防火墻在網(wǎng)絡(luò)安全訪問控制的運(yùn)用

1、防火墻在網(wǎng)絡(luò)安全訪問控制的運(yùn)用 摘要：簡要介紹了防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用，列舉了防火墻在網(wǎng)絡(luò)安全訪問中應(yīng)用的幾種模式，并分析了未來防火墻技術(shù)的發(fā)展趨勢，旨在加強(qiáng)公眾對防火墻技術(shù)的了解和認(rèn)識，以便于維護(hù)網(wǎng)絡(luò)的安全使用。 關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用探究 當(dāng)前，隨著社會的進(jìn)步和科學(xué)的發(fā)展，以互聯(lián)網(wǎng)為代表的先進(jìn)技術(shù)逐漸深入人們的工作和生活，并帶來了巨大的便利。而互聯(lián)網(wǎng)技術(shù)作為一把“雙刃劍”，其網(wǎng)絡(luò)安全問題也時(shí)刻威脅著人們的生產(chǎn)生活，盡管其影響力大、破壞性強(qiáng)，但在入侵過程中卻往往難以被人察覺。從本質(zhì)來說，網(wǎng)絡(luò)安全能夠通過訪問控制和通信安全兩種服務(wù)來保障自身安全，而防火墻是網(wǎng)絡(luò)入口的首要防

2、線，這種服務(wù)要達(dá)到最佳效果，需要防火墻技術(shù)與加密技術(shù)聯(lián)合防護(hù)。實(shí)踐證明，防火墻技術(shù)的網(wǎng)絡(luò)防御效果顯著，并且能夠廣泛用于各個(gè)領(lǐng)域，有效保障網(wǎng)絡(luò)安全。隨著科學(xué)的發(fā)展，防火墻技術(shù)也會不斷進(jìn)步與發(fā)展，實(shí)時(shí)保障用戶的網(wǎng)絡(luò)安全。 1概述 11基本概念 所謂防火墻，就其概念而言來源于建筑學(xué)，意指防止火災(zāi)從建筑物燃燒至另一建筑物的阻礙物，而網(wǎng)絡(luò)上防火墻意指防止網(wǎng)絡(luò)入侵的阻擋技術(shù)。有些工程師將防火墻定義為：計(jì)算機(jī)系統(tǒng)中所有通信無論是由內(nèi)部到外部或是外部到內(nèi)部都必須經(jīng)過的，并且只有內(nèi)部訪問權(quán)的通信方允許通過的技術(shù)。實(shí)質(zhì)上，防火墻即為一種隔離控制技術(shù)，以增強(qiáng)系統(tǒng)內(nèi)部網(wǎng)絡(luò)的可靠性，保障用戶安全為目的。 12基本功能

3、作為保障用戶網(wǎng)絡(luò)安全的重要技術(shù)，防火墻主要有以下基本功能：（1）防止用戶內(nèi)部信息的泄露。使用防火墻技術(shù)能夠?qū)⒂?jì)算機(jī)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，隔離重點(diǎn)網(wǎng)，以防出現(xiàn)局部網(wǎng)不安全造成全局網(wǎng)不安全的現(xiàn)象。此外，防火墻技術(shù)通過對進(jìn)入系統(tǒng)的用戶身份進(jìn)行嚴(yán)格驗(yàn)證，對網(wǎng)絡(luò)進(jìn)行相應(yīng)技術(shù)加密，能夠有效防止入侵者竊取用戶數(shù)據(jù)信息。（2）增強(qiáng)網(wǎng)絡(luò)安全策略。防火墻能夠利用其執(zhí)行站點(diǎn)的安全模式把保障系統(tǒng)安全的相應(yīng)指令、加密等軟件與防火墻連接在一起，與傳統(tǒng)防護(hù)模式中各個(gè)系統(tǒng)主機(jī)共同處理網(wǎng)絡(luò)安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網(wǎng)絡(luò)安全。主要表現(xiàn)在防火墻可以阻止不安全的進(jìn)程，減小入侵風(fēng)險(xiǎn)，保障

4、網(wǎng)絡(luò)安全。此外，防火墻還能拒絕部分來自路由的攻擊，并報(bào)告給網(wǎng)絡(luò)管理員，以盡可能減少對其他用戶造成麻煩的情況。（4）網(wǎng)絡(luò)存取及訪問監(jiān)控審計(jì)。防火墻能有效記錄網(wǎng)絡(luò)活動并對可疑動作提供報(bào)警功能。為管理員提供誰在訪問網(wǎng)絡(luò)、在網(wǎng)絡(luò)上做什么等信息，當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 2防火墻的分類 2.1電路級網(wǎng)關(guān)防火墻 電路級網(wǎng)關(guān)防火墻是目前較為常見的一種防火墻，其本質(zhì)是一個(gè)用于監(jiān)控客戶機(jī)或服務(wù)器的通用代理服務(wù)器，它主要通過作用于OSI互聯(lián)網(wǎng)模型中的會話層或者TCP協(xié)議的TCP層來實(shí)現(xiàn)其功用。這種防火墻技術(shù)雖然也可應(yīng)用于多個(gè)協(xié)議，但缺陷在于對同一協(xié)議棧運(yùn)行

