吴名华
作为第一代防火墙技术,简单包过滤技术的防火墙功能是通过检查流经网络防火墙的每个数据包,并依照既定的安全策略判断数据包是否符合通过要求得以实现的。该技术产生于1985年,是从Cisco的IOS软件中分离并处理而得到的,经过多项功能的修补与完善,其运行速度和数据包检测效率等功能都得到了极大提升。简单包过滤技术的基础是对数据包的数据结构和内容进行全面分析,并基于数据包中的源地址、目的地址、每项IP包的端口号以及应用协议等数据内容对数据包的通过权限进行判断,以此保证数据包中的数据内容不会对计算机网络产生不良影响。在简单包过滤技术中,其数据包过滤规则主要包括源地址、目的地址、源端口、目的端口及协议类型等内容。该过滤技术依照数据过滤规则首先对数据头部进行检测,检测后决定是否将其呈递给下一级数据判断协议。尽管简单包过滤技术的检测速度快且费用较低,但由于该技术的实现是以IP层面为基础的,无法对数据包内容进行深入检测,所以其在数据包处理中针对更高协议的信息并不具备良好的理解能力。
应用层网关代理技术是由美国电报公司实验室提出的。在该技术中,防火墙技术应用到了数据应用层,并以应用层协议为基准,对应用层的数据编程和数据包开展针对性的验证与检查。在该网关代理技术中,防火墙能够对进出向数据包进行检测,从应用协议层和用户层之间提取访问控制,并通过网关复制传输数据,以有效防止客户机与不受信任的主机建立联系。
电路网关代理技术的开发始于20世纪80年代,该技术的实现是以数据传输层为基础的,并在内部端口和外部端点的TCP连接过程中设立了连接限制。这就使得数据包内容检测分为了两个TCP连接部分,一个设立在外部主机和防火墙之间,另一个则建立于防火墙和颞部主机之间。TCP连接部分的分离使得不受系统限制的TCP连接在中转过程中,其IP地址以电路层网关地址的方式呈现,并使外界能够更为直观地得知网关的目的地址的连接关系。电路层网关代理技术所开展的数据服务更多的是在传输层对非交互式应用程序进行数据分析与处理。一旦用户能够通过该网关的技术检验,那么系统便允许用户穿越网关进行系统访问与服务。在这一过程中,该网关代理技术仅用于用户和服务器间的连接,而无法对更深层的数据包进行访问和认证。
为了有效地提升计算机网络系统的防护水平和安全性,新型防火墙技术的开发采用了多级过滤技术,通过对数据包内容进行多级鉴别,以实现对假冒IP地址和危险数据的有效滤除。新型多级过滤技术通常分为三个过滤级:第一过滤级是分组过滤,能够过滤掉所有假冒的IP地址和源路由器分组IP地址;第二过滤级是应用网关进行过滤,如SMTP、FTP等网关,以实现对系统运行服务器的有效实时监测与控制;电路网关作为最后一级,是实现外部站点和内部主机连接的关键,同时对网络的运营与服务进行严格的控制与管理。
在新型防火墙的构建中,NAT技术有效地实现了计算机所有内部地址的透明转换,通过对计算机网关的内部数据进行透明化处理,使得外部网络无法获知计算机内部网络的具体数据结构。网络地址转换技术在对内部数据结构进行透明化处理的同时,也为计算机网络内部的专用网络和IP源地址提供了访问权限,进而使得新型防火墙能够对每个主机的通信内容进行记录,以有力保证不同分组送往地址的正确性。
传统防火墙技术在应用中通常会要求用户进行系统登录,或利用SOCKS等数据库路径对客户机的应用进行修改,而这些都是以数据表层结构为基础得以实现的,其本质并不具备对IP地址判断识别或数据结构转换的能力。在新型防火墙技术中,透明访问方式的采用则进一步深化了计算机网络系统对用户信息的处理层,进而有效地控制了系统登录和数据库访问式登录的错误和风险发生概率。
在防火墙产品的实际应用中,为了有效降低Telnet FTP等服务在数据远程管理中的安全风险,采取一定的用户鉴别措施和加密技术是十分必要的。新型防火墙技术则在自身系统中加入了用户鉴别和加密技术,通过采用一次性使用的口令字技术极大地提升了系统自身的用户鉴别效率和数据邮件的安全性。
为了进一步完善防火墙产品,新型防火墙技术还加入了数据审计和告警功能。其中,系统数据审计文件主要包括内核信息、一般信息、接受邮件信息及其已发信息等,并通过将不同IP地址间的数据传输内容进行对比与认证,确保计算机主机系统与其他服务器间的正常连接,从而保证数据传输准确性,并为计算机网络数据的传输奠定数据传输基础。防火墙中所采用的告警功能能够对每个数据包的UDP或TCP进行探寻处理,一旦发现数据包中的UDP或TCP存在异常,便能够通过发出声响或呈递邮件的形式报警,以便计算机网路系统及时地进行处理,有效地避免了数据包中潜在威胁对计算机网络系统的影响。
