◆杨 喆

(西安煤矿机械有限公司 陕西 710200)

基于防火墙的安全策略研究

◆杨 喆

(西安煤矿机械有限公司 陕西 710200)

当前信息时代，互联网得到了极大的发展，为我们的生活及工作都带来了很大的便利，但是与此同时，网络安全也成为一个社会广泛关注的问题，网络攻击的情况经常发生，人们对网络安全也提出了更高的要求。防火墙是一种有效的防范网络攻击的技术，需要注重其科学、合理的应用，本文分析了基于防火墙的防范网络攻击的安全策略。

防火墙；网络攻击；安全策略

0 引言

网络具有开放性和共享性的特点，这为我们带来便利的同时，也为网络安全留下安全隐患，计算机网络的安全成为人们关注的重点。网络攻击和犯罪情况时有发生，对企业运营以及个人生活都产生了严重的影响，这就需要重视防范网络攻击的安全策略，加强防火墙的有效应用，提高网络攻击防范水平。

1 防火墙概念

防火墙是一种访问控制技术，其作用是加强对两个或者是多个网络间边界的防卫能力。一个防火墙系统，可能是一台主机、一个路由器，也可能是主机群。其目的是对局域网进行保护，防止其受到局域网外的其他因素破坏及干扰。防火墙通常都是在高层网关基础上建立，例如站点通过网络连接。要对部分主机群或者是一个局域网进行保护，可以通过在局域网的边界设置防火墙来实现。

2 防火墙的功能

2.1 保证网络安全

防火墙对促进网络安全提升具有重要作用，一个防火墙就可以极大程度提高内部网络的安全程度，对服务进行过滤，将不安全的过滤掉，来减少风险，以此来提高网络环境的安全性。例如，防火墙可以禁止不安全协议访问，如NFS协议，会对网络进行保护，可以防止外部攻击者通过这些脆弱的协议对内部网络的攻击和破坏。防火墙还可以防止网络受到路由的攻击，例如 IP选项中的源路由攻击以及ICMP重定向中的重定向路径。防火墙可以有效阻挡这些攻击，且将警告告知网络安全管理员。

2.2 能够加强网络安全策略

基于防火墙的安全方案配置，可以将各种安全软件都配置在其中，例如加密、审计、身份认证等。防火墙和将网络安全问题分散到各个主机上的管理方式不同，其采取的是集中安全管理，成本也更低。比如，在访问网络时，一次一密口令系统以及部分身份认证系统就不用单独设置，可以完全集中到防火墙系统上。

2.3 监控审计网络的存取及访问

如果网络的所有访问都需要经过防火墙允许，就可以将这些访问记录都记录下来，形成日志记录，也可以将网络的使用情况形成统计数据。在网络出现可疑的行为操作时，防火墙可以及时报警，还可以提供相关信息，查看网络有没有受到攻击。除此之外，对网络使用信息及误用信息的收集也很重要，这些信息可以反映防火墙的防护情况和水平。网络在日常运行过程中，也需要通过数据信息的统计，分析网络的需求，分析威胁情况等。

2.4 避免将内部信息泄露到外面

用防火墙划分内部网络，可以将内部网中的重要网段都隔离开来，这样可以减小敏感网络安全问题或者是局部重点安全问题的影响，减小他们对全局网络的影响程度。隐私也是内部网络中很重要的内容。而防火墙就可以将这样的能够暴露内部细节的服务隐蔽掉，如DNS服务、Finger等[1]。如Finger就可以将主机的全部用户的相关信息都显示出来，如真名、注册名等，这些信息攻击者都可以轻松获得。攻击者可以掌握系统是否是经常使用，系统上是不是有用户正在连线上网，还会知道这一系统在受到攻击时能否引起注意等信息。应用防火墙可以阻塞内部网络中的DNS信息，这样攻击者就不会了解主机的IP地址及域名。

