試論計算機防火墻技術及其應用

馮思毅

(河北工程大學 教育技術中心，河北 邯鄲 056038)

網絡的發展讓人們得以在世界上任何有網絡的地方運用電腦對自己的財產進行操作，避免了現金交易的風險，也讓電商這一行業得以異軍突起，只要在電腦前下單，想要的東西就能在不久后送達。網絡為人們生活帶來便利的同時，利用網絡技術進行犯罪的事情也開始日漸凸顯。由于網絡的特殊性，人們需要借助計算機防火墻對個人財產進行保護。

一、防火墻的概念

計算機網絡防火墻技術是軟件和硬件結合起來形成的、在專用網絡和公用網絡之間、個人網絡與他人網絡之間的界面上構造的保護屏障。這個屏障是在不同網絡間建立網關，以幫助使用者的電腦過濾網絡上的病毒等危害計算機安全的信息，保護用戶財產的安全。

防火墻主要包括以下四部分：驗證工具、訪問規則、應用網關以及包過濾。而其主要功能主要體現在訪問控制和內容控制，防火墻可以自動過濾不安全的服務或者不安全的站點，監控Internet安全和預警的方便端點，以保證內部網絡的安全性，可以說防火墻是連接計算機與外部網絡的橋梁。

二、防火墻的分類

（一）包過濾防火墻

包過濾防火墻是最基礎的防火墻，電腦及路由器都自帶有包過濾功能。網絡上的所有數據傳遞都是以數據包的形式進行的，包過濾就是解析數據包中標識發送者的 IP、端口號等信息，已確認數據是否安全，如果某一IP地址被認為是不安全的，那么來自這一IP地址的所有數據包都會被過濾掉。

包過濾型防火墻又可以分為無狀態包過濾和有狀態包過濾。無狀態包過濾是根據包頭部的信息來判斷數據包的安全與否，這是最原始的判斷方法，其弊端也很明顯，判斷的依據很不充分，只有特別明顯的錯誤才能被識別。有狀態包過濾則可以檢查包內所有信息，以此來判斷數據能否通過。有狀態包過濾的缺點是對每一個數據包的解析和比對會占用大量的時間和運行空間，影響電腦的響應速度。不過由于其在處理數據時的簡易性和可讀性，目前仍然被計算機操作人員廣泛使用。

（二）代理服務型防火墻

代理服務器相當于在用戶和外部網絡之間設立了一個中轉站，用戶的數據包先到中轉站，然后由中轉站發往外部網絡，運用代理服務器，數據包的內容會有所改變，從而起到保護用戶計算機的目的，而這種防火墻的弱點同樣是對于數據的處理需要占用大量的資源。

（三）復合型防火墻

復合型防火墻是代理型防火墻和包過濾型防火墻的有機結合，復合型防火墻的防護效果要由于兩者。復合型防火墻又可以劃分為屏蔽主機防火墻體系結構和屏蔽子網防火墻體系結構，屏蔽主機防火墻體系結構是在內部網絡中設置堡壘機，堡壘機是外部網絡唯一能夠訪問的節點。而屏蔽子網防火墻體系是將堡壘機安裝在子網內，使這一子網與外界網絡分離，確保子網不受未授權外部用戶的攻擊。

三、防火墻的應用

防火墻，顧名思義，其功能在于“防火”，防火墻能夠作為網絡安全的屏障，強化網絡安全策略，可以配置WWW服務和FTP服務，方便用戶對于此類服務器的訪問，也能夠禁止相關服務器的訪問，以保護用戶計算機。

如今黑客運用的攻擊方式多種多樣，主要有以下幾種：病毒、口令字、IP地址。針對不同的網絡攻擊方式，防火墻都有相應的反制措施。

（一）對于病毒的處理

在部分防火墻產品上自帶有掃描病毒的功能，能夠對接收的數據包進行篩選和偵察，但是由于病毒的日新月異，往往防火墻只能防一時的病毒，對于之后更先進的病毒基本無防護能力。而黑客常用的方法一是將病毒偽裝成某種文件或者應用程序，用戶在不知情的情況下下載文件或者安裝應用程序會使病毒直接進入電腦內網。方法二是利用軟件一次性發送成千上萬條含有惡意代碼的郵件，造成惡意代碼的爆炸式傳播。對于上述問題，可以設置防火墻到較強的等級，對于未經許可就運行的后臺程序，一律禁止運行，以防止信息泄露。

（二）對于口令字的處理

口令字是相當于打開防火墻的鑰匙，黑客如果掌握了口令字，就能在用戶的計算機中為所欲為。因此對于口令字的攻擊也是流行的網絡攻擊手法之一，黑客往往采用窮舉和嗅探來獲取防火墻口令字。嗅探是通過偵查來獲取主機給防火墻的口令字，而窮舉是將所有可能的口令字集合起來一個個測試，直至找出正確的口令字。對于此類問題，可以設置防火墻采用一次性口令或者讓主機和防火墻通過不可偵測的單獨接口進行通信。

（三）對于IP地址的處理

上文提到防火墻對于數據包的識別有時候是只根據包頭部的信息判斷是否攔截，因此如果黑客通過代理服務器把自己的IP地址設置成與內部網絡的IP地址，就能夠避過防火墻的檢測，從而進入內部網盜取用戶的信息。對于此種網絡攻擊，有兩種解決方法：

1.將計算機的適配器地址（MAC）與計算機的IP地址進行綁定，擁有對應 MAC地址的用戶才能訪問被綁定的IP地址，當然這種方式只適用于靜態IP,對于動態IP則要采用另一種方法。

2.反向過濾技術（rp-filter）。系統在接收到一個IP包后，檢查該IP是不是合乎要求，不合要求的IP包會被系統丟棄，也就是對于IP包設置唯一的網口，只識別來自這個網口的IP包，這種方法能夠有效避免黑客的網絡攻擊。

五、小結

互聯網的發展讓黑客的網絡攻擊手段更加靈活和隱蔽，而與此同時人們越來越趨向于利用網絡來進行一切消費，以此來獲取更大的便利，網絡犯罪的隱蔽性讓人們對于在網絡層面的財產的保護更加關注，因此對于計算機防火墻的要求也越來越高。相信隨著科技的發展，防火墻能夠真正為用戶防止一切攻擊，保護用戶的合法財產不受侵害。

[1]吉中云.試論防火墻在計算機網絡系統中的應用[J].電子制作，2012(8):29.

[2]趙俊.淺談計算機防火墻技術與網絡安全[J].成都航空職業技術學院學報：綜合版，2012,28(4):50-52.

[3]姜瑞云，馮立剛，趙麗萍.網絡社會與人的社會化[J].河北工程大學學報（社會科學版），2009(2):75-76,74.