在网络安全体系架构中以防火墙技术为重心的难点研究
1 防火墙的概念与功能
防火墙的实质就是一种隔离技术, 通过分析和筛选进入防火墙的数据信息来达到访问控
制的目的。在不同的网络乃至不同区域之间, 都会设立防火墙来保护各自区域内的信息安全。
防火墙之所以能实现这种保护, 就在于网络安全协议中规定在不同网络乃至不同区域之间的
信息传输, 必须经过防火墙这个唯一的通道, 这也是防火墙能成为网络安全体系核心的原因
之一。防火墙本身也具有较为出色的抵御攻击的能力, 通过在不同网络之间建立安全控制点,
就能够达到减少恶意访问的目的, 降低了网络攻击的威胁。
设立以防火墙为重心的网络安全体系, 其安全性主要表现在以下几个方面。
(1) 使安全访问策略得到了强化, 对用户特别是外部网络用户实施的访问操作, 进行有
效的管理和控制, 既杜绝了恶意访问的发生, 保证了访问的安全性, 也在一定程度上提高了
内部网络的运行效率[1]。
(2) 作为沟通内外的唯一通道, 防火墙可以详细记录下内部网络与外部网络之间的通信
活动, 包括通信的次数和发生时间。但是为了保证用户信息的安全性和私密性, 无法记录通
信的内容。
(3) 当发现某一个网段出现问题时, 能够及时地对该网段进行隔离, 其强大的控制能力
可以保护网络其他部分不会受到影响。
2 防火墙的形式和分类
防火墙有很多种形式, 有些防火墙是以软件的形式运行在计算机终端上, 如常见的 Net
Eye 以及 Netscreen。采用软件防火墙是因为计算机数量较少时, 例如个人计算机通常只有
一台, 使用软件防火墙即可起到足够的保护作用。还有一些是以硬件的形式直接设置在路由
器中, 如信息过滤器以及设计型的网关。采用硬件防火墙是因为计算机数量较多时, 如大型
计算机群或企业单位, 硬件防火墙无论是从防护效果上看还是经济花费都更加适合。
防火墙的种类也有很多, 也可以按照软件和硬件来进行区分, 即软件防火墙和硬件防火
墙。不同的是, 硬件防火墙经常会被细分为普通硬件防火墙和芯片级防火墙, 前者常用于个
人计算机中, 与软件防火墙的效果差别不大;后者则是专业数据处理经常会用到的安全技术。
按照设计结构, 可以将防火墙分为集成式防火墙、分布式防火墙和 PC 防火墙;按照部署位置,
可以将防火墙分为个人防火墙、边界防火墙和混合防火墙;按照防御性能, 可以将防火墙分
为百兆级防火墙和千兆级防火墙。
3 以防火墙技术为重心网络安全体系架构
3.1 硬件架构
目前, 网络安全体系的硬件架构平台上, 常见的防火墙架构为 x86、NP 和 ASIC 这三种。