万焱

[摘要]本文主要剖析防火墙安全技术，首先介绍了互联网络面临的各种安全威胁，然后详细介绍了互联网络防火墙的数据包过滤技术、代理技术、地址翻译技术等，并且针对互联网络的防火墙配置方案进行介绍，从而保障了互联网络的安全。

[关键词]防火墙；安全威胁；数据包过滤；地址翻译

[中图分类号]G642 [文献标识码]A [文章编号]1671-5918（2016）08-0125-02

doi：10.3969/j.issn.1671-5918.2016.08.058[本刊网址]http：//www.hbxb.net

一、概述

经济基础决定上层建筑，日益提升的国民经济使得人们迫切希望在基础设施建设和精神文明建设方面得到更高的发展。科学技术水平的不断提高，使得计算机成为了千家万户必不可少的基础设备，而与之对应的互联网络的应用也随之广泛。当前我国社会已经步入了信息时代，数字化、网络化、信息化的处理方式已经是当前的主要潮流，也必然是日后各行各业快速发展所依赖的必需设施，互联网络的开放性、共享性等基本特性都为人们的日常生产生活带来了极大的便利，让人们时时刻刻享受着更加优质的生活。然而，互联网络的快速发展也为其自身的安全性埋下了隐患，其自身的开发特性和共享特性，不仅方便了广大的合法网民来享受网络的便利服务，同时也为网络恶意攻击者提供了可乘之机。网络恶意攻击者利用网络中存在的安全漏洞，根据自己特定的意图非法获取网络中的资源，以达到自己恶意的攻击目的，为社会的安定团结以及企业的经济发展都带来了很大的威胁和挑战，如何有效地拒绝恶意攻击者的攻击链，有效地相应网民的合法请求，是当前互联网络亟须解决的难题。防火墙安全技术就是针对网络非法访问请求的问题而兴起的网络安全技术，是提升当前互联网络安全等级、保护私密数据信息和网络设备资源的有效手段，对于有效地防御网络恶意攻击起到了决定性作用。

二、网络面临的安全威胁

其实我们的互联网络是非常脆弱的，它无时无刻不在受到各种各样的威胁。整体看来，互联网络受到的安全威胁主要分为两类。第一类是包括地震、山洪、海啸等自然灾害或者火灾等人为的意外事故外部安全威胁，另一类则是网络内部的恶意攻击、木马病毒感染、数据泄露或损坏、网络黑客非法入侵等各种内在的网络威胁。相对于第一类来说，第二类安全威胁更加难以预防和抵御，也为整个互联网络的安全应用带来了极大的挑战。

就一般的网络攻击而言，形式各种各样，但是总体看来主要包括以下几个方面：（1）网络窃听，即方法记录网络其他用户的传输数据、私密文件、键盘敲击记录等；（2）网络欺骗，即通过各种方法手段来篡改或改变合法资源，最终实现获取关键数据信息的社会工程学攻击手段；（3）拒绝服务攻击，主要是利用软件中或者网络协议中存在的安全漏洞，通过资源耗尽的方式或者其他欺骗手段，使正常服务的设备不能对合法的请求进行相应的攻击手段；（4）数据攻击，主要包括利用程序或者系统中的安全漏洞实现SQL注入、XSS攻击、缓冲区溢出攻击等各种攻击形式。

而这些网络攻击的具体实现，则是通过各种技术或者工具来实现。网络窃听或欺骗，大都使用木马或其他恶意代码片段，通过植入正常合法的程序或者系统中运行，最终为网络攻击者提供了攻击后门或者将系统的接口或基本信息反弹到恶意攻击者的电脑上，然后通过执行攻击代码或者指令实现对网络设备的控制或者实现对内部核心数据的窃取等攻击目的。拒绝服务攻击即为DoS攻击或DDoS攻击，一般实现手段是借助一些第三方的攻击工具，是提供正常服务的服务器不能在响应合法用户的合法请求。有的是利用分布式的攻击电脑向目标机器发送大量类似合法的请求，从而将服务器的资源耗尽，进而拒绝合法用户的请求，有的则是利用服务器自身软件或者协议的软件漏洞，发送特殊的TCP或IP数据包，使服务器停滞或者死机，进而不能提供正常的服务。除此之外，针对网络的工具手段五花八门，攻击方法和形式也多种多样，这些网络攻击手段都时时刻刻威胁着互联网络用户和网络数据的安全。

三、防火墙的关键技术

理想的互联网络，首先是安全的，也就是说在整个应用过程中，互联网络能够提供不间断的网络服务，同时能够保障互联网络传输的数据信息的完整性、保密性、真实性等，如果想要实现这些特性，则是需要从计算机科学、密码学、信息安全技术、应用数据技术等诸多领域人手，来开展互联网络安全可靠的实施工作。而防火墙安全技术则是其中应用最为广泛的安全技术之一。

防火墙技术是一种隔离技术，也是一种边界安全技术，即通过关键的技术手段将存在安全威胁的网络攻击隔离在外，将自己私有的局域网络或者私密的数据保护起来的一种技术手段。随着科学技术的发展，防火墙技术也多种多样，针对不同的网络、服务器、网络设备或者其他隔离目的，可以采用不同的防火墙技术来实现。

