屏障。近幾年來(lái)，網(wǎng)絡(luò)安全與防隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，越來(lái)越受到人們的關(guān)注。本文主要從防火墻的技術(shù)特點(diǎn)出發(fā)，進(jìn)行分析防火墻易受到攻擊的幾種方法，以及相關(guān)的防護(hù)辦法和探討防火墻技術(shù)的未來(lái)發(fā)展方向。

【關(guān)鍵詞】網(wǎng)絡(luò)安全與防護(hù) 防火墻技術(shù) 代理服務(wù)

隨著近幾年計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的告訴發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)成為了人們關(guān)注的重點(diǎn)，同時(shí)因?yàn)橐恍﹤€(gè)人信息的不斷被泄露以及一些政府以及企業(yè)網(wǎng)站被攻擊等事件的不斷增加，致使關(guān)于網(wǎng)絡(luò)安全防護(hù)問(wèn)題變得越來(lái)越突出。這些網(wǎng)絡(luò)的攻擊事件不但關(guān)系到個(gè)人的隱私問(wèn)題，更嚴(yán)重的威脅到了國(guó)家的安全問(wèn)題。據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)攻擊事件正在以每年30%的速度增長(zhǎng)，單是我國(guó)的各大門(mén)戶(hù)網(wǎng)站以及政府企業(yè)的網(wǎng)站就有超過(guò)90%以上的網(wǎng)站都受到過(guò)網(wǎng)絡(luò)攻擊。而防火墻作為重要的網(wǎng)絡(luò)安全保護(hù)屏障，一般是設(shè)在外網(wǎng)和內(nèi)網(wǎng)之間、局域網(wǎng)和Internet網(wǎng)之間的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，長(zhǎng)期的給人們一種安全感，導(dǎo)致了人們?cè)谄匠５挠?jì)算機(jī)使用中并沒(méi)有進(jìn)行相關(guān)的網(wǎng)絡(luò)安全防護(hù)的其他措施，很容易給別人有機(jī)可乘。防火墻并不是萬(wàn)能的，也永遠(yuǎn)的不會(huì)存在絕對(duì)安全的防火墻。

1 防火墻安全技術(shù)分析

1.1 防火墻的組成及其主要技術(shù)

防火墻主要的包含了安全的操作系統(tǒng)、網(wǎng)絡(luò)過(guò)濾器、網(wǎng)關(guān)、郵件處理、域名處理這五個(gè)部分。

常見(jiàn)的防火墻技術(shù)主要是數(shù)據(jù)的過(guò)濾、網(wǎng)關(guān)以及使用代理服務(wù)器等。數(shù)據(jù)包過(guò)濾是依賴(lài)系統(tǒng)提前設(shè)定好的過(guò)濾規(guī)則對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行篩選過(guò)濾，檢查數(shù)據(jù)的來(lái)源、目的地址以及TCP端口的鏈接狀態(tài)信息，最后來(lái)確定其安全性是否讓其通過(guò)，通常作為第一道的屏障，但是也有個(gè)極其致命的缺點(diǎn)，在使用包過(guò)濾器時(shí)，內(nèi)部網(wǎng)和服務(wù)器是對(duì)外部打開(kāi)來(lái)接收數(shù)據(jù)進(jìn)行數(shù)據(jù)的過(guò)濾的，如果出現(xiàn)過(guò)濾器無(wú)法檢測(cè)出的攻擊和病毒，會(huì)對(duì)整個(gè)內(nèi)網(wǎng)及服務(wù)器造成攻擊。因此，這一技術(shù)通常使用在家庭的備用路由器當(dāng)中。而應(yīng)用網(wǎng)關(guān)是在應(yīng)用上建立的協(xié)議性的過(guò)濾，針對(duì)指定的應(yīng)用，進(jìn)行特定的數(shù)據(jù)過(guò)濾，對(duì)通過(guò)數(shù)據(jù)進(jìn)行登記和分析，同時(shí)形成日志進(jìn)行反饋。代理服務(wù)，作為最后的一段防線(xiàn)，通常是用來(lái)，當(dāng)數(shù)據(jù)通過(guò)了過(guò)濾器和應(yīng)用網(wǎng)關(guān)時(shí)需要通過(guò)代理服務(wù)器才能連接到應(yīng)用和內(nèi)部的服務(wù)器等，是一種軟件方式的過(guò)濾，防止外部的數(shù)據(jù)網(wǎng)絡(luò)直接的連接到內(nèi)部服務(wù)器，對(duì)進(jìn)入的數(shù)據(jù)進(jìn)行分段通過(guò)代理服務(wù)器在鏈接。

