防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

　　小編準(zhǔn)備的文論文中論述了防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)其安全體系的構(gòu)成。

　　摘要：互聯(lián)網(wǎng)到今天已經(jīng)從基本信息共享向電子商務(wù)、網(wǎng)絡(luò)應(yīng)用等更為復(fù)雜的方面發(fā)展，隨著商業(yè)應(yīng)用的增加，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。防火墻技術(shù)的引入給予管理和提高網(wǎng)絡(luò)的安全性，提供了一個(gè)必要而便捷的方式。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻技術(shù)

　　一、概述

　　網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三，通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專(zhuān)用網(wǎng)(VPN)。安裝防火墻的基本原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

　　二、防火墻技術(shù)原理

　　(一)數(shù)據(jù)包過(guò)濾技術(shù)。數(shù)據(jù)包過(guò)濾技術(shù)工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它是個(gè)人防火墻技術(shù)的第二道防護(hù)屏障。數(shù)據(jù)包過(guò)濾技術(shù)在網(wǎng)絡(luò)的入口，根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)。只有滿(mǎn)足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

　　(二)應(yīng)用網(wǎng)關(guān)技術(shù)。應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問(wèn)控制，并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來(lái)實(shí)現(xiàn)的。

　　(三)地址翻譯技術(shù)。地址翻譯技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替。地址翻譯技術(shù)主要模式有以下幾種。

　　1.靜態(tài)翻譯。按照固定的翻譯表，將主機(jī)的內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址。2.動(dòng)態(tài)翻譯。為隱藏內(nèi)部主機(jī)或擴(kuò)展的內(nèi)部網(wǎng)絡(luò)地址之間，一個(gè)大的用戶(hù)群共享一個(gè)或一組小的Internet IP地址。3.負(fù)載平衡翻譯。一個(gè)IP地址和端口被翻譯為同等配置的多個(gè)服務(wù)器。當(dāng)請(qǐng)求到達(dá)時(shí)，防火墻按照一個(gè)算法平衡所有連接到內(nèi)部的服務(wù)器。4.網(wǎng)絡(luò)冗余翻譯。多個(gè)連續(xù)被附結(jié)在一個(gè)NAT防火墻上，防火墻根據(jù)負(fù)載和可用性對(duì)連接進(jìn)行選擇和使用。

　　(四)狀態(tài)檢測(cè)技術(shù)。狀態(tài)檢測(cè)防火墻采用基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接因素加以識(shí)別。

　　三、防火墻的選擇

　　選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：

　　(一)防火墻為網(wǎng)絡(luò)系統(tǒng)的安全屏障�？倱碛谐杀痉阑饓Ξa(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本(TCO)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。當(dāng)然，對(duì)于關(guān)鍵部門(mén)來(lái)說(shuō)，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門(mén)的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門(mén)則應(yīng)另當(dāng)別論。

　　(二)防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。

　　(三)管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到，在計(jì)算防火墻的成本時(shí)，不能只簡(jiǎn)單地計(jì)算購(gòu)置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶(hù)提供良好的培訓(xùn)和售后服務(wù)。

　　(四)防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣，普通用戶(hù)通常無(wú)法判斷。即使安裝好了防火墻，如果沒(méi)有實(shí)際的外部入侵，也無(wú)從得知產(chǎn)品性能的優(yōu)劣。

　　四、安全技術(shù)的研究現(xiàn)狀和動(dòng)向

　　我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開(kāi)發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開(kāi)展研究，各部分相互協(xié)同形成有機(jī)整體。

　　因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類(lèi)步入信息社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯�、開(kāi)發(fā)和探索，以走出有中國(guó)特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過(guò)發(fā)達(dá)國(guó)家的水平，以此保證我國(guó)信息網(wǎng)絡(luò)的安全，推動(dòng)我國(guó)國(guó)民經(jīng)濟(jì)的高速發(fā)展。

　　參考文獻(xiàn)：

　　[1]黃健.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的幾點(diǎn)思考[J].魅力中國(guó),2008,2

　　[2]王應(yīng)強(qiáng).淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全[J].中共鄭州市委黨校學(xué)報(bào),2009,4

【防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用】相關(guān)文章：

計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)探討論文10-09

計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)10-05

防火墻技術(shù)10-07

芻議網(wǎng)絡(luò)安全與防火墻10-05

信息安全中防火墻技術(shù)的有效運(yùn)用論文10-10

防火墻技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用論文10-09

試論虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用10-06

網(wǎng)絡(luò)安全評(píng)價(jià)中神經(jīng)網(wǎng)絡(luò)的實(shí)踐應(yīng)用10-26

計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中虛擬機(jī)技術(shù)應(yīng)用論文10-08

紅外技術(shù)在電路故障檢測(cè)中的應(yīng)用10-05