目前在面对日益严峻的网络安全形势,防火墙技术也在不断地完善与改进,防火墙也有单一的硬件形式发展成为依托于硬件存在的软件系统,再后来就形成了由硬件和软件组合所形成的综合的系统,这种综合的防护系统在internet和intranet之间搭建了一个securitygateway,就是我们熟悉的安全网关,保护内部网计算机终端免遭非法用户的入侵,在很大程度上保护了外部网与内部网之间、公共网和专用网之间的沟通通道。防火墙的基本构成见图1。
1防火墙的基本分类
时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、代理主机系统;②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即packfilter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonicwall。
2防火墙的主要功能
无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。
3防火墙的主要应用
众所周知,任何事物不可能存在绝对的安全与绝对的不安全,当下在市场上存在众多的防火墙技术的产品,先不谈质量参差不齐,即使企业或者个人用户购买到一款技术先进、性能可靠、安全指数较高的防火墙系统,在面对每天数量惊人的网络攻击时也很难保证整个网络系统绝对的密不透风,而且在实际的工作中,如果用户没有正确地根据实际情况配置计算机与调试硬件、软件相关参数,更是降低了防火墙的防护水平,得不到预期的效果。任何一款防火墙技术软件发挥防护作用都大体上需要经过如下过程:首先要经过正规的渠道购买正版的防火墙软件,按照使用说明书正确的安装整个系统,不能遗漏任何安装选项,否则就可能造成系统无法正常运行的状况;其次就是要根据用户的实际情况设置系统参数,这一点至关重要,因为企业与企业所处的领域不同,因此会面对不同的种类以及不同等级的安全威胁,有的企业可能会面临较多的信息泄露的危险,因此应该将防火墙的主要防护点侧重在越权访问以及非法窃取信息上,一般这种情况对企业的损失较大,因此防护等级较高,如果企业仅仅是防护病毒文件的入侵,那么就可以简单的限制内网用户访问外网资源即可。此外系统参数的设置也包括系统响应时间、预警信息的发布方式、有害文件的处理方式等等,这些参数也应该严格按照使用说明根据安全防护等级设置,如果我们将安全防护等级设置的过高,很有可能会把一些有效信息过滤掉,影响企业的正常运转和人员的正常工作;最后就是高级功能的设置,很多软件提供给用户附加的服务,例如网络安全状况的时时监测、防护日志的查看、系统漏洞的管理学论文提醒等等,用户可以根据实际需要进行设置。
作者:宋岩 单位:沈阳铁路公安处
