計算機防火墻的應(yīng)用探討

劉軍

摘要：防火墻通常被作為盾牌來保護計算機的安全運行。防火墻主要用于互聯(lián)網(wǎng)絡(luò)，防止非法系統(tǒng)不允許的情況下可破壞或竊取訪問者機器的私人信息。非法活動在網(wǎng)絡(luò)中出現(xiàn)的頻率越來越高，防火墻安全保護技術(shù)已經(jīng)成為現(xiàn)代社會必不可少的信息保護措施。防火墻會存在不同的問題，隨著發(fā)展階段的不同。文章對計算機防火墻的安全技術(shù)問題進行了討論。

關(guān)鍵詞：計算機防火墻；網(wǎng)絡(luò)安全保護；互聯(lián)網(wǎng)

計算機的網(wǎng)絡(luò)安全可以被定義為機密性、完整性和可用性。就保密性而言，只能訪問授權(quán)信息；可用性指不減少計算機系統(tǒng)應(yīng)用內(nèi)存的情況下，仍然可以按照授權(quán)用戶的要求提供服務(wù)。防火墻系統(tǒng)可以決定哪些計算機可以請求訪問內(nèi)部服務(wù)。來自計算機網(wǎng)絡(luò)的信息必須通過防火墻，由防火墻判斷是否予以通行。數(shù)據(jù)通過防火墻，必須獲得授權(quán)碼或者是防火墻已經(jīng)授權(quán)的數(shù)據(jù)。—旦防火墻系統(tǒng)受到攻擊或被突破，其數(shù)據(jù)是迂回的，則不能提供任何防護。

1.計算機防火墻定義及作用

1.1計算機防火墻的定義

通俗來講，防火墻主要作用就是隔離開受保護的網(wǎng)絡(luò)與不受保護的網(wǎng)絡(luò)，通過類似于安檢點的一種單一集中的安全檢查點，審查并過濾所有從因特網(wǎng)到受保護網(wǎng)絡(luò)的連接（反之亦然）。一些防火墻偏重于阻塞傳輸流量，而另一些防火墻則是允許傳輸流。這兩種機制看起來似乎自相矛盾，但這種機制恰恰反映了防火墻的早期設(shè)計思路，也給后續(xù)防火墻的設(shè)計改良提供了方向。總的來說，防火墻可以被理解成簡單的兩種機制，一種機制是輸電線路阻塞環(huán)流，另一個機制是允許傳輸流。因為防護墻最初的設(shè)計理念總是信任內(nèi)部網(wǎng)絡(luò)和不信任外部網(wǎng)絡(luò)的，所以初始防火墻過濾的只是外部的交流信息，對于網(wǎng)絡(luò)用戶和內(nèi)部網(wǎng)絡(luò)的交流則不作要求。當前防火墻過濾機制的變化，不僅從外部網(wǎng)絡(luò)通信連接過濾，連接請求從內(nèi)部網(wǎng)絡(luò)的用戶還需要過濾數(shù)據(jù)包，防火墻保護仍然遵守安全政策需求的溝通。

1.2防火墻的作用

防火墻，字面意思是確保網(wǎng)絡(luò)的安全。防火墻內(nèi)部存儲著大量的數(shù)據(jù)，這些數(shù)據(jù)可以提供系統(tǒng)反饋信息、允許程序運行、需要返回的信息。防火墻只允許那些默認允許應(yīng)用程序訪問，其本身也起到避免黑客對系統(tǒng)造成損害的作用。下面簡單介紹一些防火墻的功能。

（1）過濾風(fēng)險服務(wù)和非法用戶，限制外來數(shù)據(jù)訪問進入內(nèi)部網(wǎng)絡(luò)；（2）防止內(nèi)部用戶入侵國防網(wǎng)絡(luò)設(shè)施；（3）只允許特定用戶訪問特定的網(wǎng)絡(luò)站點；（4）為網(wǎng)絡(luò)安全監(jiān)測提供了方便；（5）防火墻的位置可以用來記錄計算機程序?qū)W(wǎng)絡(luò)的訪問；（6）可以用作部署NAT網(wǎng)絡(luò)；（7）用于網(wǎng)絡(luò)地址的位置變換，使用NAT技術(shù)，將有限的動態(tài)或靜態(tài)IP地址與內(nèi)部IP地址相對應(yīng)，以節(jié)省地址空間。

