對(duì)計(jì)算機(jī)防火墻安全應(yīng)用的探討

防火墻就是一種將軟件和硬件相結(jié)合，作用在各種網(wǎng)絡(luò)認(rèn)界面上的一種網(wǎng)絡(luò)屏障，這個(gè)網(wǎng)絡(luò)屏障能夠屏蔽掉網(wǎng)絡(luò)上不安全的信息和程序，只對(duì)已知的安全的信息大開方便之門。防火墻利用自己的網(wǎng)關(guān)技術(shù)避免了非法用戶的侵入，確保和合法用戶的權(quán)限。防火墻是由訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾以及應(yīng)用網(wǎng)關(guān)四部分構(gòu)成。這四部分相互協(xié)作將網(wǎng)絡(luò)防火墻安全技術(shù)了搭建起來(lái)。小到我們個(gè)人用的私人電腦大多國(guó)家安全局應(yīng)用的大型計(jì)算機(jī)都離不開防火墻技術(shù)的保護(hù)，計(jì)算機(jī)的流入和流出的所有網(wǎng)絡(luò)信號(hào)都需要經(jīng)過(guò)防火墻的篩選。 防火墻顧名思義就是保護(hù)計(jì)算機(jī)安全的系統(tǒng)。有些用戶會(huì)將防火墻技術(shù)誤當(dāng)做成殺毒軟件，其實(shí)兩者是完全不同的概念。殺毒軟件需要用戶自己購(gòu)買安裝，而防火墻是在計(jì)算機(jī)系統(tǒng)運(yùn)行時(shí)就帶有的一套安全程序，不需要用戶自己安裝，但是用戶可以調(diào)節(jié)防火墻的強(qiáng)度，自己設(shè)定防火墻安全保護(hù)的程度，更加方便用戶的操作。 安裝了防火墻之后，電腦會(huì)監(jiān)控各個(gè)端口的使用情況，只要你一打開某個(gè)需要連接網(wǎng)絡(luò)的軟件比IE瀏覽器,防火墻就會(huì)提示你允不允許該軟件連接網(wǎng)絡(luò)。如果你看到提示里的軟件名不認(rèn)識(shí)，你又沒(méi)有打開什么軟件，那就不通過(guò)連接就可以了。這就需要你有一定的辯別能力。當(dāng)然，你可以使用防火墻關(guān)閉某些不常用的端口使電腦更安全。 打一個(gè)現(xiàn)實(shí)的比方，防火墻就像是防盜門一樣，當(dāng)有小偷進(jìn)入的時(shí)候，防盜門能夠講小偷成功的擋在門外，而擁有門鑰匙的正常住戶就可以沒(méi)有阻攔的進(jìn)出，沒(méi)有任何限制。網(wǎng)絡(luò)應(yīng)用中的防火墻技術(shù)，就是一個(gè)尺度，他限制了訪問(wèn)以及受訪機(jī)制的權(quán)限，超出權(quán)限的指令無(wú)法在系統(tǒng)中運(yùn)行而被遣返或者留滯。防火墻有效的阻止了黑客的襲擊。如果不通過(guò)防火墻，“墻”內(nèi)外的用戶就不能進(jìn)行信息的互動(dòng)交流。 1.2防火墻的動(dòng)能介紹 防火墻，正如字面上的意思就是保證網(wǎng)絡(luò)的安全。防火墻內(nèi)部存儲(chǔ)了許多數(shù)據(jù)，這些數(shù)據(jù)能夠反饋給系統(tǒng)哪些程序允許通過(guò)，哪些程序則需要返回。防火墻只允許那些默認(rèn)被允許的程序被訪問(wèn)，而且防火墻自身也必須避免黑客系統(tǒng)的破壞。下面，我們簡(jiǎn)單介紹一下防火墻的極大功能： (1)防火墻允許網(wǎng)絡(luò)系統(tǒng)管理員自定義一套系統(tǒng)來(lái)限定網(wǎng)絡(luò)的訪問(wèn)機(jī)制。系統(tǒng)自身攜帶的防火墻中有固定的阻擋危險(xiǎn)訪問(wèn)的程序編制，但是這些編制因?yàn)閯?chuàng)造的時(shí)間較早，而網(wǎng)絡(luò)發(fā)展非常迅速黑客程序的反偵查能力越來(lái)越強(qiáng)，有很多高級(jí)的黑客程序還是可以穿透防火墻進(jìn)入計(jì)算機(jī)系統(tǒng)，這也是殺毒軟件盛行的原因。