基于防火墙技术的园区网安全研究

2018-02-26◆宋杰

网络安全技术与应用 2018年2期

◆宋杰

基于防火墙技术的园区网安全研究

◆宋杰

(中国航发北京航科发动机控制系统科技有限公司北京 102200)

当前，随着网络技术的有效应用，在给人们带来方便的同时，网络当中的不安全因素也给人们带来了一定的影响。人们对于安全问题也是越来越重视，如何不断加强以及提升安全信息技术对于社会信息化的发展有着直接的影响。我国已有很多院校、企业等单位建立了自己的园区网，网络防火墙技术在信息安全领域扮演着十分重要的角色。本文就对基于防火墙技术的园区网安全进行分析和探讨。

防火墙技术；园区网；安全

1 园区网与互联网的安全问题

对于计算机网络安全性可以将其定义为：确保网络服务的适用性以及网络信息的整体性，前者需要所有的用户能够对于所授权的服务进行有效选择，后者主要就是需要确保网络信息资源的准确性、完整性和及时性。网络系统的安全性在受到相关影响之后，通常会造成网络系统很难准确、及时地提供相应的服务功能，以及相关的信息资源被更改或者其信息被泄露等。因此，加强园区网的安全建设主要就是在确保当前网络开放性的基础上，采用科学合理的措施和技术来确保信息系统的安全以及完整。

园区网的安全问题现状主要表现如下几个方面:

第一，黑客攻击：当前黑客通常主要采用网络实施攻击，并且采用网络监听相关的账号以及密码；第二，拒绝服务攻击: 这种方式是一种破坏式的攻击方式，比如，“电子邮件炸弹”，其主要就是能够在很短的时间之内受到大量的垃圾邮件，从而对正常的业务运行受到影响。第三，网络计算机病毒的威胁：计算机病毒对于计算机系统有着很大的威胁，在当前的互联网环境下，病毒传播的传递非常的快，并且传播的面积也逐渐也扩大，很难降低彻底讲出，对于网络系统有着非常大的影响。第四，网络系统的脆弱性: 从互联网开始发展起来就在一定意义上缺少相应的安全体系，因此也就存在一定的安全隐患和自身所拥有的缺陷等。第五，人为因素：在当前安全网络体系当中，人为因素对于网络安全性在一定意义上有着很大的安全隐患。

2 防火墙网络安全技术的相关概述

2.1防火墙的基本概念

防火墙本来指用于防止火灾蔓延的隔断墙，在计算机网络环境下，防火墙被引申为保护网络安全的防护墙。防火墙主要包括分离器、分析器和限制器。通常情况下，防火墙是主机、软件和路由器的多种组合。但是，从本质上来说，防火墙属于计算机网络保护装置，用于保护网络和用户资源。而从技术方面来说，防火墙技术属于一种访问控制技术，主要在不安全网络和机构网络之间设置障碍，组织非法信息访问网络，进而保护网络的安全性。

2.2防火墙网络安全技术的工作原理及特征

首先，从防火墙网络安全技术的工作原理来说，其工作原理使防火墙按照预先规定的规则和配置对通过防火墙的数据进行监控，并对没有授权的数据进行限制。并且，防火墙会记录相关信息的联接来源、闯入者企图以及服务器的通信量，以便于网络管理人员的跟踪和监测；其次，从防火墙的特性来说，所有计算机网络信息都必须通过防火墙。并且，只有被计算机网络允许的、受到网络保护的信息才能够通过防火墙。另外，防火墙会记录所通过的信息和活动，并对网络供给进行告警和检测。

图1 作为防火墙主体部分的包过滤器示意图

2.3防火墙网络安全技术的主要功能

首先，防火墙网络安全技术具有认证功能，能够对信息身份进行认证，以保证数据发送者的可靠性和真实性；其次，防火墙网络安全技术具有完整性功能，能够对未授权修改的信息进行探测和标记，保证信息的完整性；其三，防火墙网络安全技术具有访问控制功能，能够控制访问者，并决定是否允许访问者进入，以避免恶意攻击和不允许访问的访问者进入网络系统；其四，防火墙技术具有审计功能，能够连续记录系统的重要事件，并将所记录的信息提供给网络系统的管理人员；最后，防火墙技术具有访问执行功能，之后信息完整性检测和信息认证都通过之后，信息才会通过防火墙进入网络内部。

3 基于防火墙技术的园区网安全研究

3.1内部网络应用

园区网承载的业务非常多，因此网络的安全可靠性也就在一定意义上会提升。防火墙的安全可靠性是确保网络安全的基础，也需要加强重视。通常，相对于高端防火墙来讲需要在以下相关方面加强重视：

（1）软件系统可靠性

对于通信产品来说，软件系统很重要。一些厂家往往选取FreeBSD 等开源代码对其实施修改，这种方式在一般的环境中基本上能够有效支持，但是在一些大型的以及复杂的园区当中就显得非常不足，只有类似像H3C 的Comware、CISCO 的IOS 这一级别的软件，在一定意义上才能够保证系统的安全可靠。

（2）设备级冗余机制

电源的冗余等方式只能对系统内部相关的模块异常情况进行处理，很难确保在一些情况下使得系统易于断网，因此最好在此基础上对一些较为重要的部件采用全冗余设计。另外，双机设备通常作为对单点故障进行处理的方式已经显得非常成熟，然而对于传统的双机方案其主要采用的是VRR P或者动态路由方式来进行流量切换，在切换当中的时间都需要采用秒来计算；相对于一些视频业务，秒级别的方式也很难符合要求的，因此可以采用H3C F5000 这种控制和转发平面完全物理分离的相关机制保证毫秒级的快速收敛和切换。

（3）自我故障检测机制

相对于一些可靠性较高的设备来说，采用实时的运行检测装置以及链路状态检测非常重要，除了采用CPU以及内存利用率实时监控之外，对于协议检测、机箱温度、风扇状态、多链路情况下的链路状态探测技术，都是一种提升可靠性的方式。

3.2网络各层监测和存储应用

在网络层当中采用状态检测防火墙能够将相关的数据信息进行截取，并且在每个应用层当中采用防火墙方式将相应的安全管理方式存放在动态表当中，对后续的相关请求进行分析并且做出相应的决定，其对于网络各层实施安全控制。在安全漏洞以及恶意攻击方面，能够及时的发现并且将其记录，管理人员可以按照漏洞来查记录将系统的配置进行完善。对于状态监测防火墙来讲，需要按照相应的记录状态，在一定程度上和相应的处理方式进行有效结合，以此实现实时动态控制。

3.3数据库安全维护的应用

数据库作为信息资源有效储存的一个区域，因此就需要加强防火墙的重视。采用防火墙能够在一定意义上确保内部和外部网络的有效隔离，在此基础上可以使得一些合法的信息进入，一些非法和不合理的信息拒绝进入，并且对于所产生的非法信息进行及时的记录并且存储到数据库当中，防止其他相关的数据产生影响，避免网络安全问题出现，并且还能够保证区域网当中产生相应的问题对整体产生影响。防火墙能够对相关的数据实现有效分析，不但能够对数据库当中的相关信息实现选择，还能够对于数据库当中的相关网络提供一定的服务。在网络系统安全运行当中对于防火墙的应用能够实现对于数据库信息的准确查找，同时在产生安全隐患时，能对其实现拦截，将其及时的提供给使用人员作为依据，使得数据库的安全性提升。