防火墻技術在計算機網絡安全中的應用

杜爾升

?

防火墻技術在計算機網絡安全中的應用

杜爾升

廣東省科技創新監測研究中心，廣東 廣州 510000

網絡技術的普遍應用是社會科學技術飛躍進步的表現，促進了現代化社會的建設進程。人們的生活和工作都離不開計算機網絡，帶來了很高的時效性和便利性，但是另一方面，網絡技術是雙刃劍，它也帶來了不好的一面。目前網絡信息泄露，網絡破壞等安全問題給人們帶來了經濟和精神損失，這是我們不得不采取措施應對的問題。防火墻技術是目前最為流行的網絡安全防護技術，它能夠通過不同方式來保護信息安全。基于此，對防火墻技術的定義、功能、應用等進行簡要分析，為研究防火墻在網絡安全中的應用提供參考。

防火墻；計算機；網絡安全；應用

現如今網絡技術蓬勃發展，人們生活工作學習時時刻刻都離不開網絡，網絡資源成為人們信息獲得的主要渠道。與此同時，計算機技術也在日新月異的發展中，社會的方方面面都滲透著計算機技術。網絡資源是現代計算機網絡通信技術與計算機技術相結合的產物，21世紀以來“計算機就是網絡”的概念已經成為人們心中的理所當然，可見網絡資源與計算機技術在社會中的普及程度[1]。盡管網絡技術給人們的生活工作帶來了諸多便利，但是不可忽視的是頻發的網絡安全事件嚴重損害了網民的隱私以及財產安全等，防火墻技術作為網絡安全的防護技術得到了普遍應用，本文將對其在計算機網絡安全中的應用進行簡要探討。

1 防火墻的基本概念

防火墻是應用在計算機網絡安全領域的安全防御工具，它被用在內部網和外部網之間，前者被認定為安全網絡，后者被認定為相對不太安全的網絡。防火墻的組成包括軟件和硬件，內部網和外部網之間的聯通必須且只能通過防火墻。防火墻是保障網絡信息安全的基礎服務手段，本身擁有很強的防護功能，同時可以通過接收安全政策控制（允許、拒絕 、監測）來對進出網絡的信息流進行放行和阻截等。防火墻是一個分析器，能夠對通過的信息流進行分析，同時是一個分離器，可以對分析后的信息流進行篩選，也是一個限制器，對篩選為不安全的信息流進行限制，拒絕其進入內部網，授權安全的信息流進入內部網。防火墻自身的防滲透性也很強，因此可以有效防護網絡安全，保障內部網的安全性[2]。

2 防火墻的主要功能

（1）動態包過濾技術。也稱為狀態檢測技術，能夠對通過防火墻的數據包進行截獲分析，提取其應用層信息，根據信息的安全程度決定拒絕還是允許，可以實現動態安全網絡控制目的。防火墻可以對通過其端口的信息流進行動態管理，前提是需要進行連接。

（2）控制不安全的服務。防火墻可以實現對不安全服務的有效控制，提前設置好信任域與不信任域之間數據出入的策略，就可以將不安全服務拒絕在內部網外，也可以對規則計劃進行定義，在需要啟動和關閉策略的時候自動進行啟動和關閉，不僅大大增加了內部網的安全性，而且具有靈活性[3]。

（3）集中的安全保護。防火墻可以集中內部網的所有需要防護的軟件，包括需要改動和附加的所有軟件，例如電子口令、密碼和身份認證等，這些安全問題可以集中由防火墻進行管理，具有高效性。操作也十分簡便，只需要以防火墻為中心進行安全方案配置即可實現集中安全保護。相比把安全問題分散在每個主機上而言，由防火墻進行集中安全管理更為高效和經濟。

（4）加強對網絡系統的訪問控制。防火墻可以設定外部網對內部網的訪問服務，進行訪問控制，例如關系重大網絡安全的特定服務可以對外部網進行屏蔽，使其不能夠訪問。對于一些關系較小網絡安全的其他服務，比如WWW服務則允許外部網訪問。