防火墻的主要技術(shù)對(duì)比如表1。

通過(guò)上表我們能更加清楚的看出各項(xiàng)防火墻技術(shù)的特點(diǎn)。

1.2 防火墻的基本功能

（1）過(guò)濾不安全的數(shù)據(jù)和服務(wù)，指接受授權(quán)的和協(xié)議內(nèi)的數(shù)據(jù)與服務(wù)通過(guò)。

（2）防止非法的訪(fǎng)問(wèn)，對(duì)訪(fǎng)問(wèn)進(jìn)行控制。

（3）對(duì)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行集中的安全管理。

（4）有效的保護(hù)內(nèi)網(wǎng)的信息，增加保密性。

（5）對(duì)于網(wǎng)絡(luò)鏈接的日志進(jìn)行記錄和反饋，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)。

（6）防火墻可以提供策略制定和執(zhí)行。

（7）企業(yè)和機(jī)構(gòu)可以根據(jù)自己的需求進(jìn)行其他的相關(guān)安全和控制。

2 非法攻擊防火墻的方法

雖然防火墻起到了對(duì)內(nèi)網(wǎng)的一定保護(hù)和安全防護(hù)作用，但是也有其一定的局限性。有些攻擊是可以繞開(kāi)防火墻進(jìn)行的，這樣防火墻是無(wú)法起作用的，同時(shí)對(duì)于攜帶病毒的軟件，防火墻也無(wú)法進(jìn)行限制傳輸。常見(jiàn)的非法攻擊有以下3種方式；

（1）從子網(wǎng)進(jìn)行攻擊，這些子網(wǎng)是受到防火墻認(rèn)可的。

（2）過(guò)分頻繁的攻擊和干擾，會(huì)致使防火墻一直處于高負(fù)荷狀態(tài)進(jìn)行數(shù)據(jù)的分析和過(guò)濾，會(huì)出現(xiàn)癱瘓等。

（3）一些內(nèi)部的人為攻擊，如對(duì)防火墻運(yùn)行的操作系統(tǒng)進(jìn)行攻擊。

常見(jiàn)的惡意攻擊防火墻的手段如下：

（1）IP地址欺騙。IP地址的欺騙是最常見(jiàn)的攻擊方法，也是攻擊的最基礎(chǔ)方法，通過(guò)偽造來(lái)自?xún)?nèi)部的虛假數(shù)據(jù)。

（2）計(jì)算機(jī)病毒攻擊。一般是在計(jì)算機(jī)的程序中插入可以破壞計(jì)算機(jī)功能和數(shù)據(jù)的代碼，并且可以進(jìn)行自我的復(fù)制和執(zhí)行，有時(shí)會(huì)被放在郵箱的消息內(nèi)通過(guò)防火墻。

（3）木馬攻擊。木馬一般是指隱藏在合法的程序的惡意代碼，又叫特洛伊木馬（Trojan horse），它能受到外界的控制，來(lái)盜取用戶(hù)的信息等。

（4）TCP序號(hào)攻擊。是指繞過(guò)分組過(guò)濾法防火墻系統(tǒng)；利用Internet網(wǎng)協(xié)議中的安全漏洞訪(fǎng)問(wèn)依賴(lài)于靠分析IP地址的系統(tǒng)上，這種攻擊都是建立子啊TCP連接上的，利用偽造的通過(guò)的IP地址，傳送到內(nèi)部的計(jì)算機(jī)上，這也是對(duì)防護(hù)墻最致命的一種攻擊。

