在网络安全体系架构中以防火墙技术为重心的难点研究

1 防火墙的概念与功能

防火墙的实质就是一种隔离技术, 通过分析和筛选进入防火墙的数据信息来达到访问控制的目的。在不同的网络乃至不同区域之间, 都会设立防火墙来保护各自区域内的信息安全。防火墙之所以能实现这种保护, 就在于网络安全协议中规定在不同网络乃至不同区域之间的信息传输, 必须经过防火墙这个唯一的通道, 这也是防火墙能成为网络安全体系核心的原因之一。防火墙本身也具有较为出色的抵御攻击的能力, 通过在不同网络之间建立安全控制点, 就能够达到减少恶意访问的目的, 降低了网络攻击的威胁。

设立以防火墙为重心的网络安全体系, 其安全性主要表现在以下几个方面。

(1) 使安全访问策略得到了强化, 对用户特别是外部网络用户实施的访问操作, 进行有效的管理和控制, 既杜绝了恶意访问的发生, 保证了访问的安全性, 也在一定程度上提高了内部网络的运行效率[1]。

(2) 作为沟通内外的唯一通道, 防火墙可以详细记录下内部网络与外部网络之间的通信活动, 包括通信的次数和发生时间。但是为了保证用户信息的安全性和私密性, 无法记录通信的内容。

(3) 当发现某一个网段出现问题时, 能够及时地对该网段进行隔离, 其强大的控制能力可以保护网络其他部分不会受到影响。

2 防火墙的形式和分类

防火墙有很多种形式, 有些防火墙是以软件的形式运行在计算机终端上, 如常见的Net Eye以及Netscreen。采用软件防火墙是因为计算机数量较少时, 例如个人计算机通常只有一台, 使用软件防火墙即可起到足够的保护作用。还有一些是以硬件的形式直接设置在路由器中, 如信息过滤器以及设计型的网关。采用硬件防火墙是因为计算机数量较多时, 如大型计算机群或企业单位, 硬件防火墙无论是从防护效果上看还是经济花费都更加适合。

防火墙的种类也有很多, 也可以按照软件和硬件来进行区分, 即软件防火墙和硬件防火墙。不同的是, 硬件防火墙经常会被细分为普通硬件防火墙和芯片级防火墙, 前者常用于个人计算机中, 与软件防火墙的效果差别不大;后者则是专业数据处理经常会用到的安全技术。按照设计结构, 可以将防火墙分为集成式防火墙、分布式防火墙和PC防火墙;按照部署位置, 可以将防火墙分为个人防火墙、边界防火墙和混合防火墙;按照防御性能, 可以将防火墙分为百兆级防火墙和千兆级防火墙。

3 以防火墙技术为重心网络安全体系架构

3.1 硬件架构

目前, 网络安全体系的硬件架构平台上, 常见的防火墙架构为x86、NP和ASIC这三种。x86架构主打低端千兆市场, 它具有设计开发门槛低、技术成熟、维护便利等优点, 被称为工控机防火墙的主要防火墙硬件架构[2]。但是它的数据包转发性能较弱, 一旦出现较多的数据包, 就会大大降低其运行效率。因此, NP占据了高端市场的大部分份额, 它具有专门处理数据包的功能, 其内含的数据引擎能够在大量数据经过时采取并行处理模式, 大大提高了数据运行效率, 在当今的网络环境下具有较大的开发使用潜力。ASIC架构虽然也具有出色的数据包处理能力, 且采用专业集成电路设计, 但是考虑到其技术不够成熟、开发周期过长导致其使用成本上升, 并不适合进行大范围的推广。相信在未来, 随着开发技术蓬勃发展, ASIC技术能够以更加完美的姿态进入高端千兆市场。

3.2 软件架构

软件架构的实现是以完善的产品框架为基础, 以高标准的软件质量为要求, 结合用户需求和软件运行环境制作而成。完善的产品框架有利于系统操作性能的优化, 对于网络集成和用户与系统的互操作性有着重要的作用。软件质量需要经过专门的软件产品评审, 测试其性能是否符合相关的标准, 通过检验之后才能投入使用。结合用户需求和软件运行环境是为了在用户、系统与软件三者之间取得平衡, 最大限度地满足各方要求。

4 以防火墙技术为重心的网络安全体系架构的技术难点

4.1 结构模块化

防火墙想要实现对全部网络资源的控制, 首先就要面向资源进行结构模块化设计。即系统要按照纵向资源层次化、横向功能模块化结构进行设计, 使得防火墙软件的结构更加合理, 优化了资源配置, 也便于后期的维护和升级。

4.2 数据流控制技术

防火墙对数据的分析要采用最先进的包过滤技术, 以达到对数据包乃至数据流的有效控制。所谓包过滤技术是通过一个记录着对应连接状态的连接链表, 在数据包请求连接时对其进行检查, 检查结果会被直接记录到链表当中。链表本身与系统的核心数据库相连接, 检查结果和连接记录都会存储到系统当中。这样后续的关联数据包再次请求连接时, 建立连接和进行检查的速度都会加快, 在保证数据安全的基础上, 有效提高了数据包的处理效率。

4.3 日志处理平台

普通防火墙由于没有单独的日志服务器, 在处理日志时经常出现进度缓慢的情况。通过设置单独的日志服务器, 来实现高效的海量日志处理, 结合常见的防火墙日志框架, 构成了日志处理平台, 要求可一次处理2G以上的文件。

4.4 检测和防御攻击

防火墙的主要功能就是检测和防御攻击, 通过收集各种攻击手段的详细信息存储到系统数据库中, 一旦出现类似信号就能够及时对其进行辨别, 便于系统和防火墙提前应对, 提高防御能力。

4.5 整体架构

一个完整的安全体系是将前面提到的结构模块化、数据流控制、日志处理平台、检测和防御攻击融合到一起的架构, 是防火墙对文件、节点对象、安全协议、链接行为以及端口管理协议实现有效控制的主要途径。它能够有效提高网络安全性能, 最大程度优化系统配置, 例如, 在配置过程中先对配置对象进行定义, 后续的配置对象都可以按照该定义进行快速配置。整体架构是目前最流行的高速处理网络数据技术, 是保证实时通讯以及高速网络连接的主要方法。

5 结语

随着网络信息化的不断发展, 网络已深入千家万户, 但是其中隐含的安全威胁也越来越严重。更好处理这种威胁, 是防火墙技术不断发展的动力, 也是网络安全体系的意义所在。防火墙的重要性不言而喻, 但是在实际使用的过程中, 还要结合其他防御措施, 不能单纯依靠防火墙自身的防御能力。要发挥网络安全体系中每个部分各自的功能, 建立起全面有效的安全防御体系, 共同保护网络安全。

参考文献

[1]熊亚蒙.基于防火墙技术为重心的网络安全体系架构[J].硅谷, 2012 (22) .

[2]梅梦.以防火墙技术为核心的网络安全架构[J].硅谷, 2013 (6) .