以上幾點是防火墻所應具備的一些主要防護功能，隨著技術的發展，防火墻防護功能也更加多元化，合理應用和管理防火墻功能才能真正發揮防火墻的防護作用。

3 防火墻技術在計算機網絡中的應用

3.1 包過濾防火墻

一般只應用于OSI七層模型中的網絡層數據。包過濾防火墻能夠對連接狀態進行檢測，預先設定邏輯策略后，凡是通過防火墻的數據包都要經過分析，邏輯策略中包含端口、地址和源地址等，如果數據包中的信息和策略中的條例不相一致則數據包可以通過。如果能夠和策略中的條例匹配上，數據包就會被攔截下來。數據包在進行傳送時，都被分割為無數個由目的地址和源地址組成的小數據包，在通過防火墻時它們被按照不同的傳輸路徑傳輸過去，但是最后會在同一個目的地會和。在到達目的地后，數據包仍然要接受防火墻的檢查，合格的方可最后通過。如果傳輸過程中數據包丟失地址或發生端口錯誤則會被丟棄[4]。

3.2 應用網關防火墻

也叫做代理防火墻，它作用于OSI模型中的網絡層、應用層和傳輸層。應用網關防火墻認證的是個人而非設備，這一點和包過濾防火墻有所不同，在發送數據前進行驗證，驗證成功后允許訪問網絡資源，認證包括口令，密碼，用戶名等，因此沒有預留時間為黑客提供DOS攻擊。應用網關防火墻分為直通式網絡防火墻和連接網關防火墻。后者有更多的認證機制，可以通過截獲數據流量進行認證，認證成功后連接網關防火墻才允許服務訪問。連接網關防火墻還能夠對應用層進行防護，提高應用層安全性，而直通式防火墻則不具備這一功能。

3.3 深層檢測防火墻

這是防火墻目前的發展趨勢，該技術首先對網絡信息進行檢測，然后跟蹤流量的走向，在此過程中繼續進行檢測。深層檢測防火墻的防護功能不僅僅停留在網絡層上，更加注重防護對于應用層的網絡攻擊，具有更高的安全性和實用性。

3.4 分布防火墻

這種防火墻主要針對的是企業和單位局域網內部，其運行依靠的是網絡安全防護軟件，包括網絡防火墻和主機防火墻兩種。前者存在于內部網和外部網之間，后者存在于局域網內部。分布式防火墻主要防護內部缺陷，同時也可以避免外部攻擊，有效提高了局域網安全性[5]。

總而言之，網絡是開放和共享的，給人們帶來巨大便利的同時，也面臨很多的安全問題。從Internet到單位內網再到個人電腦，網絡安全都存在隱患，在經歷過諸多網絡安全問題后人們更加重視網絡安全的防護問題，越來越多的家庭和單位安裝了計算機網絡防火墻。網絡資源具有巨大優勢。如何充分利用網絡資源的特點，充分發揮網絡資源的優勢，如何解決網絡安全中遇到的問題，是擺在從業者面前的重要問題，需要廣大計算機網絡技術同行不斷探索，以適應新時代計算機網絡發展的需要.

[1]徐林熠.防火墻技術在計算機網絡安全中的應用剖析[J].數字通信世界，2015，24（8）：96.

[2]覃英瓊.淺析防火墻技術在計算機網絡安全方面的具體應用[J].網絡安全技術與應用，2013，14（11）：53.

[3]許東，操文元，孫茜.基于CC2530的環境監測無線傳感器網絡節點設計[J].計算機應用，2013，33（S2）：17-20.

[4]姜可.淺談防火墻技術在計算機網絡信息安全中的應用及研究[J].計算機光盤軟件與應用，2013（4）：178-179.

[5]馬利，梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術，2014（16）：3743-3745.

The Application of Firewall Technology in Computer Network Security

Du Er Sheng

Guangdong province science and technology innovation monitoring research center，Guangdong Guangzhou 510000

Widespread application of network technology is a sign of social progress of science and technology，promote the construction of the modern society.Cannot leave computer network，people's life and work brings high efficiency and convenience，but on the other hand，the network technology is a double-edged sword，it also brought the downside，the current network information，network failure brings security problems such as the economic and spiritual loss，this is the problem we have to take measures to deal with.The firewall technology is one of the most popular network security protection technology，it can be in different ways to protect information security.In this paper，the definition of firewall technology，function，the paper analyzed the application of provide a reference for research in the application of network security firewall.

Firewall；The computer；Network security；application

TP393.08

A

1009-6434(2016)07-0097-02