當(dāng)時(shí)防火墻屏蔽比殺毒軟件來(lái)的更加徹底，因此防火墻允許網(wǎng)絡(luò)系統(tǒng)管理員在防火墻內(nèi)部開辟一個(gè)空間來(lái)自我定義一套限定網(wǎng)絡(luò)的訪問(wèn)機(jī)制。這些被阻止的網(wǎng)絡(luò)機(jī)制是那些被防火墻漏掉的疑似威脅程序，管理員通過(guò)自己的設(shè)定將這些系統(tǒng)人為的分離出去。這樣做的好處是，增強(qiáng)網(wǎng)絡(luò)防火墻的安全性能，使受到防火墻保護(hù)的計(jì)算機(jī)可以安全的在系統(tǒng)中運(yùn)行。 (2)防火墻規(guī)范了網(wǎng)絡(luò)的訪問(wèn)，杜絕了危險(xiǎn)程序的訪問(wèn)，便于管理。在辦公室工作的你是否在進(jìn)入某個(gè)網(wǎng)站或者安裝某種程序時(shí)，會(huì)彈出輸入管理員密碼的對(duì)話框。只有在獲得權(quán)限之后才能夠進(jìn)行下一步操作。這是管理員根據(jù)公司的規(guī)定，將一些操作屏蔽掉，防止員工在工作中做一些與工作無(wú)關(guān)的事情。管理員的這些操作就是在防火墻上設(shè)置的，管理員在防火墻中進(jìn)行了進(jìn)一步的篩選，這樣做可以智能的管理員工的工作，是一個(gè)非常便捷的方法。防火墻對(duì)網(wǎng)絡(luò)訪問(wèn)的規(guī)范，方便了管理人員對(duì)員工的管理，這是一個(gè)既省錢又方便的好方法。 (3)可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。 共享內(nèi)存這一話題，是防火墻技術(shù)比較深層次的利用。網(wǎng)絡(luò)管理員可以通過(guò)部署作為NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將本機(jī)上的IP地址動(dòng)態(tài)或者靜態(tài)的與網(wǎng)絡(luò).NET中的IP地址相對(duì)應(yīng)，這樣做，可以緩解自己本機(jī)上IP地址緊缺的壓力，解決地址空間不足的問(wèn)題。 (4)防火墻位置可以用來(lái)記錄計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)所產(chǎn)生的費(fèi)用。上面已經(jīng)提過(guò)，計(jì)算機(jī)內(nèi)部與外界網(wǎng)絡(luò)的相互溝通都需要經(jīng)過(guò)計(jì)算機(jī)防火墻的過(guò)濾，同樣的，在這些信息進(jìn)入通過(guò)防火墻時(shí)，防火墻都會(huì)對(duì)這些信息加以記錄。根據(jù)這一特點(diǎn)，我們就可以在防火墻位置上記錄計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)時(shí)所產(chǎn)生的費(fèi)用，這種費(fèi)用的統(tǒng)計(jì)方式是最為科學(xué)而且可靠的。 這是我們根據(jù)防火墻的自身特點(diǎn)善加利用的很好的例子。防火墻如同一個(gè)阻隔內(nèi)、外界的屏障，無(wú)論是允許通行或者是被阻擋，這些信息都會(huì)記錄在防火墻中，通過(guò)對(duì)這些信息的采集，我們可以分析出許多問(wèn)題，獲得出許多我們需要掌握的信息。除了上面所說(shuō)到的防火墻可以用來(lái)記錄訪問(wèn)網(wǎng)絡(luò)產(chǎn)生的費(fèi)用之外，防火墻內(nèi)存儲(chǔ)的信息還可以用來(lái)分析黑客程序的類型，從而開發(fā)出更加權(quán)威的殺毒、防毒系統(tǒng)。 2、防火墻分類 防火墻的發(fā)展不是一蹴而就的，它也是經(jīng)過(guò)了一個(gè)漫長(zhǎng)而復(fù)雜的發(fā)展過(guò)程的。