計算機防火墻分類與應用

河南省電子產品質量監督檢驗所 趙志強 謝利濤 馬桂云

計算機防火墻分類與應用

河南省電子產品質量監督檢驗所 趙志強 謝利濤 馬桂云

一、防火墻的概念

防火墻是一種位于2個或多個網絡間，實施網絡之間訪問控制的組件集合。對于普通用戶來說，防火墻指的就是一種被放置在自己的計算機與外界網絡之間的防御系統，從網絡發往計算機的所有數據都要經過它的判斷處理后，才會決定能不能把這些數據傳輸給計算機，一旦發現非法數據的傳輸，防火墻就會攔截下來，實現了對計算機的保護功能。

二、防火墻分類

基于具體實現方法可以分為以下3種類型：

1.軟件防火墻。防火墻運行于特定的計算機上，一般來說這臺計算機就是整個網絡的網關。軟件防火墻與其他的軟件產品一樣，需要先在計算機上安裝并做好配置后方可使用。使用這類防火墻，需要網絡管理人員對所使用的操作系統平臺比較熟悉。

2.硬件防火墻。由計算機硬件、通用操作系統和防火墻軟件組成。在定制的計算機硬件上，采用通用計算機系統、U盤、網卡組成的硬件平臺上運行Linux、FreeBSD和Solaris等經過最小化安全處理后的操作系統及集成的防火墻軟件。其特點是開發成本低、性能實用，且穩定性和擴展性較好。但是由于此類防火墻依賴操作系統內核，因此受到操作系統本身安全性的影響，處理速度較慢。

3.專用防火墻。采用通過特別優化設計的硬件體系結構，使用專用的操作系統。此類防火墻在穩定性和傳輸性方面有著得天獨厚的優勢，其速度快、處理能力強、性能高。由于采用專用操作系統，因而容易配置和管理，本身漏洞也比較少，但是擴展能力有限，價格也較高。由于專用防火墻系列化程度好，用戶可以根據應用環境選擇合適的產品。

三、防火墻的功能

1.允許網絡管理員定義一個中心點來防止非法用戶進入到內部網絡。

2.可以很方便地監視網絡的安全性，并實時報警。

3.可以作為部署NAT（NetworkAddressTranslation，網絡地址變換）的基礎，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

4.是審計和記錄Internet使用費用的一個最佳方法。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式提供部門級的計費結果。

四、防火墻的作用

早期的防火墻一般就是利用設置的條件，監測通過包的特征來決定放行或者阻止，因此包過濾是很重要的一種特性。雖然防火墻技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同4層交換機仍要具備包的快速轉發功能一樣。通過包過濾，防火墻可以實現阻擋攻擊，禁止外部和內部訪問某些站點，限制每個IP的流量和連接數。

2.包的透明轉發。事實上，由于防火墻一般架設在提供某些服務的服務器前端。用戶對服務器訪問的請求與服務器反饋給用戶的信息，都需要經過防火墻來轉發，因此，很多防火墻具備網關的能力。

3.阻擋外部攻擊。如果用戶發送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷，避免其進入防火墻之后的服務器中。

4.記錄攻擊。如果有必要，其實防火墻是完全可以將攻擊行為都記錄下來的，但是出于效率方面的考慮，目前一般記錄攻擊的功能都交給IDS（入侵檢測系統）來完成。

五、防火墻的選擇和實施

1.選擇。防火墻是一類防范措施的總稱，簡單的防火墻可以只用路由器來實現，復雜的防火墻要用1臺主機甚至1個子網來實現，它可以在IP層設置屏障，也可以用應用層軟件來阻止外來攻擊，所以我們要根據實際需要，對防火墻進行選擇應用，技術人員的任務是權衡利弊，在網絡服務高效靈活、安全保障和應用成本之間找到一個“最佳平衡點”。

（1）對防火墻的主要類型和各種類型的優缺點要有所了解。

（2）防火墻的穩定性和它所支持的平臺種類。

（3）使用單位愿意為防火墻投資多少經費。

（4）使用單位的技術力量如何，能否維護復雜的防火墻。

2.管理和維護。選擇、安裝適合的防火墻后，我們還要對防火墻進行管理和維護。

（1）管理維護人員必須經過一定的專業培訓，對單位自身的網絡必須有一個清楚的了解和認識。

（2）定期進行掃描和檢測，以便及時發現問題和堵住漏洞。

（3）保證系統監控和防火墻通信線路的暢通，發生安全問題時及時報警，并及時處理有關安全問題。

（4）分清工作重點，根據不同時期進行網絡安全的監控。

（5）要與廠家保持聯系，以便及時獲得有關升級和維護的信息。

防火墻作為維護網絡安全的關鍵設備，在目前采用的網絡安全的防范體系中，占有著舉足輕重的位置。隨著計算機技術的發展和網絡應用的普及，越來越多的企業與個人都遭遇到不同程度的安全難題，因此市場對防火墻的設備需求和技術要求都在不斷地提高。