3 防火墙基本类型

当前市场上的防火墙绝大多数是软件系统，将其安装到计算机中进行运行，防范网络攻击。除此之外，还有以硬件系统形式出现，一般是设计在路由器中。将防火墙进行分类，可以分成包过滤防火墙、状态监视器以及代理服务器。

3.1 包过滤防火墙

包过滤就是在网络层中，对数据包进行选择，符合标准的数据包可以通过。过滤逻辑是根据系统提前设定好的，通过这一逻辑对数据流中的所有数据包进行检查，检查内容包括目标地址、源地址、使用端口，经检查符合过滤逻辑的数据包才会通过。

3.2 代理服务器防火墙

代理服务器具体是被设置在防火墙网关上的，代理服务器一般都具有缓存速度快的特点。缓存会将计算机用户经常访问的站点信息存储下来，当下一位用户要访问一样的网址时，服务器就会提供缓存下的信息，可以不用重新再去加载这一内容。这样可以有效节约网络资源以及时间，提高访问效率。

3.3 状态监视器技术

其通过对保存的数据包相关信息进行分析，包括协议、端口、类型、地址等，在此基础上，逐步形成“会话过滤"功能[2]。每次在建立连接时，防火墙会为其建立一个对话状态，具体内容有这一连接数据包的各种信息，以后这一数据包连接也都会在这个状态信息基础上进行。

4 防火墙的防范网络攻击的安全策略

4.1 部署外部防火墙

通过这一措施可以在内部局域网和外部互联网之间进行有效的隔离，进而可以起到防止外部网络攻击的作用。防火墙对于访问可以制定相应的策略，要想访问内部网络，外部主机就需要经过授权，在此基础上，才能对有限的内部资源进行访问，确保其只能访问到内网中的一些授权的资源，和业务没有关系的操作则不会被通过，无法实现访问。防火墙还能够实现地址转换操作，外部互联网无法了解内部局域网的结构，这样黑客在对内部网络进行攻击时就会没有目标。

防火墙的位置设置十分重要，需要在内部局域网和外部互联网之间，确保将二者实现全面隔离，这样才能有效拒绝外部网络访问，让其服务请求止步于防火墙。防火墙会分析收到的数据包，经确认请求是合理的之后，会将请求传到服务器主机上，否则主机可以拒绝非法的访问。外部的用户是看不到内网的情况的，可以说防火墙是内部局域网和外部互联网之间唯一的通信渠道，可以将所有访问内部网络的情况和信息记录下，形成完整的日志文件。只有确保防火墙是要保护的网络和外网之间的唯一连通渠道，才能有效防范网络攻击。如果内部局域网和外部互联网有多个连接通道，那么就必须在每个互联通道设置防火墙。图1是防火墙部署情况[3]。

图1 防火墙部署情况

4.2 部署内部防火墙

内部防火墙就是需要设置在各个应用服务器的入口处位置，需要制定健全的安全策略，进而对内网用户访问进行有效的控制。并且还可以针对不用的用户制定有效的访问权限，这样让内网的用户在访问时只能查看权限内的资源。利用身份认证功能，可以有效实现用户远程管理，可以将具体访问情况和信息都记录下来，及时地发现错误的操作情况以及攻击行为。借助于防火墙安全策略的集中管理，就不用给各个主机设置独立的安全策略，可以减少由于人为原因产生的网络安全问题。

5 结束语

综上所述，基于防火墙的防范网络攻击的安全策略具有重要意义。防火墙是抵抗网络攻击、提高网络安全性的有效技术，需要对其进行合理利用，科学选择类型，充分发挥出其作用。

[1]毕晓东.基于防火墙的网络安全技术初探[J].山东省农业管理干部学院学报，2013.

[2]刘益洪，陈林.基于防火墙的网络安全技术分析[J].通信技术，2012.

[3]张连根.防火墙技术在网络安全中的应用[J].科技资讯，2011.