對防火墻安全技術(shù)的剖析

1、對防火墻安全技術(shù)的剖析 摘要本文主要剖析防火墻安全技術(shù)，首先介紹了互聯(lián)網(wǎng)絡面臨的各種安全威脅，然后詳細介紹了互聯(lián)網(wǎng)絡防火墻的數(shù)據(jù)包過濾技術(shù)、代理技術(shù)、地址翻譯技術(shù)等，并且針對互聯(lián)網(wǎng)絡的防火墻配置方案進行介紹，從而保障了互聯(lián)網(wǎng)絡的安全。 關(guān)鍵詞防火墻；安全威脅；數(shù)據(jù)包過濾；地址翻譯 中圖分類號g642 文獻標識碼a 文章編號1671-5918（2016）08-0125-02 doi：10.3969/j.issn.1671-5918.2016.08.058本刊網(wǎng)址http：/ 一、概述 經(jīng)濟基礎(chǔ)決定上層建筑，日益提升的國民經(jīng)濟使得人們迫切希望在基礎(chǔ)設施建設和精神文明建設方面得到更高的發(fā)展?？茖W技術(shù)

2、水平的不斷提高，使得計算機成為了千家萬戶必不可少的基礎(chǔ)設備，而與之對應的互聯(lián)網(wǎng)絡的應用也隨之廣泛。當前我國社會已經(jīng)步入了信息時代，數(shù)字化、網(wǎng)絡化、信息化的處理方式已經(jīng)是當前的主要潮流，也必然是日后各行各業(yè)快速發(fā)展所依賴的必需設施，互聯(lián)網(wǎng)絡的開放性、共享性等基本特性都為人們的日常生產(chǎn)生活帶來了極大的便利，讓人們時時刻刻享受著更加優(yōu)質(zhì)的生活。然而，互聯(lián)網(wǎng)絡的快速發(fā)展也為其自身的安全性埋下了隱患，其自身的開發(fā)特性和共享特性，不僅方便了廣大的合法網(wǎng)民來享受網(wǎng)絡的便利服務，同時也為網(wǎng)絡惡意攻擊者提供了可乘之機。網(wǎng)絡惡意攻擊者利用網(wǎng)絡中存在的安全漏洞，根據(jù)自己特定的意圖非法獲取網(wǎng)絡中的資源，以達到自己惡意

3、的攻擊目的，為社會的安定團結(jié)以及企業(yè)的經(jīng)濟發(fā)展都帶來了很大的威脅和挑戰(zhàn)，如何有效地拒絕惡意攻擊者的攻擊鏈，有效地相應網(wǎng)民的合法請求，是當前互聯(lián)網(wǎng)絡亟須解決的難題。防火墻安全技術(shù)就是針對網(wǎng)絡非法訪問請求的問題而興起的網(wǎng)絡安全技術(shù)，是提升當前互聯(lián)網(wǎng)絡安全等級、保護私密數(shù)據(jù)信息和網(wǎng)絡設備資源的有效手段，對于有效地防御網(wǎng)絡惡意攻擊起到了決定性作用。 二、網(wǎng)絡面臨的安全威脅 其實我們的互聯(lián)網(wǎng)絡是非常脆弱的，它無時無刻不在受到各種各樣的威脅。整體看來，互聯(lián)網(wǎng)絡受到的安全威脅主要分為兩類。第一類是包括地震、山洪、海嘯等自然災害或者火災等人為的意外事故外部安全威脅，另一類則是網(wǎng)絡內(nèi)部的惡意攻擊、木馬病毒感染、

4、數(shù)據(jù)泄露或損壞、網(wǎng)絡黑客非法入侵等各種內(nèi)在的網(wǎng)絡威脅。相對于第一類來說，第二類安全威脅更加難以預防和抵御，也為整個互聯(lián)網(wǎng)絡的安全應用帶來了極大的挑戰(zhàn)。 就一般的網(wǎng)絡攻擊而言，形式各種各樣，但是總體看來主要包括以下幾個方面：（1）網(wǎng)絡竊聽，即方法記錄網(wǎng)絡其他用戶的傳輸數(shù)據(jù)、私密文件、鍵盤敲擊記錄等；（2）網(wǎng)絡欺騙，即通過各種方法手段來篡改或改變合法資源，最終實現(xiàn)獲取關(guān)鍵數(shù)據(jù)信息的社會工程學攻擊手段；（3）拒絕服務攻擊，主要是利用軟件中或者網(wǎng)絡協(xié)議中存在的安全漏洞，通過資源耗盡的方式或者其他欺騙手段，使正常服務的設備不能對合法的請求進行相應的攻擊手段；（4）數(shù)據(jù)攻擊，主要包括利用程序或者系統(tǒng)中的安

