摘要:计算机网络给人们的生产生活带来诸多便利,但网络信息传输中也面临泄漏、窃取风险,为保证网络信息传输安全,人们研发并应用各种安全技术,其中防火墙技术是杰出代表,应用较为普遍。文章对防火墙类型及功能作简单分析,探讨其在计算机安全构建中的应用,以供参考。
关键词:防火墙;技术;计算机安全
防火墙技术是由硬件与软件组合而成的网络访问控制器,依据一定的安全规则对流过防火墙的网络包进行控制,以保证网络安全。目前防火墙由多种类型,构建计算机网络时可根据实际情况加以应用。
1防火墙类型
目前,防火墙类型较多,包括包过滤防护墙、状态检测防火墙、代理防火墙等,这些防火墙在维护计算机网络安全中发挥重要作用防火墙的部署位置如图l所示。其中包过滤防火墙充当“通信警察”的角色,依据防火墙规则表判断接收或拒绝包,即,防火墙依据规则对每个包进行检查,看是否相符,如均不相符则拒绝接收。另外,还可基于传输控制协议(TransmissionControlProtocol,TCP)或用户数据报协议(UserDatagramProtocol,UDP)的对数据包的端口号进行定义,确定是否建立特定连接。
状态检测防火墙在传统防火墙技术的基础上引入状态检测表,实现对访问包的放行或拦截判断。其包括TCP包与UDP包处理两个方面。针对TCP包,如没有建立相关规则处理外部连接请求,防火墙作丢弃处理。如内部需要与外部主机通讯,防火墙对连接包进行注明,允许响应便可进行包的传输,直到连接任务完成为止。针对UDP包,如传入的包携带的协议与地址和传出连接请求匹配,则允许通过,否则丢弃。
代理防火墙对进出的数据包进行检查,利用自身网关复制传递信息,避免非受信与受信主机间直接通信。该类防火墙基于应用层,不仅对一些复杂的访问进行控制,而且还能做严格、精细的审核与注册。代理防火墙的工作流程为:客户机提出访问服务器数据请求时,该请求首先发送至代理服务器,代理服务器根据请求向服务器索取相关数据后,再将数据传输给客户机。代理防火墙避免内外系统间的直接通信,降低外部入侵内部网络概率。
2防火墙功能
基于计算机网络安全需求,防火墙具备的功能较多,包括过滤、网络地址转换(NetworkAddressTranslation,NAT)、审计与报警等。其中过滤是防火墙的基本功能,通过过滤判断是否进行通信,降低访问行为可能带来的危险。例如,对统一资源定位符(UniformResourceLocator,URL)过滤可限制内网访问某些站点或相关目录等。
所谓网络地址转换指防火墙对内部主机IP地址进行翻译,防止外部监视器探测到主机IP,即,当网络数据包进入防火墙时,系统会依据设置的NAT规则对数据包进行检测,如符合某条规则,则基于规则转换数据包,并建立一条NAT进程。如有包返回,则基于进程表做相关的处理。NAT模式包括端口地址转换、动态地址池分配、静态地址映射3种形式,其中端口地址转换时,管理员可设置共有Internet地址负责转换端口地址,用户访问会映射至IP池中的IP端口上;动态地址池分配指根据设置好的共有Internet地址,随机将没有使用的IP地址给用户,用户访问结束便收回;静态地址映射指在内外IP地址间构建一一对应的静态映射关系,外部人员访问外网时,不需要与外网直接相连,保汪内网的安全性。
3防火墙应用策略
在明确防火墙类型与功能的基础上,如何结合企业业务特点,做好防火墙部署,充分发挥防火墙的防护作用,保证企业网络的安全性,一直是人们研究的热点。笔者结合自身工作实践认为部署防火墙时应认真落实以下内容。
3.1明确防火墙应用步骤
为保证防火墙的合理部署,提高部署工作效率,应用防火墙技术时应结合受保护网络的实际情况,明确部署步骤,把握部署工作要点,确保各细节考虑与落实到位。一般情况部署防火墙时可遵守以下步骤。
首先,认真分析企业网络安全需求,将网络划分成若干、合理的区域。在区域之间设置访问网络的控制点。其次,认真分析各控制点可能发出的网络访问请求,制定对应的边界安全策略,基于此,确定应用的防火墙技术以及防护结构。再次,给防火墙配置相关的边界安全策略,认真测试边界安全策略,看运行是否正常,发现问题及时进行处理。最后,正式运行防火墙。同时,做好防火墙日常维护,保证防火墙防火性能的正常发挥。
