王勇

摘要：進(jìn)入二十一世紀(jì)以來，隨著信息技術(shù)的發(fā)展，使得當(dāng)今社會(huì)進(jìn)入一個(gè)全新的信息時(shí)代，同時(shí)也帶來了計(jì)算機(jī)對(duì)信息數(shù)據(jù)處理變得逐漸成熟。網(wǎng)絡(luò)也隨之發(fā)展迅速，而對(duì)于不管是個(gè)人還是企業(yè)等，網(wǎng)絡(luò)安全也被大家所重視。依據(jù)利用網(wǎng)絡(luò)來實(shí)現(xiàn)對(duì)計(jì)算機(jī)進(jìn)行保護(hù)的方向來看，防火墻依然是一種十分有效的手段。而網(wǎng)絡(luò)防火墻系統(tǒng)就是網(wǎng)絡(luò)安全技術(shù)在實(shí)際中的應(yīng)用之一。本文就是以網(wǎng)絡(luò)安全為目的，對(duì)防火墻技術(shù)從理論到應(yīng)用進(jìn)行了較為詳細(xì)的描述。

【關(guān)鍵詞】包過濾 防火墻 數(shù)據(jù)包 規(guī)則

1 概述

對(duì)于當(dāng)今社會(huì)來說，互聯(lián)通信和網(wǎng)絡(luò)應(yīng)用已經(jīng)普及，由于其本身存在的技術(shù)等問題，網(wǎng)絡(luò)安全需求是個(gè)逐漸放大的問題。自從第一個(gè)防火墻出現(xiàn)到現(xiàn)在，有關(guān)防火墻的相關(guān)產(chǎn)品及其概念也出現(xiàn)在有關(guān)技術(shù)術(shù)語中。防火墻其實(shí)是內(nèi)網(wǎng)與外網(wǎng)之間的一道安全隔離，在網(wǎng)絡(luò)安全保護(hù)方面起著重大作用。

由于個(gè)人或企業(yè)等逐漸對(duì)網(wǎng)絡(luò)安全問題重視起來，有關(guān)網(wǎng)絡(luò)安全的技術(shù)f如防火墻）也在不斷推進(jìn)研究，以至于火墻產(chǎn)品層出不窮，不斷新增各種功能。計(jì)算機(jī)技術(shù)的發(fā)展推動(dòng)防火墻技術(shù)逐漸走向成熟化，在這一方面，國內(nèi)的防火墻技術(shù)相對(duì)于國外目前依然處于落后，相較于國外的知名防火墻品牌如思科、Junipor等，國內(nèi)的防火墻產(chǎn)品還有待提高。

2 防火墻與數(shù)據(jù)包

2.1 防火墻策略簡(jiǎn)介

為了對(duì)某些Internet訪問，防火墻中的服務(wù)訪問策略提供了一個(gè)重要作用是對(duì)內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的控制。另外，該策略還提供一個(gè)作用就是對(duì)用戶訪問網(wǎng)絡(luò)的時(shí)候，對(duì)用戶的方式也進(jìn)行限制。在防火墻進(jìn)行服務(wù)訪問策略有關(guān)功能操作時(shí)候，用戶進(jìn)行設(shè)定是要有兩點(diǎn)注意

（1）禁止互聯(lián)網(wǎng)直接訪問內(nèi)部網(wǎng)絡(luò)，但是用戶可以再設(shè)定的規(guī)則下訪問互聯(lián)網(wǎng)站點(diǎn)，但前提是需要對(duì)地址進(jìn)行偽裝；

（2）當(dāng)公司網(wǎng)絡(luò)需要在互聯(lián)網(wǎng)上被訪問時(shí)，要有部分權(quán)限來訪問有關(guān)網(wǎng)絡(luò)，如FTP等有關(guān)公司工作的服務(wù)器。

對(duì)于防火墻而言，怎么實(shí)現(xiàn)具體規(guī)則的設(shè)定則是由防火墻策略來決定。下面兩條原則，是用戶在設(shè)置防火墻策略時(shí)遵循的基本原則：

（1）除非明確允許，否則禁止；

（2）除非明確禁止，否則允許某種服務(wù)。

2.2 數(shù)據(jù)包

數(shù)據(jù)包是對(duì)網(wǎng)絡(luò)消息完整體的一個(gè)稱謂，這個(gè)完整體由兩個(gè)部分組成，第一部分是包頭，包頭也叫做數(shù)據(jù)包的信息頭，其中包含了源地址和目的地址，和這兩點(diǎn)一同構(gòu)成消息體的還有用來區(qū)分使用何種IP協(xié)議的消息類型。當(dāng)前主流的三種IP消息類型包括以下三種：

（1）即Intemet控制報(bào)文協(xié)議（ICMP），控制報(bào)文數(shù)據(jù)包的包頭里所包含的是一個(gè)類型字段；

（2）傳輸控制協(xié)議（TCP），傳輸控制協(xié)議數(shù)據(jù)包的包頭中包含的是源服務(wù)端口號(hào)和目的服務(wù)端口號(hào)；