3 防火墻的未來(lái)發(fā)展方向

防火墻未來(lái)的發(fā)展趨勢(shì)包含了；

（1）由于當(dāng)前的防火墻對(duì)于網(wǎng)絡(luò)數(shù)據(jù)流量的依賴(lài)較大，會(huì)導(dǎo)致失效癱瘓等，而隨著語(yǔ)言以及算法的優(yōu)化，防火墻對(duì)于流量的依賴(lài)正在減少。

（2）現(xiàn)在的防火墻不但結(jié)合了包過(guò)濾技術(shù)以及應(yīng)用網(wǎng)關(guān)技術(shù)還正在加入數(shù)據(jù)加密技術(shù)，強(qiáng)制身份驗(yàn)證，嚴(yán)格的控制訪(fǎng)問(wèn)，并且加強(qiáng)了對(duì)于日志的分析以及安全的管理。

（3）不斷的加強(qiáng)對(duì)于網(wǎng)絡(luò)攻擊的檢測(cè)和過(guò)濾功能，同時(shí)加強(qiáng)預(yù)警功能的建設(shè)。

（4）對(duì)于防火墻的監(jiān)測(cè)引擎可以考慮直接的加入到計(jì)算機(jī)的系統(tǒng)核上，進(jìn)行直接的數(shù)據(jù)和網(wǎng)卡的控制和管理，對(duì)所有的數(shù)據(jù)進(jìn)行檢測(cè)在提交。

因此、對(duì)于防火墻技術(shù)的未來(lái)發(fā)展方向來(lái)說(shuō)，應(yīng)是全面對(duì)，對(duì)于各種技術(shù)進(jìn)行整合包括了包過(guò)濾技術(shù)、代理服務(wù)技術(shù)、病毒檢測(cè)技術(shù)以及新型的數(shù)據(jù)加密技術(shù)等。

4 結(jié)語(yǔ)

對(duì)于網(wǎng)絡(luò)安全防護(hù)來(lái)說(shuō)，應(yīng)全面的對(duì)網(wǎng)絡(luò)、系統(tǒng)、程序、用戶(hù)數(shù)據(jù)等等多方面的進(jìn)行檢測(cè)和安全控制管理，對(duì)于防火墻技術(shù)進(jìn)行全面的整合研究，同時(shí)加強(qiáng)對(duì)于加密技術(shù)的應(yīng)用，強(qiáng)制進(jìn)行用戶(hù)身份驗(yàn)證，提高防范等級(jí)。網(wǎng)絡(luò)安全的防護(hù)是未來(lái)一項(xiàng)重要的安全防護(hù)工作，現(xiàn)在的人們對(duì)于網(wǎng)絡(luò)的依賴(lài)程度之高以及未來(lái)對(duì)于網(wǎng)絡(luò)的依賴(lài)程度都是不可想象的，我們的各種信息都放到了網(wǎng)絡(luò)上，以及國(guó)家政府機(jī)構(gòu)的重要信息也都存儲(chǔ)在了網(wǎng)絡(luò)上，網(wǎng)絡(luò)安全已經(jīng)嚴(yán)重的危害到了個(gè)人和國(guó)家的安全。因此，對(duì)于網(wǎng)絡(luò)安全的防護(hù)工作不容得半點(diǎn)的疏忽。

參考文獻(xiàn)

[1]張鳴，高楊.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011（02）：48-50.

[2]馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014（16）：3743-3745.

[3]趙佳.略談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].科技信息（科學(xué)教研），2008（23）：55+33.

作者單位

安徽省懷遠(yuǎn)第一中學(xué) 安徽省懷遠(yuǎn)縣 233400