對(duì)防火墻安全技術(shù)的剖析

1、對(duì)防火墻安全技術(shù)的剖析 摘要本文主要剖析防火墻安全技術(shù)，首先介紹了互聯(lián)網(wǎng)絡(luò)面臨的各種安全威脅，然后詳細(xì)介紹了互聯(lián)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包過(guò)濾技術(shù)、代理技術(shù)、地址翻譯技術(shù)等，并且針對(duì)互聯(lián)網(wǎng)絡(luò)的防火墻配置方案進(jìn)行介紹，從而保障了互聯(lián)網(wǎng)絡(luò)的安全。 關(guān)鍵詞防火墻；安全威脅；數(shù)據(jù)包過(guò)濾；地址翻譯 中圖分類號(hào)g642 文獻(xiàn)標(biāo)識(shí)碼a 文章編號(hào)1671-5918（2016）08-0125-02 doi：10.3969/j.issn.1671-5918.2016.08.058本刊網(wǎng)址http：/ 一、概述 經(jīng)濟(jì)基礎(chǔ)決定上層建筑，日益提升的國(guó)民經(jīng)濟(jì)使得人們迫切希望在基礎(chǔ)設(shè)施建設(shè)和精神文明建設(shè)方面得到更高的發(fā)展?？茖W(xué)技術(shù)

2、水平的不斷提高，使得計(jì)算機(jī)成為了千家萬(wàn)戶必不可少的基礎(chǔ)設(shè)備，而與之對(duì)應(yīng)的互聯(lián)網(wǎng)絡(luò)的應(yīng)用也隨之廣泛。當(dāng)前我國(guó)社會(huì)已經(jīng)步入了信息時(shí)代，數(shù)字化、網(wǎng)絡(luò)化、信息化的處理方式已經(jīng)是當(dāng)前的主要潮流，也必然是日后各行各業(yè)快速發(fā)展所依賴的必需設(shè)施，互聯(lián)網(wǎng)絡(luò)的開(kāi)放性、共享性等基本特性都為人們的日常生產(chǎn)生活帶來(lái)了極大的便利，讓人們時(shí)時(shí)刻刻享受著更加優(yōu)質(zhì)的生活。然而，互聯(lián)網(wǎng)絡(luò)的快速發(fā)展也為其自身的安全性埋下了隱患，其自身的開(kāi)發(fā)特性和共享特性，不僅方便了廣大的合法網(wǎng)民來(lái)享受網(wǎng)絡(luò)的便利服務(wù)，同時(shí)也為網(wǎng)絡(luò)惡意攻擊者提供了可乘之機(jī)。網(wǎng)絡(luò)惡意攻擊者利用網(wǎng)絡(luò)中存在的安全漏洞，根據(jù)自己特定的意圖非法獲取網(wǎng)絡(luò)中的資源，以達(dá)到自己惡意

3、的攻擊目的，為社會(huì)的安定團(tuán)結(jié)以及企業(yè)的經(jīng)濟(jì)發(fā)展都帶來(lái)了很大的威脅和挑戰(zhàn)，如何有效地拒絕惡意攻擊者的攻擊鏈，有效地相應(yīng)網(wǎng)民的合法請(qǐng)求，是當(dāng)前互聯(lián)網(wǎng)絡(luò)亟須解決的難題。防火墻安全技術(shù)就是針對(duì)網(wǎng)絡(luò)非法訪問(wèn)請(qǐng)求的問(wèn)題而興起的網(wǎng)絡(luò)安全技術(shù)，是提升當(dāng)前互聯(lián)網(wǎng)絡(luò)安全等級(jí)、保護(hù)私密數(shù)據(jù)信息和網(wǎng)絡(luò)設(shè)備資源的有效手段，對(duì)于有效地防御網(wǎng)絡(luò)惡意攻擊起到了決定性作用。 二、網(wǎng)絡(luò)面臨的安全威脅 其實(shí)我們的互聯(lián)網(wǎng)絡(luò)是非常脆弱的，它無(wú)時(shí)無(wú)刻不在受到各種各樣的威脅。整體看來(lái)，互聯(lián)網(wǎng)絡(luò)受到的安全威脅主要分為兩類。第一類是包括地震、山洪、海嘯等自然災(zāi)害或者火災(zāi)等人為的意外事故外部安全威脅，另一類則是網(wǎng)絡(luò)內(nèi)部的惡意攻擊、木馬病毒感染、

