周天津
摘要:防火墙是一种防护系统,在内网与外网之间构造安全屏障,根据指定的访问规则对所有流入流出的数据包进行审查、过滤,为计算机系统提供抗入侵攻击的能力,保护内网环境安全。
关键词:防火墙技术;部署;发展
中图分类号:TP393.08 文献标识码:A 文章编号:1672-9129(2020)16-0002-01
1 引言
计算机网络是为了促进信息传播、资源共享,通过不同主机、服务器互联的方式搭建的大型开放性通信网络,在现代社会很多重要基础设施的运行、管理、维护中发挥了积极作用。但计算机网络并不是毫无缺点,网络安全问题可能发生在计算机使用过程的每一个环节中,为了提供可靠的网络环境,现行各类操作系统采用了多种防范技术手段作为安全保障,防火墙技术就是其中最基础,也最必要的。防火墙技术的主要目标是在计算机联网的全时段,审查、检测传输的信息,划分、过滤高风险的信息或网络,阻拦隐藏其中的计算机病毒入侵系统。
2 防火墙技术
2.1包过滤技术。在计算机网络中,数据以“包”为单位进行传输,包头通常包含端口号、地址、协议类型等信息,包过滤技术[1]的实施过程就是使用路由器依据指定规则在网络层和传输层检查包头对应字段完成监视和过滤工作,转发符合规则的数据包,丢弃匹配失败的数据包。包过滤技术执行时间短,速度快,透明性高,但难以支持复杂过滤需求和部分协议,且没有日志记录,局限性较大,需要配合其他技术以提供更完备的安全性。
2.2应用代理技术。应用代理技术的目标同样是过滤数据包,与包过滤技术的不同点是在这种方式下,内网数据包要经过应用层的代理程序才能传输至外部网络,外网数据包同样要先传送到代理处,经过检验,符合安全策略的外网数据包才会被转发给内网。应用代理技术可以将内网与外网隔离开来,隐藏内网地址,实现数据包傳输的完全控制[2],但处理速度比包过滤的速度慢,具有一定的不透明性。
2.3状态检测与会话。状态检测是为了将相同通信端发送的数据包划分为一个整体,当来自某个发送端的首包通过了接收端安全规则的校验时,通信双方建立一个连接,这个连接被称为会话。会话建立以后,接收端不再检查来自同一个发送端的后续报文,而是直接将其进行转发,提高传输效率。若接收端没有接收到首包或首包与校验规则不匹配,其后续报文会被接收端全部丢弃,不进行接收。
2.4DPI技术。DPI技术与普通数据包过滤技术不同,DPI在检测端口、地址、协议类型的基础上增加了对数据包内容的检测,通过识别不同协议的特征字、应用层网关和行为模式等指标探测数据包的真正应用,判定其是否符合安全规则,再按照预定策略进行不同操作,完成过滤攻击、数据包流向分析等功能。
3 防火墙部署
3.1透明模式。工作在透明模式的防火墙可以看作是一个交换机,其不同区域的连接端口在同一子网中,外网和内网可以直接通过防火墙进行连接。部署透明模式时不需要为防火墙配置IP地址,也不需要更改网络拓扑或链接路由,所有数据由链路层直接进行转发,速度快,操作简单,用户友好性高。与路由模式相比,透明模式复杂性低,对已配置好的网络包容性更高,但提供的功能有所减少,安全性也略有降低。
3.2路由模式。路由模式的具体部署过程是使用防火墙的信任域连接内网,再通过不信任域完成访问外网、接收数据等功能。在这种模式下,防火墙使用源地址转换技术使所有发起向外访问申请的内网用户共享同一个公网IP,减少被恶意扫描、攻击的风险,还能解决IP地址数量不足的问题;再使用目的地址转换技术将本地服务器映射到外网中,在隐藏本地服务器真实地址的前提下,允许外网用户进行访问,保护内网安全。路由模式安全性较高,但在进行部署时需要对网络拓扑进行更改,具有一定难度。
3.3混合模式。混合模式常用于双机热备,典型组网方法是使用局域交换机或多端转发器连接主/备防火墙,同样使信任域与内网直连,不信任域与外网连接。为部分接口配置IP地址,启用虚拟路由器冗余协议,这部分接口工作过程与路由模式下的工作过程相同,同时未配置IP地址的接口相当于工作在透明模式。
4 防火墙技术的应用与发展
防火墙在构建计算机安全体系中占有重要地位,可以应用在访问策略、日志监控和安全配置等多个环节[3]。举例来说,防火墙可以依据策略表拒绝利用安全漏洞或病毒发起的非法访问,也可以在用户即将访问恶意域名时进行提醒,增强访问安全性。记录计算机运行时产生的信息访问、传输数据,形成日志,进行分析,及时处理有安全风险的数据,降低其对系统的影响。为合法用户提供应用权限,同时利用多种技术手段隐藏地址、实施服务拦截,提高信息保护的有效性。
计算机的广泛普及和信息技术的高速发展对防火墙技术的研究提出了更高的要求,为了提高安全防护体系的安全性、稳定性和功能性,对防火墙技术的探索仍需继续。从长远来看,防火墙技术未来的革新方向主要有三个方面,一是将硬件防火墙技术与现行软件防火墙体系进行整合,综合两者优势,提升整体性能。二是不断更新现有安全防护技术和引进新技术,例如静态网络地址转换技术向动态网络地址转换技术过渡;应用动态主机配置协议、虚拟专用网络技术等使防火墙具备更多功能。三是转换防火墙结构,例如部署分布式结构的防火墙,以单节点作为保护对象,减少防护难度,提升效率。
5 结语
防火墙作为基础的计算机安全防护技术具有非常广泛的应用,推进防火墙技术的创新发展也会促进计算机网络安全的进步。本文详细介绍了防火墙关键技术和三种不同的部署模式,概述了防火墙技术在防护不同环节的应用,最终对防火墙技术的发展进行了展望。
参考文献:
[1]刘恩军.计算机网络安全中防火墙技术应用分析[J].网络安全技术与应用,2020,(10):34-35.
[2]朱林.计算机网络安全中的防火墙技术应用研究[J].建筑工程技术与设计,2020,(28):3627.
[3]崔秋祥,王康,刘海东.计算机网络安全中的防火墙技术应用研究[J].电子世界,2020,(18):208.