基于防火墙技术的网络安全架构

基于防火墙技术的网络安全架构

【摘要】随着计算机的普及和互联网的发展，计算机给我们的工作和生活提供了便捷服务。在各个领域广泛应用数据库的同时，在享受其带来的便捷服务的同时，越来越多的人们开始关注网络信息安全体系。现今社会网络安全、黑客攻击等现象频繁发生，如何保障网络安全成为了摆在我们面前的重要研究课题。

【关键词】防火墙；网络；安全技术

如何更好地促进网络的有效运行，保障网络的安全环境，在很大程度上取决于防火墙的设置。网络安全问题成为了人们关注的焦点，防火墙可以说是解决网络安全问题最有效方式。

1.防火墙的概念

防火墙指的是在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最重要的目的就是通过对网络入、出环节的控制，促使各项环节都需要经过防火墙检查，进而有效预防网络遭到外来因素的破坏与干扰，进一步达到保护内部网络不受非法访问的目的。在本质上来讲，防火墙就是一种控制、隔离技术，在不安全的网络环境中积极构建相对安全的网络内部环境。站在逻辑层面来分析，防火墙不仅是一个限制器，还是一个分析器，防火墙要求所有网络数据流必须经过安全计划或策略确定，与此同时，在逻辑上对内外网络进行分离。目前来说，有的防火墙通过软件的方式在计算机上运行，有的防火墙以硬件形式固定在路由器中。从整体上来说，常用的防火墙分为三种：①包过滤防火墙。②代理服务器。

③状态监视技术。

防火墙功能具有如下功能：①提高网络安全性能，防火墙的应用，能大幅度提升内部网络的安全性能，降低安全风险。防火墙还能够保护网络避免来自路由的攻击。防火墙能够拒绝各种不安全因素，并通知管理员。②强化网络安全，相对于传统的将安全问题分散到不同主机上的方式相比较，这种集中安全管理的防火墙更加经济、安全。③监控网络访问与存取，防火墙的应用，能够有效记录各种网络活动的开展，并且，对于可疑性的网络活动进行报警。能够为网络管理员提供全面的信息。一旦防火墙监控到可疑动作，就会自动报警，并提供攻击与监测的具体信息。④保护内部信息不被泄露。通过防火墙对内部网络的保护与划分，能够实现对内部重点网络的保护与隔离，进一步降低重点局部网络安全问题对于整个局域网内部的影响，有效保护内部信息不被泄露。

2.基于防火墙技术的网络安全架构

2.1选择防火墙

作为一种网络完全的有效防护方式，防火墙有多种类型的实现方式。在合理选择防火墙之前，需要全面的进行风险分析、需求分析，并进一步制定安全防范

策略，针对性的选择防护方式，尽可能保持安全政策与防护方式的统一性。

2.2全面考虑防火墙失效并进行动态维护

在评价防火墙安全性以及性能过程中，一方面需要看防火墙工作是否正常，一方面需要看起能否阻挡非法访问或恶意攻击。如果防火墙被攻破，其状态是怎样的。按照一定的级别来划分，失效有四种情况：①在没有受到攻破时能进行正常工作。②在受到伤害时可以重新启动，并恢复到之前的工作界面。③禁止与关闭所有通行的数据。④关闭且允许数据继续通行。第一种与第二种状态比较理想化，第四种状态最不安全。在选择防火墙过程中，需要验证其失效状态，并进行准确评估。在安装防火墙以及防火墙投入以后，需要对其运行状态进行动态性维护，对其发展动态进行维护与跟踪，时刻保持商家动态并与之保持联系。一旦商家发现安全漏洞，就会积极推出补救措施，及时更新防火墙。

2.3全面指定防火墙可靠规则集

可靠规则集的制定是实现安全、成功防火墙的关键性步骤。如果防火墙的归集不正确，再强大的防火墙也起不到任何作用。第一，制定安全性策略，上级管理人员制定安全防范策略，防火墙是实施这一安全防范策略的工具。在制定规则集之前，必须全面掌握安全策略。建设其包含以下内容：①内部员工访问网络不受限制。②外部用户能够使用email服务器与web服务器。③管理员能远程访问其系统。在实际上来说，大部分部门的安全策略要远远超过上述内容。第二，积极构建安全体系，要想将一项安全策略积极转化成技术。第一个内容比较容易实现，内部网络中的所有数据信息都允许在网络上传输。对于第二项的安全策略来说比较麻烦，需要建立email服务器与web服务器，因为所有的人都能访问email 服务器与web服务器，因此，不能信任他们。鉴于此，可以将email服务器与web服务器放到DMZ中去实现。DMZ作为一个孤立的网络，经常存放不被信任的系统，该网络中的系统无法连接、启动内部网络。第三项是必须让管理员远程控制他人的访问系统，要想实现这一功能，可以通过加密服务的方式进行。笔者建议在这一过程中需要加入DNS。在上述安全策略中虽然未陈述此项内容，但是，在实际运营过程中需要积极提供该服务。第三，规则次序的制定，规则次序的制定非常重要。不同的规则次序排列相同的规则，可能会深刻改变防火墙的运行情况。比如说，大部分防火墙按照顺序对数据包进行检查，收到第一个数据包与第一条规则相对应，收到第二个数据包与第二条规则相对应，一直进行对应。如果检查到匹配选项，就会停止检查。如果没有找到相匹配的规则，就会拒绝这个数据包。一般来说，比较特殊的规则应该放在前面，比较普通的放在后面。通过这样的方式，能有效避免防火墙的错误配置。第四，落实规则集，一旦确认了规则次数与安全防范策略，就要对规则集中的每条规则进行落实。在实际落实过程中，需要注意以下几个关键点。①将不必要的防火墙默认服务切断。②内部网络的所有人都能出网，任何服务都被允许，与安全策略规定相吻合。③增添锁定规则，除了管理员之外，其他人员都不能访问防火墙。④将不匹配的数据包丢弃，且不记录。⑤可以允许网络用户访问DNS。允许内部用户以及网络用户通过邮件传递协议访问邮件服务器。不允许内部用户对DMZ进行公开访问。允许内部进行POP访问。⑥拒绝、警告同时记录DMZ到内部用户之间的通话。⑦管理员

能够通过加密方式进行内部网络的访问。⑧将最常用规则尽可能放到规则集上部，进一步提升防火墙安全性能。

3.结语

新形势下，加强给予防火墙墙技术的网络安全架构探析，对于提高网络安全具有重要意义，为此，还需要对防火墙技术进行深入探究，提高防火墙关键技术，保障网络环境安全。[科]

【参考文献】

［1］黄登玺，卿斯汉，蒙杨.防火墙核心技术的研究和高安全等级防火墙的设计[J].计算机科学，2011(02).

［2］邦力明.基于Linux的网络防火墙中砰碎片重组算法的研究与实现[J].安徽水利水电职业技术学院学报，20010(13).

［3］崔伟，齐竞艳，黄皓.全状态防火墙双机热备份的设计与实现[J].计算机应用研究，2012(03).