防火墻技術在計算機網絡中的應用

吳名華

1 傳統防火墻技術分析

1.1 簡單包過濾技術

作為第一代防火墻技術，簡單包過濾技術的防火墻功能是通過檢查流經網絡防火墻的每個數據包，并依照既定的安全策略判斷數據包是否符合通過要求得以實現的。該技術產生于1985年，是從Cisco的IOS軟件中分離并處理而得到的，經過多項功能的修補與完善，其運行速度和數據包檢測效率等功能都得到了極大提升。簡單包過濾技術的基礎是對數據包的數據結構和內容進行全面分析，并基于數據包中的源地址、目的地址、每項IP包的端口號以及應用協議等數據內容對數據包的通過權限進行判斷，以此保證數據包中的數據內容不會對計算機網絡產生不良影響。在簡單包過濾技術中，其數據包過濾規則主要包括源地址、目的地址、源端口、目的端口及協議類型等內容。該過濾技術依照數據過濾規則首先對數據頭部進行檢測，檢測后決定是否將其呈遞給下一級數據判斷協議。盡管簡單包過濾技術的檢測速度快且費用較低，但由于該技術的實現是以IP層面為基礎的，無法對數據包內容進行深入檢測，所以其在數據包處理中針對更高協議的信息并不具備良好的理解能力。

1.2 應用層網關代理技術

應用層網關代理技術是由美國電報公司實驗室提出的。在該技術中，防火墻技術應用到了數據應用層，并以應用層協議為基準，對應用層的數據編程和數據包開展針對性的驗證與檢查。在該網關代理技術中，防火墻能夠對進出向數據包進行檢測，從應用協議層和用戶層之間提取訪問控制，并通過網關復制傳輸數據，以有效防止客戶機與不受信任的主機建立聯系。

1.3 電路層網關代理技術

電路網關代理技術的開發始于20世紀80年代，該技術的實現是以數據傳輸層為基礎的，并在內部端口和外部端點的TCP連接過程中設立了連接限制。這就使得數據包內容檢測分為了兩個TCP連接部分，一個設立在外部主機和防火墻之間，另一個則建立于防火墻和顳部主機之間。TCP連接部分的分離使得不受系統限制的TCP連接在中轉過程中，其IP地址以電路層網關地址的方式呈現，并使外界能夠更為直觀地得知網關的目的地址的連接關系。電路層網關代理技術所開展的數據服務更多的是在傳輸層對非交互式應用程序進行數據分析與處理。一旦用戶能夠通過該網關的技術檢驗，那么系統便允許用戶穿越網關進行系統訪問與服務。在這一過程中，該網關代理技術僅用于用戶和服務器間的連接，而無法對更深層的數據包進行訪問和認證。

2 新型防火墻技術分析

2.1 多級過濾技術

為了有效地提升計算機網絡系統的防護水平和安全性，新型防火墻技術的開發采用了多級過濾技術，通過對數據包內容進行多級鑒別，以實現對假冒IP地址和危險數據的有效濾除。新型多級過濾技術通常分為三個過濾級:第一過濾級是分組過濾，能夠過濾掉所有假冒的IP地址和源路由器分組IP地址;第二過濾級是應用網關進行過濾，如SMTP、FTP等網關，以實現對系統運行服務器的有效實時監測與控制;電路網關作為最后一級，是實現外部站點和內部主機連接的關鍵，同時對網絡的運營與服務進行嚴格的控制與管理。

2.2 網絡地址轉換技術

在新型防火墻的構建中，NAT技術有效地實現了計算機所有內部地址的透明轉換，通過對計算機網關的內部數據進行透明化處理，使得外部網絡無法獲知計算機內部網絡的具體數據結構。網絡地址轉換技術在對內部數據結構進行透明化處理的同時，也為計算機網絡內部的專用網絡和IP源地址提供了訪問權限，進而使得新型防火墻能夠對每個主機的通信內容進行記錄，以有力保證不同分組送往地址的正確性。

2.3 透明的訪問方式

傳統防火墻技術在應用中通常會要求用戶進行系統登錄，或利用SOCKS等數據庫路徑對客戶機的應用進行修改，而這些都是以數據表層結構為基礎得以實現的，其本質并不具備對IP地址判斷識別或數據結構轉換的能力。在新型防火墻技術中，透明訪問方式的采用則進一步深化了計算機網絡系統對用戶信息的處理層，進而有效地控制了系統登錄和數據庫訪問式登錄的錯誤和風險發生概率。

2.4 用戶鑒別和加密技術

在防火墻產品的實際應用中，為了有效降低Telnet FTP等服務在數據遠程管理中的安全風險，采取一定的用戶鑒別措施和加密技術是十分必要的。新型防火墻技術則在自身系統中加入了用戶鑒別和加密技術，通過采用一次性使用的口令字技術極大地提升了系統自身的用戶鑒別效率和數據郵件的安全性。

2.5 審計和告警

為了進一步完善防火墻產品，新型防火墻技術還加入了數據審計和告警功能。其中，系統數據審計文件主要包括內核信息、一般信息、接受郵件信息及其已發信息等，并通過將不同IP地址間的數據傳輸內容進行對比與認證，確保計算機主機系統與其他服務器間的正常連接，從而保證數據傳輸準確性，并為計算機網絡數據的傳輸奠定數據傳輸基礎。防火墻中所采用的告警功能能夠對每個數據包的UDP或TCP進行探尋處理，一旦發現數據包中的UDP或TCP存在異常，便能夠通過發出聲響或呈遞郵件的形式報警，以便計算機網路系統及時地進行處理，有效地避免了數據包中潛在威脅對計算機網絡系統的影響。