（一）数据包过滤技术

数据包过滤技术是指对互联网中在路由跳转的数据包进行有效筛选过滤的一种技术。我们知道，不同局域网络是通过广域网连接起来的，这就有了内网和外网的区别，而防火墙就是搭建在内网与外网之间，实现网络隔离的技术。如果外网的数据想要进入内网，或者内网的数据想要进入外网，就必须先要经过防火墙过滤，如果发送的数据包不符合某项数据包过滤的规则，那么该数据包就是一个可疑的数据包，路由器将拒绝数据传送，从而有效地实现了内网与外网之间的隔离。

此时的数据包过滤防火墙，其实就是一个带有数据包过滤功能的路由器，在网络搭建时，对路由器进行过滤规则配置，如添加可以TP等，当有符合规则的数据包发送过来，防火墙就会采用相应的措施。此时的防火墙，会对所有的内网到外网和外网到内网的数据包进行逐一过滤，以判断其与过滤规则的匹配程度，所以对于数据包过滤防火墙而言，规则设置是非常重要的。值得注意的事，在网络安全的数据包过滤规则设定时，可以采用白名单策略或者采用黑名单策略的方式来设置，这可以根据网络安全需求以及安全等级要求来选择。白名单策略是允许通过策略，这个策略要相对严格很多，也就是说，在指定的规则里面，只有符合要求的才允许通过，防火墙会继续发送该数据包，只要不在白名单规则内的数据包，防火墙一律丢弃你。而黑名单策略则是拒绝通过策略，这个策略要宽松很多，也就是说，在指定的规则里面，只要符合黑名单规则里面的数据包，防火墙一律丢弃，只要不符合的数据包，防火墙一律允许通过。由于不在规则内的数据包类型非常多，所以黑名单允许通过的数据包要远远大于白名单允许通过的数据包。

（二）代理技术

代理技术是指在使用代理服务器的方式，将需要把保护的网络资源隔离开来，来自外网的访问请求，首先需要发送到代理服务器，代理服务器经过相应的处理后再转发给网络系统或资源。代理技术实现了内网与外网的有效隔离，即使是外网有恶意攻击者来攻击保护资源，也需要首先经过代理服务器，而代理服务器自身的身份认证技术、详细日志记录功能以及日志内容审计功能等，都是对内网资源有效的保护。特别的，代理技术的实现，是通过服务器作为代理来操作的，那么该防火墙的设备性能是非常优越的，可以在代理服务器上设置非常强大的安全规则和审计，从而有效地保障内网与外网之间的隔离，使内网资源得到有效保护。

（三）IP地址翻译技术

在互联网络中，每一个计算机的唯一标识就是IP地址，即每个计算机想要访问公网资源，必须具有独立IP地址。然而IPv4地址资源已经用完这已经是一个现实，在公网上面，已经没有闲置的IPv4供其他局域网的用户使用，这就给当前互联网络的规模扩充带来了极大的限制。当然，现在IPv6协议的出现基本上解决了IP资源枯竭的问题，然而防火墙IP地址翻译技术也在一定程度上，缓解了IPv4资源枯竭带来的问题。

一般的，一个局域网只会从公网上分配若干个IP地址资源，根据这些IP资源，来确定该局域网在互联网络中的唯一性。而局域网络内部，则是使用自己的网关和掩码，这样一来，局域网内的计算机在某个特定的IPv4网段内部，数据急剧增加。然后TCP/IP协议是实现互联网络中两个计算机的进程之间的数据传输，也是通过IP来识别的，在不同局域网络中的计算机的识别，则是通过IP地址翻译技术来实现的。

四、防火墙安全方案部署

针对防火墙的部署，是实现安全边界的部署，主要是在想保护和隔离的资源边界部署防火墙。一般的，防火墙的部署主要在三个区域，第一个区域在外网与内网的交界处设置防火墙，这样从外网到内网的数据以及从内网到外网的数据传输都会被防火墙的安全规则过滤，并且按照相应的策略进行处理，进而实现网络恶意攻击的有效隔离；第二层防火墙一般部署在局域网中的服务器与局域网络之间，实现系统服务器与局域网络的隔离，服务器提供的服务为专门的服务器，防火墙可以实现对局域网访问用户的身份认证以及相关操作和访问的日志记录，并且对访问日志进行安全审计以主动抵御网络安全攻击；第三层是在数据库服务器与应用服务器之间设置防火墙，很多局域网系统的核心价值是企业的数据信息，在应用服务器与数据库服务器之间设置防火墙可以有效地加强整个应用系统对数据访问的控制，如果是非授权访问或恶意操作，防火墙都会将该请求丢弃掉而拒绝发送，从而有效地保障核心数据的安全。

五、总结

防火墙技术在互联网络安全中应用非常广泛，是一种边界安全的思想，实现内网与外网之间，或者是被保护资源与外界之间的隔离，通过各种防火墙安全技术，对来自外界的访问进行过滤审计，并且按照指定的策略对其进行处理，从而有效地保障互联网络的安全。

（责任编辑：章樊）