4、數(shù)據(jù)泄露或損壞、網(wǎng)絡(luò)黑客非法入侵等各種內(nèi)在的網(wǎng)絡(luò)威脅。相對(duì)于第一類來(lái)說(shuō)，第二類安全威脅更加難以預(yù)防和抵御，也為整個(gè)互聯(lián)網(wǎng)絡(luò)的安全應(yīng)用帶來(lái)了極大的挑戰(zhàn)。 就一般的網(wǎng)絡(luò)攻擊而言，形式各種各樣，但是總體看來(lái)主要包括以下幾個(gè)方面：（1）網(wǎng)絡(luò)竊聽(tīng)，即方法記錄網(wǎng)絡(luò)其他用戶的傳輸數(shù)據(jù)、私密文件、鍵盤敲擊記錄等；（2）網(wǎng)絡(luò)欺騙，即通過(guò)各種方法手段來(lái)篡改或改變合法資源，最終實(shí)現(xiàn)獲取關(guān)鍵數(shù)據(jù)信息的社會(huì)工程學(xué)攻擊手段；（3）拒絕服務(wù)攻擊，主要是利用軟件中或者網(wǎng)絡(luò)協(xié)議中存在的安全漏洞，通過(guò)資源耗盡的方式或者其他欺騙手段，使正常服務(wù)的設(shè)備不能對(duì)合法的請(qǐng)求進(jìn)行相應(yīng)的攻擊手段；（4）數(shù)據(jù)攻擊，主要包括利用程序或者系統(tǒng)中的安

5、全漏洞實(shí)現(xiàn)sql注入、xss攻擊、緩沖區(qū)溢出攻擊等各種攻擊形式。 而這些網(wǎng)絡(luò)攻擊的具體實(shí)現(xiàn)，則是通過(guò)各種技術(shù)或者工具來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)竊聽(tīng)或欺騙，大都使用木馬或其他惡意代碼片段，通過(guò)植入正常合法的程序或者系統(tǒng)中運(yùn)行，最終為網(wǎng)絡(luò)攻擊者提供了攻擊后門或者將系統(tǒng)的接口或基本信息反彈到惡意攻擊者的電腦上，然后通過(guò)執(zhí)行攻擊代碼或者指令實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的控制或者實(shí)現(xiàn)對(duì)內(nèi)部核心數(shù)據(jù)的竊取等攻擊目的。拒絕服務(wù)攻擊即為dos攻擊或ddos攻擊，一般實(shí)現(xiàn)手段是借助一些第三方的攻擊工具，是提供正常服務(wù)的服務(wù)器不能在響應(yīng)合法用戶的合法請(qǐng)求。有的是利用分布式的攻擊電腦向目標(biāo)機(jī)器發(fā)送大量類似合法的請(qǐng)求，從而將服務(wù)器的資源耗盡，進(jìn)

6、而拒絕合法用戶的請(qǐng)求，有的則是利用服務(wù)器自身軟件或者協(xié)議的軟件漏洞，發(fā)送特殊的tcp或ip數(shù)據(jù)包，使服務(wù)器停滯或者死機(jī)，進(jìn)而不能提供正常的服務(wù)。除此之外，針對(duì)網(wǎng)絡(luò)的工具手段五花八門，攻擊方法和形式也多種多樣，這些網(wǎng)絡(luò)攻擊手段都時(shí)時(shí)刻刻威脅著互聯(lián)網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)數(shù)據(jù)的安全。 三、防火墻的關(guān)鍵技術(shù) 理想的互聯(lián)網(wǎng)絡(luò)，首先是安全的，也就是說(shuō)在整個(gè)應(yīng)用過(guò)程中，互聯(lián)網(wǎng)絡(luò)能夠提供不間斷的網(wǎng)絡(luò)服務(wù)，同時(shí)能夠保障互聯(lián)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息的完整性、保密性、真實(shí)性等，如果想要實(shí)現(xiàn)這些特性，則是需要從計(jì)算機(jī)科學(xué)、密碼學(xué)、信息安全技術(shù)、應(yīng)用數(shù)據(jù)技術(shù)等諸多領(lǐng)域人手，來(lái)開(kāi)展互聯(lián)網(wǎng)絡(luò)安全可靠的實(shí)施工作。而防火墻安全技術(shù)則是其中應(yīng)

