防火墻技術在計算機局域網中的運用

趙錦楠

摘 要：隨著時代的進步，人們緊鑼密鼓地展開一系列科技創新活動，計算機便是影響這個時代最深刻的高科技產品。但是它的產生也帶來了信息安全問題，我們越來越難以辨別信息的真偽，這一系列問題和危機都是現在亟待解決的。目前，防火墻技術在維護信息安全中起著舉足輕重的作用，在當前局域網中的應用相當廣泛。進一步了解防火墻技術和它的優缺點，對防火墻技術的改進有著重要意義。

關鍵詞：計算機；防火墻；局域網；信息安全

中圖分類號：TP393.082 文獻標識碼：A 文章編號：2095-6835（2014）03-0135-02

1 防火墻功能

1.1 防火墻的概念

防火墻本來是用來阻止火災蔓延的一種建筑物，即火災區和即將被波及區域的隔離物。因特網上的防火墻跟它的道理相同，也用來阻止因特網的病毒入侵到內網中。與其說因特網上的防護墻像一座建筑物的防火墻，不如說它是護城河更為形象。

防火墻的作用如下：①限制人們從一個特別的控制點進入；②防止侵入者接近你的其他設施；③限定人們從一個特別的點離開；④有效地防止入侵者損害你的計算機系統。

1.2 防火墻的優點

1.2.1 防火墻能強化安全策略

由于因特網上天天都有很多人在這里獲取信息、交換信息，難以保證不會出現素質低下的人或違法亂紀的人，作為因特網上的“警察”，防火墻通過實行該站點的安全策略來防止不良信息的傳播，只有符合安全策略的請求才能通過。

1.2.2 防火墻能有效地記錄網上活動

它可以監控內網和互聯網的使用過程，并收集到出錯的信息，這樣就能對它們的通信進行記錄，并生成日志。

1.2.3 防火墻限制暴露用戶點

防火墻是掛在兩個網段之間的，通過特定協議來控制兩個網段之間的通訊。同時，這樣也能防止因為一個網段產生問題而擴散到整個網絡。

1.2.4 防火墻是一個安全策略的檢查站

防火墻類似于一個安檢機器，檢查訪問用戶的信息是否與協議沖突，從而確定用戶是否有訪問權限。

1.3 防火墻的不足之處

1.3.1 不能防范惡意的知情者

防火墻作為保護局域網安全的一道屏障，可以根據特定協議控制、檢查互聯網對其局域網的訪問。但如果入侵者了解網絡的結構體系，小心地避開防火墻的監控，則防火墻就失去了它的保護功能，可能會導致信息的泄露；或者入侵者就處于局域網內，同樣也使該內網陷入信息泄露的危險境地。所以，要提高局域網的安全性，不能只依靠防火墻，還需加強對工作人員的管理，強化內部信息的保密工作。

1.3.2 不能防范不通過它的連接

防火墻的信息能夠有效地阻止經過它的可疑訪問，但是如果站點允許其他方式的訪問，比如撥號訪問防火墻后部的系統，防火墻對這種訪問則是無能為力的。

1.3.3 不能防備全部的威脅

目前有些防火墻可以防范和抵御一些新的威脅，但是再好的防火墻也沒有辦法自動防備所有威脅。

1.3.4 防火墻不能防范病毒

防火墻不能消除網絡上的個人計算機的病毒。

2 防火墻技術在局域網的運用

防火墻往往不只有一個部件，它經常是由一系列部件按照一定體系結構組合而成。部件通常有硬件和軟件兩種。不同局域網之間的信息交互必須通過防火墻。不僅如此，防火墻還可以通過設置兩個局域網的通信協議來控制訪問，所以防火墻是一種高級訪問設備。

防火墻檢測系統在“得知”受到攻擊后，就會根據策略來對信息進行分析，查看在策略中對此攻擊的設置是阻斷還是允許，將檢查得到的信息反饋發給防火墻，防火墻就能作出正確判斷。防火墻的包過濾功能可以有效阻止外部攻擊并進行記錄，使得局域網在一定程度上處于安全的狀態。

目前，常見的防火墻技術有三種：屏蔽路由器、屏蔽主機網關和屏蔽子網。

2.1 屏蔽路由器

由路由器或者主機（代替路由器）組成屏蔽線路，所有進出的數據流都要經過這個路由器，在基于IP層上安裝報文過濾軟件，這些配置都比較簡單。通過這種方式來實現內網和外網之間的訪問控制。這種方式比較靈活，包過濾局域網對用戶可見，是一種快捷有效的簡便方案。但因為一些應用協議數據包過濾不適合正常的數據包，所以，部分安全協議路由器無法執行，不能完全阻止黑客的入侵，也無法處理新的安全威脅。

2.2 屏蔽主機網關

屏蔽主機網關技術在應用中越來越被人們認可，它給局域網的安全加了雙重保障。由一個包過濾路由器連接外網，這個路由器成為堡壘主機與外網通訊的連接樞紐。一般是在路由器上設立規則。當主機需要對外訪問時，可先把信息發給堡壘主機，再由堡壘主機發給內網的相關共同站。這樣即使堡壘主機被攻破，只要包過濾器還起作用，其他內網主機仍然安全。

無論在什么情況下，用戶不能直接與服務器建立連接。它的優點是具備較強的包檢測能力，安全性更有保障，可以生成各種日志，有更好的靈活性；缺點是速度比路由器緩慢，對于不同的用戶機構，可能會產生一些協議的限制，因此適應性稍有點差。

2.3 屏蔽子網

屏蔽子網是目前常使用的結構體系。它由兩個篩選路由器和一個堡壘主機構成，路由器一個處于內網，一個處于外網。內部網絡與外部網絡通訊需通過兩層防火墻和一個堡壘主機，屏蔽主機體系結構使用一個單一的路由器，只提供內部網絡相連的主機的服務。在這個架構中，包過濾（包過濾是用來防止人們繞過代理服務器直接連接）及其實施方法：例如，兩個路由器，一個控制內聯網（Intranet）數據流，另一個控制互聯網（Internet）提供的主要安全數據流，屏蔽子網允許內聯網（Intranet）和互聯網（Internet）進行訪問，但禁止它們穿過?？赡苄枰惭b堡壘主機的子網掩碼為內部網絡和外部網絡的互相訪問提供代理服務，但訪問網絡路由則需要兩個數據流通過兩個包過濾路由器的檢查。這樣在任何一道防護措施被攻擊時，仍然有兩道防護措施，大大增加了它的安全性。它結合了上面兩種防火墻技術的長處，提高了訪問監控的安全性和訪問效率。

總而言之，對付黑客入侵最有效的方法就是在局域網中使用防火墻技術，目前專家也致力于研究出一種更加完善的網絡防護技術，能迅速檢測病毒，使破壞者的詭計無法得逞。

3 結束語

防火墻技術在當今的網絡時代顯得尤為重要，它的出現為我們營造了相對安全穩定的網絡環境。但是任何一個環節的工作，只是邁向安全的步驟。沒有一種防火墻技術是絕對安全的，能否快速追趕病毒的更新速度，是目前衡量防火墻好壞的一個重要標準，也是專家們正在研究的方向。

參考文獻

[1]馬程.防火墻在網絡安全中的應用[J].甘肅科技，2007（4）.

[2]楊勇輝.網絡安全—防火墻技術淺析[J].山東科技信息，2007（4）.

[3]楚狂等.網絡安全與防火墻技術[M].北京：人民郵電出版社，2000.

〔編輯：陳文強〕