初探計算機網絡安全的防火墻技術

李哲文

摘 要：目前計算機網絡已經在社會上廣泛流行，這是計算機發展過程中可喜的一大步。但是隨著計算機網絡的出現，病毒也應運而生。尤其是因特網的迅猛發展，病毒的傳播、黑客的攻擊和系統漏洞給計算機網絡帶來很大的威脅，人們越來越意識到計算機網絡的重要性。本文就計算機網絡安全的防火墻技術進入探討，提出了自己的見解與看法。

關鍵詞：計算機網絡安全 防火墻技術

首先在這里介紹計算機網絡安全的相關概念：從狹義的保護的角度來看，計算機網絡安全是指計算機及其網絡系統資源和信息不受自然和人為有害因素的威脅和危害，從廣義來說，凡是涉及計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。

所謂計算機網絡安全的保密性、完整性、可用性、真實性和可控性，是指計算機網絡安全所具有的特征。

一、影響計算機網絡安全的主要因素

1.來自操作系統或應用系統方面的因素

目前所使用的操作系統都存在不同程度的安全問題和系統漏洞，應用系統方面也是如此。

2.黑客攻擊的因素

由于技術本身的局限或防火墻錯誤配置等原因，仍然很難保證這一網絡不遭受黑客攻擊。典型的黑客攻擊有入侵系統攻擊、欺騙攻擊、拒絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。

3.病毒的因素

計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、是網絡效率急劇下降，甚至造成計算機和網絡系統的癱瘓，是影響計算機網絡安全的主要因素。

4.設備受損的因素

設備損壞主要是指對網絡硬件設備的破壞。網絡設備包括服務器、交換機、集線器、路由器、工作站和電源等。

5.管理方面的因素

計算機網絡安全涉及的技術很多也很復雜，但除此之外，與之相關的管理也顯得相當重要，管理的科學與否直接關系到網絡的安全性強弱。

綜上所述，計算機網絡安全問題確實不容小視，因而制定相應的計算機網絡安全策略顯得相當重要，安全策略的類型有很多，包括物理安全策略、訪問控制策略、數據加密策略、防火墻控制策略等。在這里我主要介紹防火墻控制策略。

二、防火墻的主要技術

防火墻是一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執行控制策略的系統，用來限制外部非法用戶訪問內部網絡資源，通過建立起來的相應網絡通信控制系統來隔離內部和外部網絡，以阻擋網絡的侵入，防止偷竊或起破壞作用的惡意攻擊。

狹義的防火墻是指安裝了防火墻軟件的主機或路由器系統，廣義的防火墻還包括整個網絡的安全策略和安全行為。防火墻技術是任何企業昀基本的安全技術，主要包括以下幾個方面：

1.包過濾技術

包過濾技術是在網絡層依據系統的過濾規則，對數據包進行選擇和過濾，這種規則有稱為訪問控制表（ACLs）。該技術通過檢查數據流量中的數據中的每個數據包的源地址、目標地址、源端口、目的端口及協議狀態或它們的組合來確定是否允許該數據包通過。這種防火墻通常安裝在路由器上。

2.網絡地址翻譯

網絡地址翻譯昀初的設計目的的是增加在專用網絡中可使用的 IP地址數，但現在則用于屏蔽內部主機。 NAT通過將專業網絡中的專業 IP地址轉換成在 Internet上使用的全球唯一的公共 IP地址，實現對黑客有效的隱藏所有 TCP＼IP級的有關內部主機信息的功能，使外部主機無法探測到它們。

NAT實質上是一個基本的代理：一個主機充當代理，代表內部所有主機發出請求，從而將內部主機的身份從公用網上隱藏起來了。

3.應用級代理

開發代理的昀初目的是對 Web進行緩存，減少冗余訪問，但現在主要用于防火墻。應用級代理中的請求重新生成的過程和代理和位于內部網和外部網之間的事實提供了許多的安全優點，同時也存在不少隱患。

（1）代理隱藏了私有客戶，不讓他們暴露給外界。如同 NAT，代理服務器防止外部主機對內部機器上服務的連接。但不便的是，客戶必須使用代理才能工作。

（2）代理能阻斷危險的 URL。但因為 WEB站點可被輕易地根據它的 IP地址或整個地址號來進行簡單的尋址，所以阻斷 URL也容易被消除。

（3）代理能在危險的內容如病毒和特洛伊木馬等傳送給客戶之前過濾掉它們，但是代理無法保護操作系統。

（4）代理能檢查返回內容的一致性。但大多數一致性檢查都是在發現有被利用的弱點后有效。

（5）代理能消除在網絡之間的傳輸層路由。使用代理可使 TCP＼IP包不能真正在內部網和外部網之間傳輸，并且可以防止大多數的服務拒絕和利用軟件弱點的攻擊。但協議存在是因為沒有好的代理服務，阻斷路由功能通常使用得不充分。

（6）代理提供了單點的訪問、控制和日志記錄功能。代理保證所有內容都通過單一點，此點稱為檢查網絡數據的檢查點。

三、防火墻的分類

1.按技術分類

根據采用的技術：防火墻分為三種基本類型，即包過濾型、代理型和監測型。

（1）包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的包傳輸技術，網絡上的數據都是以“包”為單位進行傳輸的，防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。

（2）代理型

代理型防火墻也稱為代理服務器，其安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶器與服務器之間，完全阻擋了二者間的數據交流。從結構上看，代理服務器由代理的服務器部分和代理的客戶機部分組成。從客戶器來看，代理服務器相當于一臺真正的服務器，而從服務器來看代理服務器又是一臺真正的客戶機。

（3）監測型

監測型防火墻是一新一代的產品，它實際已經超越了昀初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測。并在對這些數據分析的基礎上，能夠有效地判斷出各層中的非法入侵。

2.按結構分類

目前，按結構可分為簡單型和復合型。簡單型包括只使用屏蔽路由器或者作為代理服務器的雙目主機結構；復合結構一般包括屏蔽主機和屏蔽子網。

（1）雙目主機結構

雙目主機結構防火墻系統主要由一臺雙目主機構成，具有兩個網絡接口，分別連接到內部網和外部網，充當轉發器。

（2）屏蔽主機結構

雙目主機結構提供來自于多個網絡連接的主機服務，但是路由關閉，否則從一塊網卡到另一塊網卡的通信會繞過代理服務軟件。

（3）屏蔽子網結構

屏蔽子網結構防火墻是通過添加隔離內外網的邊界網絡為屏蔽主機結構增添另一個安全層，這個邊界網絡有時候稱為非軍事區。壁壘主機是昀脆弱的、昀易受攻擊的，通過隔離壁壘主機的邊界網絡 ，可減輕壁壘主機被攻破所造成的后果。

四、結束語

網絡的迅速發展，給我們的工作和生活帶來了巨大的改變。在網絡日益復雜化、多樣化的今天，安全受到人們越來越多的關注。如何保護各類網絡和信息的安全，成為人們研究的焦點，其中防火墻是運用非常廣泛和效果昀好的選擇。但是，防火墻技術也有它的不足之處，為了更好的維護網絡安全，還需要其他的技術相結合，以及更先進的技術發現。