7、用最為廣泛的安全技術(shù)之一。 防火墻技術(shù)是一種隔離技術(shù)，也是一種邊界安全技術(shù)，即通過(guò)關(guān)鍵的技術(shù)手段將存在安全威脅的網(wǎng)絡(luò)攻擊隔離在外，將自己私有的局域網(wǎng)絡(luò)或者私密的數(shù)據(jù)保護(hù)起來(lái)的一種技術(shù)手段。隨著科學(xué)技術(shù)的發(fā)展，防火墻技術(shù)也多種多樣，針對(duì)不同的網(wǎng)絡(luò)、服務(wù)器、網(wǎng)絡(luò)設(shè)備或者其他隔離目的，可以采用不同的防火墻技術(shù)來(lái)實(shí)現(xiàn)。 （一）數(shù)據(jù)包過(guò)濾技術(shù) 數(shù)據(jù)包過(guò)濾技術(shù)是指對(duì)互聯(lián)網(wǎng)中在路由跳轉(zhuǎn)的數(shù)據(jù)包進(jìn)行有效篩選過(guò)濾的一種技術(shù)。我們知道，不同局域網(wǎng)絡(luò)是通過(guò)廣域網(wǎng)連接起來(lái)的，這就有了內(nèi)網(wǎng)和外網(wǎng)的區(qū)別，而防火墻就是搭建在內(nèi)網(wǎng)與外網(wǎng)之間，實(shí)現(xiàn)網(wǎng)絡(luò)隔離的技術(shù)。如果外網(wǎng)的數(shù)據(jù)想要進(jìn)入內(nèi)網(wǎng)，或者內(nèi)網(wǎng)的數(shù)據(jù)想要進(jìn)入外網(wǎng)，就必須先

8、要經(jīng)過(guò)防火墻過(guò)濾，如果發(fā)送的數(shù)據(jù)包不符合某項(xiàng)數(shù)據(jù)包過(guò)濾的規(guī)則，那么該數(shù)據(jù)包就是一個(gè)可疑的數(shù)據(jù)包，路由器將拒絕數(shù)據(jù)傳送，從而有效地實(shí)現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)之間的隔離。 此時(shí)的數(shù)據(jù)包過(guò)濾防火墻，其實(shí)就是一個(gè)帶有數(shù)據(jù)包過(guò)濾功能的路由器，在網(wǎng)絡(luò)搭建時(shí)，對(duì)路由器進(jìn)行過(guò)濾規(guī)則配置，如添加可以tp等，當(dāng)有符合規(guī)則的數(shù)據(jù)包發(fā)送過(guò)來(lái)，防火墻就會(huì)采用相應(yīng)的措施。此時(shí)的防火墻，會(huì)對(duì)所有的內(nèi)網(wǎng)到外網(wǎng)和外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行逐一過(guò)濾，以判斷其與過(guò)濾規(guī)則的匹配程度，所以對(duì)于數(shù)據(jù)包過(guò)濾防火墻而言，規(guī)則設(shè)置是非常重要的。值得注意的事，在網(wǎng)絡(luò)安全的數(shù)據(jù)包過(guò)濾規(guī)則設(shè)定時(shí)，可以采用白名單策略或者采用黑名單策略的方式來(lái)設(shè)置，這可以根據(jù)網(wǎng)絡(luò)安

9、全需求以及安全等級(jí)要求來(lái)選擇。白名單策略是允許通過(guò)策略，這個(gè)策略要相對(duì)嚴(yán)格很多，也就是說(shuō)，在指定的規(guī)則里面，只有符合要求的才允許通過(guò)，防火墻會(huì)繼續(xù)發(fā)送該數(shù)據(jù)包，只要不在白名單規(guī)則內(nèi)的數(shù)據(jù)包，防火墻一律丟棄你。而黑名單策略則是拒絕通過(guò)策略，這個(gè)策略要寬松很多，也就是說(shuō)，在指定的規(guī)則里面，只要符合黑名單規(guī)則里面的數(shù)據(jù)包，防火墻一律丟棄，只要不符合的數(shù)據(jù)包，防火墻一律允許通過(guò)。由于不在規(guī)則內(nèi)的數(shù)據(jù)包類型非常多，所以黑名單允許通過(guò)的數(shù)據(jù)包要遠(yuǎn)遠(yuǎn)大于白名單允許通過(guò)的數(shù)據(jù)包。 （二）代理技術(shù) 代理技術(shù)是指在使用代理服務(wù)器的方式，將需要把保護(hù)的網(wǎng)絡(luò)資源隔離開(kāi)來(lái)，來(lái)自外網(wǎng)的訪問(wèn)請(qǐng)求，首先需要發(fā)送到代理服務(wù)器，