3 新型防火墻技術發展方向

3.1 智能防火墻技術

所謂的智能防火墻是指通過對數據進行統計、處理等操作來實現對數據的識別，從而實現對訪問的控制功能。利用智能防火墻能夠有效地防控非正規數據的訪問，尤其是一些惡意數據，最關鍵的是在檢測出非正常數據后自動對其實施阻斷攔截。目前智能防火墻廣泛地應用在對木馬病毒的防控中。智能防火墻的智能化還體現在對黑客非法行為的監控上，比如智能防火墻能夠識別出黑客的掃描行為，并且進行有效的阻斷。最新的智能防火墻在自身防護性能上又進了一步，增加了反掃描技術，補充和完善了對惡意代碼的識別種類。擦洗技術也是智能防火墻技術中的一項強大功能，能夠對IP、ICMP等協議進行擦洗操作，保證網絡協議的正常化運行，避免網絡協議中出現潛在的風險影響系統運行的穩定性，并且智能防火墻在傳統防火墻的基礎上，完善了身份識別技術，從而有效地控制了訪問身份。總體來說，智能防火墻技術解決了高危病毒易傳播以及高級應用的非法入侵問題，是防火墻技術未來的一種主要趨勢，勢必在應對黑客攻擊、消除系統潛在風險等領域取得更為廣泛的應用。對于企業而言，智能防火墻還能實現對內部局域網的有效管理和監控效果。

3.2 分布式防火墻技術

分布式防火墻技術指依存于網絡安全防護軟件中的維護技術，主要包括網絡防火墻、主機防火墻兩種類型。其中網絡防火墻主要用于對局域網與互聯網之間的子網保護方面，而主機防火墻的應用較為廣泛一些，主要是由于主機的位置可能在局域網內，也可能在局域網外。分布式防火墻有效改善了傳統網絡的不足，降低了主機位置對網絡防護的影響，保護了系統的服務器以及桌面，并且支持具有身份認證的網絡應用以及移動計算。分布式防火墻主要應用于企業內部局域網中，在彌補局域網內部缺陷的同時，還能防控住局域網的內部攻擊，從而實現對主機的有效防護。

3.3 嵌入式防火墻技術

所謂的嵌入式防火墻技術基于路由器內部的防火墻技術，主要工作對象是IP層，從這個角度來講，嵌入式防火墻技術無法應對來自應用層面的病毒攻擊。但是嵌入式防火墻技術也有自身優點，比如不管企業內部網絡如何進行變化，嵌入式防火墻技術都能夠對網絡甚至是網絡邊緣進行防護，也就是說，嵌入式防火墻技術能夠保證互聯網來訪企業內部網絡的操作安全。

4 防火墻技術在計算機網絡中的應用

4.1 深層檢測防火墻技術

深層檢測防火墻技術是未來防火墻在計算機網絡安全防護中的改進方向。深層檢測防火墻技術能夠在識別到網絡信息后，對其內部數據定向到TCP/IP堆棧，并且按照基本的檢測方式進行檢測。深層檢測防火墻技術在傳統防火墻技術的基礎上，補充和完善了對于惡意入侵信息的防護功能。未來的深層檢測防火墻技術不僅能夠對網絡層進行實時保護，還能對網絡應用層進行防控。尤其是對網絡應用層的防護，深層檢測防火墻技術憑借其更加廣的檢測范圍以及更加有效的防控技術，勢必會在網絡應用層的防護中占得一席之地。

4.2 流過濾防火墻技術

流過濾防火墻技術防護原理主要是在對包過濾進行檢測的基礎上，通過專業的內嵌式TCP協議棧，來實現對TCP層中應用協議信息的過濾操作。與深度檢測技術相比，流過濾技術的主要優勢在于能夠對信息進行識別以及滯留重組，并且還能夠將重組的信息流交給應用層進行過濾，實現對進入防火墻的數據實現完整的重組，從而實現對惡意攻擊行為的有效攔截。

4.3 防火墻的發展趨勢

未來的防火墻技術勢必會向著高性能、多功能的方向進步發展，其中可以通過對ASIC硬件加速技術來提高防火墻的運行速度，利用網絡處理器，通過微碼編程技術來實現系統的自由升級，就像現在的安卓系統一樣，如果技術過硬，還有可能實現對IPv6的支持。未來的防火墻技術勢必會集成更多的網絡安全防護功能，實現網絡防護功能的高度集成化，利用模塊形式存放到防火墻的機箱中，從而實現網絡安全設備之間的有效結合。隨著我國市場經濟的不斷完善和發展，防火墻防護技術勢必也會走向產業化。目前我國的計算機網絡應用發展面臨多方面的安全問題。加強計算機網絡應用安全維護，不僅可以提高網絡運行的安全性，也為計算機網絡應用的發展奠定了堅實的基礎。

［1］孫劍.淺談計算機網絡常見故障處理及維護方法［J］.科技博覽，2010(12):80.

［2］陳健.計算機網絡安全常見問題與對策［J］.信息系統工程，2012(3):68－69.

［3］郭建英.數據通信網絡維護與網絡安全問題的探討［J］.科技資訊，2011(26):9－10.

［4］朱翔.淺析計算機網絡安全技術的發展與應用［J］.中國科技信息，2007(10):106－107.