5、的不同應(yīng)用無法及時(shí)識別，因此此類防火墻也就不用設(shè)置相應(yīng)模塊來應(yīng)對不同的應(yīng)用。在實(shí)際工作中，電路級網(wǎng)關(guān)防火墻的代理服務(wù)器會對客戶端進(jìn)行部分修改，當(dāng)客戶端發(fā)送相應(yīng)的請求，代理服務(wù)器便對請求進(jìn)行接收，并代理客戶端完成網(wǎng)絡(luò)的連接工作?？梢钥闯?，此類防火墻能夠?qū)⒕W(wǎng)絡(luò)信息進(jìn)行隱藏，保障信息安全。 2.2應(yīng)用級網(wǎng)關(guān)防火墻 應(yīng)用級網(wǎng)關(guān)防火墻是一種應(yīng)用代理服務(wù)器，主要在內(nèi)、外部網(wǎng)絡(luò)在進(jìn)行網(wǎng)絡(luò)交換申請服務(wù)時(shí)起連接的功能，其工作方式如下：（1）驗(yàn)證用戶是否符合進(jìn)入條件，如若驗(yàn)證成功，則將用戶請求發(fā)送到內(nèi)部網(wǎng)絡(luò)的主機(jī)，此時(shí)也會對用戶進(jìn)行的操作進(jìn)行實(shí)時(shí)監(jiān)測；若發(fā)現(xiàn)危險(xiǎn)或疑似危險(xiǎn)則阻斷訪問。（2）當(dāng)用戶是由內(nèi)部網(wǎng)絡(luò)申請連

6、接外部網(wǎng)絡(luò)時(shí)，防火墻工作模式會先對內(nèi)部網(wǎng)絡(luò)發(fā)送的請求進(jìn)行接收和檢查，若合乎要求，防火墻將請求發(fā)送至外部網(wǎng)絡(luò)。由此看出，這兩種工作的工作方式恰好相反。應(yīng)用級網(wǎng)關(guān)防火墻的優(yōu)勢在于方便配置、工作環(huán)境良好，它在內(nèi)外網(wǎng)主機(jī)之間起連接作用，而不允許其直接連接，能夠有效保障使用過程中的安全性。此外，這種代理服務(wù)器還能夠?qū)τ脩舻牟僮饔涗浀酶釉敱M。 2.3靜態(tài)包過濾防火墻 靜態(tài)包過濾防火墻作用于網(wǎng)格層，對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行全面分析，再根據(jù)相應(yīng)安全策略對信息過濾，其篩選Internet防火墻路由器內(nèi)部網(wǎng)堡壘主機(jī)原則是以所監(jiān)測到的數(shù)據(jù)包的初始信息為基礎(chǔ)，允許授權(quán)信息進(jìn)出，限制危險(xiǎn)信息進(jìn)出。當(dāng)前，路由器被廣泛用

7、于網(wǎng)絡(luò)的信息傳輸，連接在內(nèi)、外部網(wǎng)路之間，因此是影響網(wǎng)絡(luò)安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產(chǎn)生作用的技術(shù)，因此從某種意義上說靜態(tài)包過濾防火墻也是一種包過濾路由器。靜態(tài)包過濾防火墻的優(yōu)勢在于簡單實(shí)用，運(yùn)行速度快，且透明性較高。這種防火墻技術(shù)的工作運(yùn)用同應(yīng)用層沒有關(guān)系，這就意味著不用對用戶主機(jī)的應(yīng)用程序進(jìn)行修改，配置和使用都顯得較為方便。它的缺點(diǎn)在于這種防火墻需要對TCL、IP等相應(yīng)協(xié)議有較深的認(rèn)識；另外這種防火墻技術(shù)不能夠?qū)τ脩舻牟僮鬟M(jìn)行鑒別。 2.4狀態(tài)監(jiān)測型防火墻 狀態(tài)監(jiān)測型防火墻的作用機(jī)制在于使用了在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎來實(shí)現(xiàn)其作用和功能。這種防火墻工作在

8、網(wǎng)絡(luò)層與鏈路層之間，可以對網(wǎng)絡(luò)通信進(jìn)行跟蹤監(jiān)測，并對相關(guān)狀態(tài)信息進(jìn)行提??；此外，狀態(tài)型監(jiān)測防火墻還能對動態(tài)鏈接表中的狀態(tài)和信息進(jìn)行儲存，并及時(shí)更新，通過信息積累不斷為下面的通信檢查提供數(shù)據(jù)支撐。狀態(tài)監(jiān)測型防火墻的另一大優(yōu)勢在于可以為類似NFS的基于端口動態(tài)分配協(xié)議的應(yīng)用提供技術(shù)支持和類似DNS的無連接的協(xié)議提供應(yīng)用支撐，相對而言，代理型網(wǎng)關(guān)防護(hù)墻和靜態(tài)包過濾型防火墻則不能支持以上應(yīng)用。綜上所述，狀態(tài)型防火墻能夠有效減少端口開放時(shí)間，并提供相應(yīng)服務(wù)支撐。它的缺點(diǎn)在于會默許內(nèi)部主機(jī)與外部網(wǎng)絡(luò)不通過第三方直接連接，對部分網(wǎng)絡(luò)安全隱患難以起到防護(hù)作用；此外，狀態(tài)監(jiān)測型防火墻不能夠?qū)τ脩舨僮鬟M(jìn)行鑒別。