（3）用戶數(shù)據(jù)報(bào)協(xié)議（UDP），用戶數(shù)據(jù)報(bào)協(xié)議與傳輸控制協(xié)議數(shù)據(jù)包的包頭大致相同，也是包含了源和目的服務(wù)端口號(hào)。

第二部分，是用戶所發(fā)送的消息主體，相當(dāng)于信封里的信件。這樣的消息結(jié)構(gòu)，是當(dāng)前網(wǎng)絡(luò)中兩臺(tái)計(jì)算機(jī)互相通信的常見結(jié)構(gòu)，是由當(dāng)前的IP標(biāo)準(zhǔn)定義的。

3 包過濾防火墻的工作原理

添加規(guī)則，過濾流經(jīng)防火墻的數(shù)據(jù)包，是包過濾防火墻的工作原理采用包過濾技術(shù)的防火墻，通過在兩個(gè)網(wǎng)絡(luò)的連接點(diǎn)抓取數(shù)據(jù)包并進(jìn)行過濾，過濾過程中會(huì)對(duì)每個(gè)數(shù)據(jù)包中的源地址、目的地址、rCP端口號(hào)等關(guān)鍵信息進(jìn)行檢查，然后根據(jù)設(shè)置的安全策略對(duì)數(shù)據(jù)包進(jìn)行處理，將過濾后滿足規(guī)則的數(shù)據(jù)包利用網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的有關(guān)鏈路傳輸?shù)綄?duì)應(yīng)的內(nèi)網(wǎng)中去，而那些過濾沒有通過的包通過其他鏈路進(jìn)行轉(zhuǎn)發(fā)或者棄包等操作。

4 數(shù)據(jù)包過濾技術(shù)測(cè)試

為了更好測(cè)試數(shù)據(jù)包過濾工作原理，以達(dá)到實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾效果，本文將在局域網(wǎng)內(nèi)網(wǎng)關(guān)地址：10.0.0.2的主機(jī)，IP：10.0.0.15。通過網(wǎng)關(guān)連接到外網(wǎng)，使用命令：PING.利用該命令完成本文中的網(wǎng)關(guān)地址和電信DNS： 61.139.2.69之間的通信檢測(cè)

運(yùn)行防火墻，按照預(yù)先設(shè)定的過濾規(guī)則，對(duì)傳輸數(shù)據(jù)包進(jìn)行有效過濾，測(cè)試中數(shù)據(jù)包的收發(fā)在DNS、本地計(jì)算機(jī)和網(wǎng)關(guān)中順利完成相關(guān)操作。但是當(dāng)防火墻在進(jìn)行相關(guān)設(shè)置時(shí)候，例如把過濾的源地址設(shè)置：10.0.0.2，而使用到的協(xié)議改成ICMP后，在運(yùn)行防火墻的時(shí)候，局域網(wǎng)內(nèi)的主機(jī)和網(wǎng)關(guān)之間還能夠進(jìn)行數(shù)據(jù)包收發(fā)操作。但是使用PING命令的時(shí)候，則是顯示主機(jī)和網(wǎng)關(guān)之間則顯示需求超時(shí)提示。而且主機(jī)與DNS服務(wù)器之間還能夠有效的進(jìn)行數(shù)據(jù)包的發(fā)送和接受服務(wù)。

5 結(jié)論

設(shè)計(jì)的包過濾防火墻可以運(yùn)行于Windows系統(tǒng)，操作簡(jiǎn)單，具備防火墻的基本功能與防護(hù)機(jī)制：用戶能夠根據(jù)安全需求進(jìn)行相關(guān)操作規(guī)則的設(shè)定，對(duì)網(wǎng)絡(luò)傳送過來的數(shù)據(jù)包按照設(shè)定了有關(guān)規(guī)則內(nèi)容進(jìn)行有效過濾；對(duì)有威脅的站點(diǎn)進(jìn)行有效屏蔽操作；對(duì)內(nèi)網(wǎng)傳送出來的數(shù)據(jù)包和由外網(wǎng)傳送進(jìn)來的數(shù)據(jù)包會(huì)進(jìn)行過濾，可有效的防止計(jì)算機(jī)受到外部網(wǎng)絡(luò)攻擊。

參考文獻(xiàn)

[1]鄧擁軍，任愛鳳，校園網(wǎng)絡(luò)防火墻的應(yīng)用于分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007 （06）.

[2]李名選，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的嚴(yán)重問題與挑戰(zhàn)[J]，信息安全與通信保密，2001（02）.

[3]王衛(wèi)平，王旭婋，陳赫然，陳家耀.基于信息增益的防火墻過濾域排序優(yōu)化[J]，計(jì)算機(jī)系統(tǒng)應(yīng)用，2009 （07）.

[4]孫德剛，美國信息安全政策研究[J].信息安全與通信保密，2003 （01）.