5、全漏洞實現(xiàn)sql注入、xss攻擊、緩沖區(qū)溢出攻擊等各種攻擊形式。 而這些網(wǎng)絡攻擊的具體實現(xiàn)，則是通過各種技術(shù)或者工具來實現(xiàn)。網(wǎng)絡竊聽或欺騙，大都使用木馬或其他惡意代碼片段，通過植入正常合法的程序或者系統(tǒng)中運行，最終為網(wǎng)絡攻擊者提供了攻擊后門或者將系統(tǒng)的接口或基本信息反彈到惡意攻擊者的電腦上，然后通過執(zhí)行攻擊代碼或者指令實現(xiàn)對網(wǎng)絡設備的控制或者實現(xiàn)對內(nèi)部核心數(shù)據(jù)的竊取等攻擊目的。拒絕服務攻擊即為dos攻擊或ddos攻擊，一般實現(xiàn)手段是借助一些第三方的攻擊工具，是提供正常服務的服務器不能在響應合法用戶的合法請求。有的是利用分布式的攻擊電腦向目標機器發(fā)送大量類似合法的請求，從而將服務器的資源耗盡，進

6、而拒絕合法用戶的請求，有的則是利用服務器自身軟件或者協(xié)議的軟件漏洞，發(fā)送特殊的tcp或ip數(shù)據(jù)包，使服務器停滯或者死機，進而不能提供正常的服務。除此之外，針對網(wǎng)絡的工具手段五花八門，攻擊方法和形式也多種多樣，這些網(wǎng)絡攻擊手段都時時刻刻威脅著互聯(lián)網(wǎng)絡用戶和網(wǎng)絡數(shù)據(jù)的安全。 三、防火墻的關(guān)鍵技術(shù) 理想的互聯(lián)網(wǎng)絡，首先是安全的，也就是說在整個應用過程中，互聯(lián)網(wǎng)絡能夠提供不間斷的網(wǎng)絡服務，同時能夠保障互聯(lián)網(wǎng)絡傳輸?shù)臄?shù)據(jù)信息的完整性、保密性、真實性等，如果想要實現(xiàn)這些特性，則是需要從計算機科學、密碼學、信息安全技術(shù)、應用數(shù)據(jù)技術(shù)等諸多領(lǐng)域人手，來開展互聯(lián)網(wǎng)絡安全可靠的實施工作。而防火墻安全技術(shù)則是其中應

7、用最為廣泛的安全技術(shù)之一。 防火墻技術(shù)是一種隔離技術(shù)，也是一種邊界安全技術(shù)，即通過關(guān)鍵的技術(shù)手段將存在安全威脅的網(wǎng)絡攻擊隔離在外，將自己私有的局域網(wǎng)絡或者私密的數(shù)據(jù)保護起來的一種技術(shù)手段。隨著科學技術(shù)的發(fā)展，防火墻技術(shù)也多種多樣，針對不同的網(wǎng)絡、服務器、網(wǎng)絡設備或者其他隔離目的，可以采用不同的防火墻技術(shù)來實現(xiàn)。 （一）數(shù)據(jù)包過濾技術(shù) 數(shù)據(jù)包過濾技術(shù)是指對互聯(lián)網(wǎng)中在路由跳轉(zhuǎn)的數(shù)據(jù)包進行有效篩選過濾的一種技術(shù)。我們知道，不同局域網(wǎng)絡是通過廣域網(wǎng)連接起來的，這就有了內(nèi)網(wǎng)和外網(wǎng)的區(qū)別，而防火墻就是搭建在內(nèi)網(wǎng)與外網(wǎng)之間，實現(xiàn)網(wǎng)絡隔離的技術(shù)。如果外網(wǎng)的數(shù)據(jù)想要進入內(nèi)網(wǎng)，或者內(nèi)網(wǎng)的數(shù)據(jù)想要進入外網(wǎng)，就必須先

8、要經(jīng)過防火墻過濾，如果發(fā)送的數(shù)據(jù)包不符合某項數(shù)據(jù)包過濾的規(guī)則，那么該數(shù)據(jù)包就是一個可疑的數(shù)據(jù)包，路由器將拒絕數(shù)據(jù)傳送，從而有效地實現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)之間的隔離。 此時的數(shù)據(jù)包過濾防火墻，其實就是一個帶有數(shù)據(jù)包過濾功能的路由器，在網(wǎng)絡搭建時，對路由器進行過濾規(guī)則配置，如添加可以tp等，當有符合規(guī)則的數(shù)據(jù)包發(fā)送過來，防火墻就會采用相應的措施。此時的防火墻，會對所有的內(nèi)網(wǎng)到外網(wǎng)和外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包進行逐一過濾，以判斷其與過濾規(guī)則的匹配程度，所以對于數(shù)據(jù)包過濾防火墻而言，規(guī)則設置是非常重要的。值得注意的事，在網(wǎng)絡安全的數(shù)據(jù)包過濾規(guī)則設定時，可以采用白名單策略或者采用黑名單策略的方式來設置，這可以根據(jù)網(wǎng)絡安