9、3防火墻在網(wǎng)絡(luò)安全訪問控制中的應(yīng)用 3.1雙宿主主機(jī)模式 雙宿主主機(jī)模式是通過主機(jī)的使用來實(shí)現(xiàn)的，這臺主機(jī)擁有用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個(gè)接口。防火墻將雙宿主網(wǎng)關(guān)置于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，以阻斷IP層之間的數(shù)據(jù)傳輸。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的主機(jī)不能夠直接進(jìn)行通信，它們都只能與網(wǎng)關(guān)進(jìn)行通信，而內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信需要利用應(yīng)用層的數(shù)據(jù)共享或代理服務(wù)達(dá)成。 3.2屏蔽主機(jī)模式 屏蔽主機(jī)防火墻主要由堡壘主機(jī)和過濾路由器兩部分組成，其中堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，過濾器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。堡壘主機(jī)作為連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的唯一通道，使得外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都只能連接到堡壘主機(jī)，當(dāng)內(nèi)部網(wǎng)絡(luò)有通信需

10、求時(shí)，必須先到堡壘主機(jī)，堡壘主機(jī)再進(jìn)行判斷，并決定是否允許連接到外部網(wǎng)絡(luò)。因此，入侵者要想實(shí)現(xiàn)對用戶電腦的入侵，必須首先將主機(jī)攻克，方能到達(dá)內(nèi)部網(wǎng)絡(luò)，主機(jī)結(jié)構(gòu)如圖1所示。 33屏蔽子網(wǎng)模式 屏蔽子網(wǎng)包括堡壘主機(jī)以及兩個(gè)包過濾器等部分，其內(nèi)、外部網(wǎng)絡(luò)主機(jī)間設(shè)置具有隔離功能的子網(wǎng)，以形成隔離區(qū)，設(shè)置屏蔽子網(wǎng)的作用在于防止MAIL、Web服務(wù)器等公共服務(wù)直接通過內(nèi)外部網(wǎng)絡(luò)。通常情況下，內(nèi)、外部網(wǎng)絡(luò)都能夠訪問屏蔽子網(wǎng)，而不允許穿過子網(wǎng)進(jìn)行通信，這種配置使得當(dāng)堡壘主機(jī)被攻克時(shí)，內(nèi)部網(wǎng)絡(luò)仍然可以受到來自包過濾路由器的保護(hù)。這種屏蔽子網(wǎng)防火墻的最大好處在于為計(jì)算機(jī)多提供一層防護(hù)，因?yàn)楸仨毠タ藘蓚€(gè)路由器和一個(gè)

11、網(wǎng)關(guān)才能成功入侵。 4防火墻未來發(fā)展趨勢與展望 防火墻技術(shù)作為保障網(wǎng)絡(luò)安全的重要舉措之一，未來必將得到發(fā)展和更新。筆者認(rèn)為未來的防火墻技術(shù)將朝著多元化、智能化、高速化方向發(fā)展，可全面保障用戶信息、應(yīng)用程序與操作過程的安全，且會具有如下新的優(yōu)點(diǎn)：（1）高速性?，F(xiàn)階段，防火墻的運(yùn)行速度不夠快的問題突出，而隨著科學(xué)技術(shù)的發(fā)展，防火墻將會更多與芯片技術(shù)相融合，利用芯片提升計(jì)算的速度和精度，最終成為以芯片技術(shù)為主的全硬件型網(wǎng)關(guān)，大幅度提升網(wǎng)絡(luò)安全。（2）智能化?，F(xiàn)階段，網(wǎng)絡(luò)安全威脅主要包括病毒傳播、網(wǎng)絡(luò)攻擊、內(nèi)容控制，其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果，因此未來的防火墻技術(shù)一定是朝智能化方向發(fā)展的。（3）多元化。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，多種網(wǎng)絡(luò)模式已被運(yùn)用，未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案，為不同網(wǎng)絡(luò)設(shè)置不同技術(shù)的防火墻，為用戶提供多元化的保障。 5結(jié)語 隨著人們對網(wǎng)絡(luò)技術(shù)的運(yùn)用越來越多，依賴性越來越強(qiáng)，人們對網(wǎng)絡(luò)安全也越加重視。實(shí)踐表明，防火墻在保障網(wǎng)絡(luò)安全方面成效顯著。為應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全威脅，防火墻技術(shù)需要不斷地更新和發(fā)展，在保障網(wǎng)絡(luò)安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網(wǎng)絡(luò)安全，采用先進(jìn)技術(shù)，才能