基于防火墻的網絡安全技術研究

摘 要：近年來，隨著網絡的發展，網絡安全問題也日益嚴重。防火墻作為最早出現的使用量最大的安全產品，備受網絡用戶和網絡研發機構的青睞。防火墻的核心思想是在不安全的網際環境中構造一個相對安全的子網環境。本文首先介紹了防火墻技術的基本棍念，在對防火墻有了基本的認識以后，闡述了它所能實現的功能。本文的核心是防火墻的類型以及如何根據自舟需要來選擇有效的防火墻。

關鍵詞：防火墻技術；網絡安全；技術策略

1 防火墻概述

1.1 基本概念

防火墻形式多樣，想要給出一個涵蓋所有網絡配置的歸一化定義是很難的。一般來說，防火墻的主要功能是隔斷外界對本地網絡或主機數據庫的非法訪問，它是軟件和硬件的組合體，事先設定一些特定準則，以挑選想要或不想要的網址。防火墻規則可劃分為三方面：設定外界人員訪問內部服務的權限范圍，以及內部人員可以訪問哪些外部服務。高級防火墻還可以對網絡登錄情況進行實時監控，截取并分析信息，對癥下藥，根據不同情況采取適當的防護手段。

一般而言，代理服務器是局域網內用戶訪問網絡數據庫的必經之路，另外它起到防火墻作用，借助多穴主機方式，將局域網和外網予以隔離，監控網絡運行情況，并及時記錄傳輸數據。

1.2 防火墻四個主要功能

⑴防火墻有助于實施通用性較佳的廣泛安全政策，確定服務訪問權限。防火墻主要控制網絡往返訪問，對于未獲得授權的非法用戶，嚴格限制其訪問內部網絡資源，也嚴禁內部向外界傳遞信息，只允許獲得授權的數據傳輸。

⑵建立節流點。在公共網絡和公司專有網絡之間應該有一個節流點，這個工作由防火墻完成。通過節流點，防火墻可以對經過節流點的所有數據進行監控和過濾。

⑶記錄網絡訪問行為。防火墻會實時記錄訪問操作，并具有報警功能。

⑷保護網絡主機隱秘性。防火墻對網絡到網絡的過渡進行多重加密，并加強身份驗證，以盡可能減少網絡主機的暴露。

2 防火墻技術分析

2.1 包過濾防火墻

數據包過濾在內部網絡和外部主機之間進行選擇性記憶，依照訪問控制列表（ACL）的算法來決定數據包是否可以通過。通過合理設置，ACL可以根據數據包報頭的任意部分進行數據包篩選工作。目前，這種過濾主要針對數據包的源地址和目的地址、協議種類、源端口和目的端口。數據包過濾是在網絡層和傳輸層之間的邊界安全機制。

2.2 狀態檢測防火墻

該類防火墻采用了狀態監測和故障診斷技術，在傳統數據包過濾的基礎上進行了功能拓展。采用這種技術的防火墻會對節流點處的每一個連接進行跟蹤，嚴格監控運行狀況，并按需在過濾過程中不斷增減算法條目或調整規則。狀態檢測防火墻在網絡層設置了檢查引擎，通過截取數據包抽取相關信息，獲得應用層的運行信息，并以此作為是否接受該連接的依據。

2.3 代理服務防火墻

代理服務是運行在防火墻主機上的特有程序，主機可以是一個雙重宿主主機，同時擁有內部網絡接口和外部網絡接口，也可以是一個圍墻式主機，作為唯一一個可以與外部網絡通信的站點。代理服務器接收內部用戶網絡服務請求，根據相關安全準則核實其使用權限，而后轉發請求，并將此請求反饋給網絡主機。換言之，代理服務器發揮了網關的功能，在應用層上提供替代連接并提供代理操作。代理具有服務專屬性，要按照應用服務的歸屬情況選擇合適的代理服務器。

2.4 網絡地址翻譯

網絡地址翻譯，將私有地址轉換為可以在公共網絡上被路由器所識別的IP地址，在私有地址節點和外部公網節點之間建立通信通道。一般來講，網絡地址翻譯設置在外部和內部網絡接壤處，內部網絡主機向外網主機發出數據傳輸請求時，先將數據包發送到NAT設備，NAT進程首先審核IP數據包報頭，如果允許通過，就用唯一一個專屬IP地址對內源地址字段中的私有IP地址進行替換，再將數據包發送到外部網的主機上。外部網主機發回反饋數據包后，NAT進程負責接收，根據現有的網絡地址比對表，再把回應包中的共有目標地址換為原來內部主機私有地址，最后把該回應包送到內部網指定的源主機進行相關數據操作。

2.5 個人防火墻

個人防火墻又名單機防火墻，主要功能是保護PC接入公共網絡時的數據安全。個人防火墻主要以軟件形式存在，硬件式很少見。個人防火墻能夠對內部攻擊和外來侵襲產生有效抵御。

2.6 防火墻分析總結

通過上述分析，我們了解到，防火墻只是網絡安全防護的一個環節，必須結合諸如病毒防護、加密算法、身份鑒別技術一類的手段，才能最大程度提高網絡安全等級；再者，防火墻也并非萬無一失，只能對經過節流點的訪問和攻擊進行防御，如果黑客通過某些手段繞過防火墻，則此類防護就失去作用；另外，架構防火墻要充分進行技術需求分析和風險成本管理，并要注意后期的維護和翻新，防火墻的測試和試驗受限也較多，所以單一防火墻技術并不能很好滿足用戶網絡安全的需要。

[參考文獻]

[1]任月鷗，高文舉，李秋菊.在校園網絡環境下防火墻技術的應用研究[J].硅谷，2011（12）

[2]孫智康，劉健鴿，諶麟.火電廠信息系統防火墻技術的深化應用[J].湖南電力，2010（04）

[3]羅瑩，陳瓅.網絡安全主流技術淺談[J].宜春學院學報.2007（02）.