应用防火墙的网络安全技术分析

林云强

摘 要：在互联网时代，网络安全问题频发，应用防火墙网络安全技术有利于网络更好的运行，保障网络环境的安全。阐述了防火墙的概念和作用，简要分析了防火墙的具体架构，从多方面说明了防火墙背景下的网络安全技术要点，并探讨了应用防火墙的网络安全技术，以期为人们提供有价值的参考。

关键词：防火墙；网络安全技术；身份验证；路由器

中图分类号：TP393.08 文献标识码：A DOI：10.15913/j.cnki.kjycx.2015.16.136

1 防火墙

防火墙是指在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最主要的目的是通过对网络入、出环节的控制，促使各环节经过防火墙的检查，从而有效预防网络遭到外来因素的破坏和干扰，达到保护内部网络不受非法访问的目的。

2 防火墙的功能

2.1 可提高网络的安全性能

防火墙的应用能大幅度提升内部网络的安全性能，降低安全风险。比如，防火墙可以迫使NFS的进、出受网络保护。此外，防火墙还能保护网络免受路由的攻击，抵挡各种不安全因素，并通知管理员。

2.2 强化网络安全

执行站点安全策略配备在防火墙内部，相比于传统的将安全问题分散到不同主机上的方式，这种集中安全管理的防火墙更加经济、安全。

2.3 监控网络的访问和存取

防火墙能有效记录各种网络活动，遇到可疑的网络活动时会报警，并为网络管理员提供全面的信息，比如谁在访问网络、在网路上访问哪些信息。一旦防火墙监控到可疑动作，就会自动报警，并提供攻击和监测的具体信息。

2.4 保护内部信息不被泄露

通过防火墙对内部网络的保护和划分，可实现对内部重点网络的保护和隔离，降低了重点局部网络安全问题对整个局域网内部的影响。应用防火墙后，网络具有了加密和身份验证功能，进一步降低了网络暴露在外的风险，从而保护内部信息不被泄露。

3 防火墙架构分析

完整的防火墙由代理服务器和屏蔽路由器组成。通过屏蔽路由器可有效预防IP欺骗性攻击。该系统硬件成本比较低、架构简单，但因缺乏用户身份验证和管理投资，很难建立包过滤规则。现阶段，越来越多的路由生产厂家开始关注并开发具有过滤规则的用户界面，积极制订用户身份标准认证协议。通过代理服务器能有效识别、屏蔽和拒绝非法请求。在该系统中，具有账号管理、记录日志、身份认证功能，但如果想全面提升安全保障力度，则需要建立应用层对应网关，但其不易被系统接受。该系统的具体实现方案是以部署内部防火墙和外部防火墙的方式实现的。部署防火墙可有效过滤各种信息，保护敏感数据不被破坏和偷窃。同时，还能详细记录有关事件的发生时间与操作行为。

4 网络安全技术要点分析

应用防火墙能提高内部网络的安全性，但并不意味着能做到万无一失。深入分析防火墙的原理和实现方式后，笔者总结了以下技术要点。

4.1 合理选择防火墙

作为一种对于网络完全有效的防护方式，防火墙有多种实现方式。在合理选择防火墙前，需要全面进行风险分析、需求分析，进一步制订安全防范策略，从而有针对性地选择防护方式，尽可能地保持安全政策与防护方式的统一性。

4.2 准确评估防火墙失效问题

在评价防火墙安全性和性能的过程中，需要查看防火墙运行是否正常、能否阻挡非法访问或恶意攻击；如果防火墙被攻破，则其状态是怎样的。按照一定的级别划分，防火墙失效有4种情况：①在没有被攻破时能正常工作；②在受到伤害时可以重新启动，并恢复至之前的工作界面；③禁止和关闭所有通行数据；④关闭且允许数据继续通行。

第一种和第二种状态比较理想，第四种状态最不安全。在选择防火墙的过程中，需要验证并准确评估其失效状态。

4.3 防火墙的动态维护

在安装防火墙和防火墙投入使用后，需对其运行状态进行动态性维护，维护和跟踪其发展动态，时刻观察动态并与之保持联系。一旦发现安全漏洞，则会积极推出补救措施，并及时更新防火墙。