9、全需求以及安全等級要求來選擇。白名單策略是允許通過策略，這個策略要相對嚴格很多，也就是說，在指定的規(guī)則里面，只有符合要求的才允許通過，防火墻會繼續(xù)發(fā)送該數(shù)據(jù)包，只要不在白名單規(guī)則內(nèi)的數(shù)據(jù)包，防火墻一律丟棄你。而黑名單策略則是拒絕通過策略，這個策略要寬松很多，也就是說，在指定的規(guī)則里面，只要符合黑名單規(guī)則里面的數(shù)據(jù)包，防火墻一律丟棄，只要不符合的數(shù)據(jù)包，防火墻一律允許通過。由于不在規(guī)則內(nèi)的數(shù)據(jù)包類型非常多，所以黑名單允許通過的數(shù)據(jù)包要遠遠大于白名單允許通過的數(shù)據(jù)包。 （二）代理技術(shù) 代理技術(shù)是指在使用代理服務器的方式，將需要把保護的網(wǎng)絡資源隔離開來，來自外網(wǎng)的訪問請求，首先需要發(fā)送到代理服務器，

10、代理服務器經(jīng)過相應的處理后再轉(zhuǎn)發(fā)給網(wǎng)絡系統(tǒng)或資源。代理技術(shù)實現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)的有效隔離，即使是外網(wǎng)有惡意攻擊者來攻擊保護資源，也需要首先經(jīng)過代理服務器，而代理服務器自身的身份認證技術(shù)、詳細日志記錄功能以及日志內(nèi)容審計功能等，都是對內(nèi)網(wǎng)資源有效的保護。特別的，代理技術(shù)的實現(xiàn)，是通過服務器作為代理來操作的，那么該防火墻的設備性能是非常優(yōu)越的，可以在代理服務器上設置非常強大的安全規(guī)則和審計，從而有效地保障內(nèi)網(wǎng)與外網(wǎng)之間的隔離，使內(nèi)網(wǎng)資源得到有效保護。 （三）ip地址翻譯技術(shù) 在互聯(lián)網(wǎng)絡中，每一個計算機的唯一標識就是ip地址，即每個計算機想要訪問公網(wǎng)資源，必須具有獨立ip地址。然而ipv4地址資源已經(jīng)用

11、完這已經(jīng)是一個現(xiàn)實，在公網(wǎng)上面，已經(jīng)沒有閑置的ipv4供其他局域網(wǎng)的用戶使用，這就給當前互聯(lián)網(wǎng)絡的規(guī)模擴充帶來了極大的限制。當然，現(xiàn)在ipv6協(xié)議的出現(xiàn)基本上解決了ip資源枯竭的問題，然而防火墻ip地址翻譯技術(shù)也在一定程度上，緩解了ipv4資源枯竭帶來的問題。 一般的，一個局域網(wǎng)只會從公網(wǎng)上分配若干個ip地址資源，根據(jù)這些ip資源，來確定該局域網(wǎng)在互聯(lián)網(wǎng)絡中的唯一性。而局域網(wǎng)絡內(nèi)部，則是使用自己的網(wǎng)關(guān)和掩碼，這樣一來，局域網(wǎng)內(nèi)的計算機在某個特定的ipv4網(wǎng)段內(nèi)部，數(shù)據(jù)急劇增加。然后tcp/ip協(xié)議是實現(xiàn)互聯(lián)網(wǎng)絡中兩個計算機的進程之間的數(shù)據(jù)傳輸，也是通過ip來識別的，在不同局域網(wǎng)絡中的計算機的識

12、別，則是通過ip地址翻譯技術(shù)來實現(xiàn)的。 四、防火墻安全方案部署 針對防火墻的部署，是實現(xiàn)安全邊界的部署，主要是在想保護和隔離的資源邊界部署防火墻。一般的，防火墻的部署主要在三個區(qū)域，第一個區(qū)域在外網(wǎng)與內(nèi)網(wǎng)的交界處設置防火墻，這樣從外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)以及從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)傳輸都會被防火墻的安全規(guī)則過濾，并且按照相應的策略進行處理，進而實現(xiàn)網(wǎng)絡惡意攻擊的有效隔離；第二層防火墻一般部署在局域網(wǎng)中的服務器與局域網(wǎng)絡之間，實現(xiàn)系統(tǒng)服務器與局域網(wǎng)絡的隔離，服務器提供的服務為專門的服務器，防火墻可以實現(xiàn)對局域網(wǎng)訪問用戶的身份認證以及相關(guān)操作和訪問的日志記錄，并且對訪問日志進行安全審計以主動抵御網(wǎng)絡安全攻擊；第三層是在數(shù)據(jù)庫服務器與應用服務器之間設置防火墻，很多局域網(wǎng)系統(tǒng)的核心價值是企業(yè)的數(shù)據(jù)信息，在應用服務器與數(shù)據(jù)庫服務器之間設置防火墻可以有效地加強整個