盡管防火墻發(fā)展到今天已經(jīng)經(jīng)歷了上述幾代的變更，但是從防火墻處理信息的方式上說(shuō)，可以將防火墻劃分為兩大體系：一個(gè)是以以色列的Checkpoint防火墻為代表的包過(guò)濾式的防火墻，另一個(gè)以美國(guó)NAI公司開發(fā)的Gauntlet防火墻為代表的代理防火墻。但不論是哪種防火墻，運(yùn)用什么的信息處理方式，兩種防火墻都各自有自己的優(yōu)勢(shì)，并存在自己的缺點(diǎn)，需要進(jìn)一步的發(fā)展、改善。 2.1包過(guò)濾防火墻 第一代防火墻就是采用了采用了包過(guò)濾（Packetfilter）技術(shù)。所謂的包過(guò)濾技術(shù)就是對(duì)所有防火墻需要檢查的網(wǎng)絡(luò)訪問(wèn)程序進(jìn)行解包檢查，并且將檢查獲得的數(shù)據(jù)信息與防火墻系統(tǒng)內(nèi)部原有的信息進(jìn)行比對(duì)，這種將包打開每個(gè)都檢查并且再逐一比對(duì)的過(guò)程非常的浪費(fèi)時(shí)間，采用包過(guò)濾防火墻技術(shù)的計(jì)算機(jī)運(yùn)行等待的時(shí)間會(huì)相對(duì)較長(zhǎng)，給需要快速操作的人員帶來(lái)了不便。但是包過(guò)濾防火墻到目前為止并沒(méi)有被淘汰，這是為什么呢？這主要是因?yàn)榘^(guò)濾機(jī)制檢查處理信息的時(shí)候操作更加簡(jiǎn)單、透明性也相對(duì)較高，所以，一些計(jì)算機(jī)仍然采用這種包過(guò)濾防火墻技術(shù)。 2.2代理防火墻 代理防火墻是在包過(guò)濾防火墻基礎(chǔ)上發(fā)展起來(lái)的。代理防火墻又被稱為應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻，顧名思義也就是說(shuō)代理防火墻是作用在應(yīng)用網(wǎng)關(guān)層的。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種代理服務(wù)器能夠在接收到用戶發(fā)出的鏈接信息請(qǐng)求的時(shí)候，采用特定的安全系數(shù)比較高的Proxy應(yīng)用程序進(jìn)行處理，從而反饋答復(fù)給用戶，并采取相應(yīng)的措施進(jìn)行進(jìn)一步操作。 3、新型防火墻技術(shù)的發(fā)展趨勢(shì) 很多人都在揣測(cè)下一代防火墻會(huì)是什么樣子，下一代防火墻是會(huì)沿襲包過(guò)濾和代處理防火墻技術(shù)，還是會(huì)重新開辟一條新的道路來(lái)呢？據(jù)初步了解，下一代防火墻擁有的技術(shù)包括了阻止與針對(duì)細(xì)粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報(bào)的功能。例如當(dāng)我們?cè)趙eb郵件中看見一個(gè)陌生未知的郵件的時(shí)候，這個(gè)未知郵件如果有病毒等，防火墻就會(huì)通過(guò)這個(gè)警報(bào)系統(tǒng)通知給用戶，這樣用戶就可以避免打開這個(gè)包含病毒的郵件，防止病毒被打開后釋放到電腦里，造成電腦中毒或者損失電腦中的私人信息。這就意味著，即使有些應(yīng)用程序設(shè)計(jì)可避開檢測(cè)或采用SSL加密，下一代防火墻依然可識(shí)別并阻止此類程序。而業(yè)務(wù)識(shí)別的另外一項(xiàng)優(yōu)點(diǎn)還包括帶寬控制，例：因?yàn)榫芙^了無(wú)用或不允許進(jìn)入的端到端流量，從而大幅降低了帶寬的耗用。 國(guó)內(nèi)首先開發(fā)出下一代防火墻技術(shù)的是NGAF防火墻廠商。NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等等方面的巨大不足，同時(shí)也開啟了所有功能后性能不會(huì)有大幅度的下降。對(duì)系統(tǒng)的正常操作不會(huì)有太大的影響。