4.4 可靠规则集的制订

可靠规则集的制订是使防火墙安全、有效的关键性步骤。如果防火墙的规则集不正确，则再强大的防火墙也起不到任何作用。

4.4.1 制订安全性策略

应由上级管理人员制订安全防范策略，使防火墙成为实施安全防范策略的工具。在制订规则集前，必须全面掌握安全策略，建设以下3方面的内容：①内部员工访问网络不受限制；②外部用户能使用Email服务器和Web服务器；③管理员能远程访问系统。从实际情况看，大部分部门的安全策略要远远超过上述内容。

4.4.2 积极构建安全体系

在将一项安全策略转化成技术的过程中，内部员工访问网络不受限制是比较容易实现的，这是因为内部网络中的所有数据信息都允许在网络中传输。对于外部用户能使用Email服务器和Web服务器，需要建立Email服务器和Web服务器，这是因为所有人都能访问Email服务器和Web服务器，因此，不能信任所有人。鉴于此，可以将Email服务器和Web服务器放到DMZ中去实现，DMZ是一个孤立的网络，经常存放不被信任的系统。该网络中的系统无法连接、启动内部网络。对于管理员远程访问系统而言，可通过加密服务的方式进行。笔者建议在这一过程中加入DNS，虽然上述安全策略中未陈述此项内容，但在实际运营过程中需积极提供该服务。

4.4.3 规则次序的制订

规则次序的制订非常重要。不同的规则次序排列相同的规则时，可能会彻底改变防火墙的运行情况。比如，大部分防火墙按照顺序对数据包进行检查，收到第一个数据包与第一条规则相对应，收到第二个数据包与第二条规则相对应，以此类推。如果检查到匹配选项，则会停止检查；如果没有找到匹配规则，则会拒绝该数据包。一般而言，比较特殊的规则应放在前面，比较普通的规则应放在后面。这样的方式能有效避免防火墙的错误配置。

4.4.4 落实规则集

一旦确认了规则次数和安全防范策略，就要落实每条规则。在实际落实过程中，需要注意以下8个关键点：①切断不必要的防火墙默认服务；②内部网络的所有人都能出网，任何服务都被允许，与安全策略规定吻合；③增添锁定规则，除管理员之外，其他人员都不能访问防火墙；④丢弃不匹配的数据包，且不记录；⑤允许网络用户访问DNS，允许内部用户和网络用户依照邮件传递协议访问邮件服务器，允许内部POP访问；不允许内部用户公开访问DMZ；⑥拒绝、警告、记录DMZ与内部用户之间的通话；⑦管理员能通过加密方式访问内部网络；⑧将最常用规则尽可能地放到规则集上部，进一步提升防火墙的安全性能。

4.4.5 更换控制

合理制订各项规则后，需标注详细、经常更新这些规则。详细的标注能更好地指导人们认识规则的具体内容，全面掌握规则后，出现的错误配置概率会更低。如果一个机构设有多重防火墙，则在修改规则的过程中需要标记清楚更改人员的姓名、更改原因和更改时间。

4.4.6 强化审计工作

完成规则集的制订后，下一个重要环节是检测。需要注意的是，建立有效防火墙的关键在于建立简单的规则集，错误配置是网络的最大敌人。因此，应尽可能确保规则集的简短和简洁。简单的规则集理解和掌握起来比较容易。笔者建议，规则集应在30条以内，如果1个规则集超过50条，则必将会失败。规则集越简单，出现错误配置的概率就越小，所以，简单的规则集无形之中提高了安全性能。

5 结束语

综上所述，认真研究并应用以防火墙为基础的网络安全技术有着重要的意义。本文从防火墙的概念、作用和具体架构的角度，从合理选择防火墙的策略、准确评估防火墙失效的方法、动态维护防护墙的措施和可靠规则集的制订四方面进行了讨论，详细说明了应用防火墙网络安全技术的要点，值得相关方面参考和借鉴。

参考文献

[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安徽教育学院学报，2011（02）.

[2]张晓芳.基于防火墙屏蔽技术的网络安全初探[J].无线互联科技，2012（07）.

〔编辑：张思楠〕

Abstract： In the Internet era， network security problems are frequent； the application of firewall network security technology is conducive to the operation of the network better， to protect the security of the network environment. The concept and function of firewall is introduced. The specific architecture of firewall is briefly analyzed the concept and function of firewall is discussed in the paper， from many aspects illustrates the firewall under the background of network security techniques， and discusses the application of firewall network security technology， in order to provide valuable reference to the people.

Key words： firewall； network security technology； authentication； router