10、代理服務(wù)器經(jīng)過(guò)相應(yīng)的處理后再轉(zhuǎn)發(fā)給網(wǎng)絡(luò)系統(tǒng)或資源。代理技術(shù)實(shí)現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)的有效隔離，即使是外網(wǎng)有惡意攻擊者來(lái)攻擊保護(hù)資源，也需要首先經(jīng)過(guò)代理服務(wù)器，而代理服務(wù)器自身的身份認(rèn)證技術(shù)、詳細(xì)日志記錄功能以及日志內(nèi)容審計(jì)功能等，都是對(duì)內(nèi)網(wǎng)資源有效的保護(hù)。特別的，代理技術(shù)的實(shí)現(xiàn)，是通過(guò)服務(wù)器作為代理來(lái)操作的，那么該防火墻的設(shè)備性能是非常優(yōu)越的，可以在代理服務(wù)器上設(shè)置非常強(qiáng)大的安全規(guī)則和審計(jì)，從而有效地保障內(nèi)網(wǎng)與外網(wǎng)之間的隔離，使內(nèi)網(wǎng)資源得到有效保護(hù)。 （三）ip地址翻譯技術(shù) 在互聯(lián)網(wǎng)絡(luò)中，每一個(gè)計(jì)算機(jī)的唯一標(biāo)識(shí)就是ip地址，即每個(gè)計(jì)算機(jī)想要訪問(wèn)公網(wǎng)資源，必須具有獨(dú)立ip地址。然而ipv4地址資源已經(jīng)用

11、完這已經(jīng)是一個(gè)現(xiàn)實(shí)，在公網(wǎng)上面，已經(jīng)沒(méi)有閑置的ipv4供其他局域網(wǎng)的用戶使用，這就給當(dāng)前互聯(lián)網(wǎng)絡(luò)的規(guī)模擴(kuò)充帶來(lái)了極大的限制。當(dāng)然，現(xiàn)在ipv6協(xié)議的出現(xiàn)基本上解決了ip資源枯竭的問(wèn)題，然而防火墻ip地址翻譯技術(shù)也在一定程度上，緩解了ipv4資源枯竭帶來(lái)的問(wèn)題。 一般的，一個(gè)局域網(wǎng)只會(huì)從公網(wǎng)上分配若干個(gè)ip地址資源，根據(jù)這些ip資源，來(lái)確定該局域網(wǎng)在互聯(lián)網(wǎng)絡(luò)中的唯一性。而局域網(wǎng)絡(luò)內(nèi)部，則是使用自己的網(wǎng)關(guān)和掩碼，這樣一來(lái)，局域網(wǎng)內(nèi)的計(jì)算機(jī)在某個(gè)特定的ipv4網(wǎng)段內(nèi)部，數(shù)據(jù)急劇增加。然后tcp/ip協(xié)議是實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)中兩個(gè)計(jì)算機(jī)的進(jìn)程之間的數(shù)據(jù)傳輸，也是通過(guò)ip來(lái)識(shí)別的，在不同局域網(wǎng)絡(luò)中的計(jì)算機(jī)的識(shí)

12、別，則是通過(guò)ip地址翻譯技術(shù)來(lái)實(shí)現(xiàn)的。 四、防火墻安全方案部署 針對(duì)防火墻的部署，是實(shí)現(xiàn)安全邊界的部署，主要是在想保護(hù)和隔離的資源邊界部署防火墻。一般的，防火墻的部署主要在三個(gè)區(qū)域，第一個(gè)區(qū)域在外網(wǎng)與內(nèi)網(wǎng)的交界處設(shè)置防火墻，這樣從外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)以及從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)傳輸都會(huì)被防火墻的安全規(guī)則過(guò)濾，并且按照相應(yīng)的策略進(jìn)行處理，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)惡意攻擊的有效隔離；第二層防火墻一般部署在局域網(wǎng)中的服務(wù)器與局域網(wǎng)絡(luò)之間，實(shí)現(xiàn)系統(tǒng)服務(wù)器與局域網(wǎng)絡(luò)的隔離，服務(wù)器提供的服務(wù)為專門的服務(wù)器，防火墻可以實(shí)現(xiàn)對(duì)局域網(wǎng)訪問(wèn)用戶的身份認(rèn)證以及相關(guān)操作和訪問(wèn)的日志記錄，并且對(duì)訪問(wèn)日志進(jìn)行安全審計(jì)以主動(dòng)抵御網(wǎng)絡(luò)安全攻擊；第三層是在數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器之間設(shè)置防火墻，很多局域網(wǎng)系統(tǒng)的核心價(jià)值是企業(yè)的數(shù)據(jù)信息，在應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器之間設(shè)置防火墻可以有效地加強(qiáng)整個(gè)