所谓的智能防火墙是指通过对数据进行统计、处理等操作来实现对数据的识别,从而实现对访问的控制功能。利用智能防火墙能够有效地防控非正规数据的访问,尤其是一些恶意数据,最关键的是在检测出非正常数据后自动对其实施阻断拦截。目前智能防火墙广泛地应用在对木马病毒的防控中。智能防火墙的智能化还体现在对黑客非法行为的监控上,比如智能防火墙能够识别出黑客的扫描行为,并且进行有效的阻断。最新的智能防火墙在自身防护性能上又进了一步,增加了反扫描技术,补充和完善了对恶意代码的识别种类。擦洗技术也是智能防火墙技术中的一项强大功能,能够对IP、ICMP等协议进行擦洗操作,保证网络协议的正常化运行,避免网络协议中出现潜在的风险影响系统运行的稳定性,并且智能防火墙在传统防火墙的基础上,完善了身份识别技术,从而有效地控制了访问身份。总体来说,智能防火墙技术解决了高危病毒易传播以及高级应用的非法入侵问题,是防火墙技术未来的一种主要趋势,势必在应对黑客攻击、消除系统潜在风险等领域取得更为广泛的应用。对于企业而言,智能防火墙还能实现对内部局域网的有效管理和监控效果。
分布式防火墙技术指依存于网络安全防护软件中的维护技术,主要包括网络防火墙、主机防火墙两种类型。其中网络防火墙主要用于对局域网与互联网之间的子网保护方面,而主机防火墙的应用较为广泛一些,主要是由于主机的位置可能在局域网内,也可能在局域网外。分布式防火墙有效改善了传统网络的不足,降低了主机位置对网络防护的影响,保护了系统的服务器以及桌面,并且支持具有身份认证的网络应用以及移动计算。分布式防火墙主要应用于企业内部局域网中,在弥补局域网内部缺陷的同时,还能防控住局域网的内部攻击,从而实现对主机的有效防护。
所谓的嵌入式防火墙技术基于路由器内部的防火墙技术,主要工作对象是IP层,从这个角度来讲,嵌入式防火墙技术无法应对来自应用层面的病毒攻击。但是嵌入式防火墙技术也有自身优点,比如不管企业内部网络如何进行变化,嵌入式防火墙技术都能够对网络甚至是网络边缘进行防护,也就是说,嵌入式防火墙技术能够保证互联网来访企业内部网络的操作安全。
深层检测防火墙技术是未来防火墙在计算机网络安全防护中的改进方向。深层检测防火墙技术能够在识别到网络信息后,对其内部数据定向到TCP/IP堆栈,并且按照基本的检测方式进行检测。深层检测防火墙技术在传统防火墙技术的基础上,补充和完善了对于恶意入侵信息的防护功能。未来的深层检测防火墙技术不仅能够对网络层进行实时保护,还能对网络应用层进行防控。尤其是对网络应用层的防护,深层检测防火墙技术凭借其更加广的检测范围以及更加有效的防控技术,势必会在网络应用层的防护中占得一席之地。
流过滤防火墙技术防护原理主要是在对包过滤进行检测的基础上,通过专业的内嵌式TCP协议栈,来实现对TCP层中应用协议信息的过滤操作。与深度检测技术相比,流过滤技术的主要优势在于能够对信息进行识别以及滞留重组,并且还能够将重组的信息流交给应用层进行过滤,实现对进入防火墙的数据实现完整的重组,从而实现对恶意攻击行为的有效拦截。
未来的防火墙技术势必会向着高性能、多功能的方向进步发展,其中可以通过对ASIC硬件加速技术来提高防火墙的运行速度,利用网络处理器,通过微码编程技术来实现系统的自由升级,就像现在的安卓系统一样,如果技术过硬,还有可能实现对IPv6的支持。未来的防火墙技术势必会集成更多的网络安全防护功能,实现网络防护功能的高度集成化,利用模块形式存放到防火墙的机箱中,从而实现网络安全设备之间的有效结合。随着我国市场经济的不断完善和发展,防火墙防护技术势必也会走向产业化。目前我国的计算机网络应用发展面临多方面的安全问题。加强计算机网络应用安全维护,不仅可以提高网络运行的安全性,也为计算机网络应用的发展奠定了坚实的基础。
[1]孙剑.浅谈计算机网络常见故障处理及维护方法[J].科技博览,2010(12):80.
[2]陈健.计算机网络安全常见问题与对策[J].信息系统工程,2012(3):68-69.
[3]郭建英.数据通信网络维护与网络安全问题的探讨[J].科技资讯,2011(26):9-10.
[4]朱翔.浅析计算机网络安全技术的发展与应用[J].中国科技信息,2007(10):106-107.