3.2遵守防火墙应用原则
部署計算机防火墙时应从设计、产品选取角度认真分析,遵守一定的原则。一方面,设计防火墙时应保持设计的简单性,保证防火墙运行效率的同时,便于后期的维护。同时,还应安排事故计划,结合以往经验,对防火墙运行中可能遇到的问题进行评估与论证,制定相关的预防策略,防止防火墙故障影响网络的正常使用。另一方面,保证防火墙产品选取的合理性。当前防火墙产品较多,部署防火墙产品时应综合考虑防火墙基本功能、企业特殊需求以及用户的访问需求等。同时,认真考虑以下细则:防火墙产品应有挂钩程序或先进的认证手段,应用的认证方法应安全、先进;界面应友好,方便编程以部署各种安全策略;为满足用户Gopher,超文本传输协议(HyperTextTransferprotocol,HTTP),网络新闻传输协议(NetworkNewsTransportProtocol,NNTP)需要,防火墙应包含相关的代理服务程序,另外,具备精简日志的能力等。
3.3做好防火墙规则设置
防火前各种功能的实现,需要管理员设置相关规则,防火墙依据设置的规则,对数据包进行判断,确定允许访问还是拒绝访问,因此,防火墙安全规则设置是否合理直接影响防火墙安全作用的发挥。防火墙设置内容较多,包括账号口令设置、访问控制设置。地址转换设置、日志管理设置等。以CISCOPIX防火墙为例,对NAT功能进行设置。
内网地址向外网地址的转换:
Nat(inside)1192.168.1.0255.255.255.0
Global(outside)110.1.1.110.1.1.4
内网地址向外网地址的映射:
Static(inside,outside)10.1.1.5192.168.0.1
Static(inside,outside)tcp10.1.1.58080192.168.1.180
NAT0的作用设置
Access-Iistnetpermitip192.168.0.0255.255.255.0any
Nat(inside)0access-listnet
另外,防火墙安全策略设置完成后,为避免因考虑不全面而出现问题,应做好防火墙运行调试,保证防火墙各种访问控制策略,无异常、稳定运行。
3.4加强防火墙安全管理
企业部署好防火墙后,并非万事大吉,还应做好防火墙运行中各种不良问题的预防工作,保证防火墙防火性能的正常发挥,具体应认真落实以下工作内容。
首先,做好防火墙运行监视。为及时发现异常,处理非法访问与攻击行为,管理员应切实履行自身管理职责,定期登录防火墙查看访问日志,研究与分析发生攻击行为的IP地址,及时进行封堵,防止攻击的进一步加剧。其次,做好相关工作优化。为提高工作效率,防火墙管理人员可将防火墙日志统一传输至日志收集服务器上,方便、系统的对防火墙访问情况进行研究、分析。同时,做好防火墙配置策略、日志文件的定期备份。最后,做好防火墙系统维护。为防止非法分子利用防火墙系统漏洞攻击企业内网,针对硬件防火墻,管理员应定期登录防火墙设备生产厂家官网,了解安全公告,及时下载与修补防火墙系统漏洞。针对软件防火墙管理员应将防火墙的自动更新功能打开,使其能及时下载、安装厂家发布的补丁。
4结语
防火墙技术在保证网络安全上发挥重要作用,随着网络安全技术的发展,防火墙防护性能较之间有很大提升,出现很多类型、功能强大的防火墙产品,应用中企业应结合自身实际,做好规划研究,保证所用防火墙产品的合理性。本研究得出以下结论:
(1)当前防火墙类型较多,包括过滤防护墙、状态检测防火墙、代理防火墙等,究竟选用何种类型的防火墙,需要企业根据自身业务特点加以确定。另外,为提高内外安全性可综合采用多种防火墙技术。
(2)部署防火墙时,应在明确防火墙功能的基础上进行,保证软硬件设置的合理性,促进防火墙防护作用的充分发挥。目前防火墙产品的功能有过滤、网络地址转换NAT.审计与报警等,企业设置防火墙功能时,应根据自己业务运用相关功能。
(3)企业部署防火墙时不能盲目,明确防火墙部署步骤,遵守一定的部署原则,做好安全策略规则设置,同时,还应认真落实防火墙运行期间的维护工作。
作者:张健强