基于防火墻技術的計算機網絡安全問題探討

徐美紅，封心充，孫 鵬，黃勁燦

1.廣東省氣象信息中心，廣東 廣州 510080

2.河南省開封市氣象局，河南 開封 475004

隨著網絡信息時代進程的逐漸深入，網絡安全成為了重要的問題，計算機的防火墻技術對網絡安全問題成為了目前比較有效的安全技術手段。不過，對于網絡安全，其實主要是系統的、全面的計算機管理問題，一般情況在計算機上的任何一個安全問題，可能導致全網的安全問題的產生，針對于這樣的網絡安全問題，主要是采用系統的管理的方法以及具體的網絡安全管理措施。主要的安全措施包括，首先是行政法律手段，各種管理制度，專業措施等?？梢赃@樣說，在一個較好的安全措施主要就是多種方法來綜合應用結果。一般在一個完整的計算機網絡里，主要包括個人、設備、軟件、數據等。這些部分在網絡中有著非常重要的地位，所以必須從系統的整體角度上去看待這些問題，這樣才可以取得有效的措施。

1 防火墻技術的涵義及工作原理

1）防火墻涵義。通常我們所說的防火墻主要就是指在一個或一組在兩個網絡之間來執行訪問控制的系統。主要是包括硬件和軟件。最大的作用的就是更好的保護計算機的安全，以便計算機不被可疑因素侵擾。在本質上，主要就是一種用來更好的允許或阻止網絡業務來往的網絡安全措施。一般情況下就是提供可以有效控制的網絡通信。可以說防火墻在實質上其實就是用來有效的控制數據流通以及允許數據之間流通。所以，通常防火墻主要就是有兩種相互對立的安全策略：首先，就是可以讓沒有特別拒絕的事情進入計算機。在這種特定的情況下，防火墻是僅僅拒絕規定的某一對象的，只要是不在拒絕的范圍內的情況一般情況下都是可以得到允許的。通常這種策略在對數據包的阻擋能力還是比較小的。因此，安全性還是比較差的。其次，計算機主要是拒絕沒有特別允許的事情。在這種情況主要就是與前面的情況相反，拒絕能力比較強，在這種安全策略中，計算機只接收被允許了的數據包，只要是不在允許情況中的數據包一律被拒絕；2）防火墻的工作原理。通常，防火墻用來控制Internet和Intranet之間相互聯系的數據流。在應用中，計算機的防火墻主要是在被保護網和外部網之間的一組路由器，以及有適當軟件的計算機的組合。可以說在網絡安全中，防火墻在其中起到了關鍵的把關作用，就是在一般情況下只允許授權的通信通過。而且防火墻通常是由兩個網絡之間的成分集合而成的，基本上是有著以下的性質，只要是內部網絡和外部網絡之間的所有網絡數據流必須經過防火墻。因為只有符合安全策略，這樣的數據流才能通過防火墻，進入計算機。防火墻是有著非常強的抗攻擊的免疫力。安全性能好的防火墻主要是有以下的屬性：首先就是信息都必須通過防火墻，其次，在受保護網絡的安全策略中允許的通信才可以通過防火墻。最后，就是通過防火墻的信息內容和活動以及對網絡攻擊進行檢測和告警，從而來增強防火墻對各種攻擊的免疫。

2 計算機網絡安全中防火墻的技術

通常，計算機的防火墻種類是比較的多的，一般在不同的發展階段，是需要運用不同技術的，所以，基于這種原因產生了多種類型的防火墻。一般防火墻采用的技術主要有以下幾種：1）屏蔽路由技術?？梢哉f。屏蔽路由技術是目前非常簡單流行的防火墻技術。屏蔽路由器技術主要就是在網絡層工作，運用包過濾或虛電路技術，在包過濾技術中主要就是通過檢查IP的網絡包來取得信息的。通常就是，先到達的物理網絡接口，然后就是源IP地址，目標IP地址，傳輸層類型，源端口和目的端口等。在根據信息，來進行正確的判別，能否規則集中在某條目匹配，再對匹配包執行規則中要求的指定動作，一般就是允許或是禁止；2）基于代理的防火墻技術。通常在基于代理的防火墻技術通常被配置為“雙宿主網關”，是有著兩個網絡接口卡的，同時接入內部和外部的網。因為網關是可以與兩個網絡通信的，所以，是可以安裝在傳遞數據軟件比較理想的位置上的。一般這種軟件我們稱之為“代理”，一般情況下，主要就是要為其所提供的服務定制的。在代理的防火墻技術中，代理服務是不允許直接與真正的服務相互通信，而是與代理服務器通信的，也就是用戶的默認網關指向代理服務器。每個代理在用戶和服務之間進行通信的處理。這樣就可以對通過它的數據進行詳細的審計追蹤的，專家們認為，這種代理防火墻技術是比較安全的，主要就是由于代理軟件可以根據防火墻后面的主機的脆弱來制定更好的防范已知的攻擊；3）包過濾技術。在防火墻技術中的包過濾技術主要就是按照一定的信息過濾規則，來對進出內部網絡的信息進行及時的限制，是可以允許授權的信息通過的，但是要拒絕沒有授權的信息通過。在包過濾防火墻工作主要就是在網絡層以及邏輯鏈路層之間的。主要就是可以截獲所有流經的IP包，一般就是從其IP頭到傳輸層協議頭，有的可以是應用層協議數據中用來獲取過濾所需的相關信息的。不過，按照順序來與事先設定的訪問控制的規則進行的匹配比較，以便執行相關的動作要求；4）一種改進的防火墻技術。這種改進的防火墻技術可以稱為復合型防火墻技術。由于過濾型的防火墻安全性比較低，而且代理服務器型的防火墻在速度上比較慢，逐漸就出現了一種綜合上述兩種技術優點的改進型防火墻技術，這種防火墻技術保證計算機的安全性，而且還通過它的信息傳輸速度受到的影響不太大。這樣對于那些從內部網向外部網發出的請求的，基于由于對內部網的安全威脅比較小，所以，可直接下載外部網建立連接，而且從外部網向內部網提出的請求，就是先通過包過濾型的防火墻，經過初步的安全檢查，兩次檢查后確定沒問題便可接受其請求，不然就進行丟棄處理。

[1]章楚.網絡安全與防火墻技術[M].人民郵電出版社，2007.

[2]勞幗齡.網絡安全與管理[J].高等教育出版社，2008.

[3]祁明.網絡安全[M].高等教育出版社，2010.

[4]白以恩.計算機網絡基礎及應用[M].哈爾濱工業大學出版社，2006.