2.計算機防火墻的分類和結(jié)構(gòu)

2.1計算機防火墻的分類

當今時代網(wǎng)絡(luò)通信取得了飛速發(fā)展，網(wǎng)絡(luò)訪問信息基礎(chǔ)設(shè)施得以不斷增加，防火墻技術(shù)也在不斷發(fā)展。目前防火墻的精細分類和基礎(chǔ)功能都已經(jīng)趨于完善。其中內(nèi)部網(wǎng)絡(luò)防火墻技術(shù)按照不同的方式和預(yù)防側(cè)重點可分為多種類型，包括過濾防火墻、應(yīng)用代理防火墻和監(jiān)控狀態(tài)防火墻，雙主機主機防火墻和主機防火墻過濾類型等等。包過濾防火墻功能應(yīng)用在網(wǎng)絡(luò)層，主要是檢查每個數(shù)據(jù)包的數(shù)據(jù)流，根據(jù)數(shù)據(jù)包的源地址、目的地址和端口來判斷是否允許數(shù)據(jù)包通過。

（1）應(yīng)用程序在應(yīng)用程序?qū)哟矸?wù)器，其特點是完全“切斷”網(wǎng)絡(luò)流量，每個應(yīng)用程序服務(wù)編制通過特殊的代理，實現(xiàn)監(jiān)控、過濾、記錄和報告的功能流的應(yīng)用程序?qū)印?/p>

（2）狀態(tài)監(jiān)視器是使用一個網(wǎng)關(guān)來實現(xiàn)網(wǎng)絡(luò)安全戰(zhàn)略的軟件引擎，收集的數(shù)據(jù)在每一層要通過網(wǎng)絡(luò)通信實現(xiàn)監(jiān)控，一旦某次訪問違反安全規(guī)則，安全報警系統(tǒng)將拒絕此次訪問，錄入系統(tǒng)警報當前網(wǎng)絡(luò)狀態(tài)。

（3）雙主機主機防火墻和主機過濾防火墻所提供的是堡壘主機相應(yīng)的代理服務(wù)。雙主機主機防火墻通常是通過堡壘主機作為網(wǎng)關(guān)，網(wǎng)關(guān)防火墻軟件并運行，保證網(wǎng)絡(luò)通信，必須通過堡壘主機。防火墻和主機過濾器將連接路由器和外聯(lián)網(wǎng)，并安裝堡壘內(nèi)部，使堡壘機外部網(wǎng)只有節(jié)點，確保內(nèi)部網(wǎng)絡(luò)從未經(jīng)授權(quán)的用戶。

（4）復(fù)合防火墻，將信息包過濾和代理服務(wù)有效地結(jié)合在一起，形成新的防火墻，主機名為堡壘主機，負責提供代理服務(wù)。

2.2計算機防火墻的結(jié)構(gòu)

目前計算機常用的幾種典型的防火墻系統(tǒng)通常采用以下結(jié)構(gòu)：

（1）包過濾網(wǎng)關(guān)式防火墻。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息過濾器，它有兩個網(wǎng)絡(luò)接口，分別連接內(nèi)部和外部網(wǎng)絡(luò)，內(nèi)部局域網(wǎng)（Local Area Network，LAN）和外部互聯(lián)網(wǎng)直接通信，并能夠完成兩個網(wǎng)卡之間的IP數(shù)據(jù)包轉(zhuǎn)發(fā)常見的路由功能，包過濾的過濾函數(shù)根據(jù)本地安全策略，確定哪些是可以通過網(wǎng)絡(luò)接口的數(shù)據(jù)包，哪些數(shù)據(jù)包將被禁止，也就是說，信息包過濾網(wǎng)關(guān)相當于一個靜態(tài)流量監(jiān)控功能的路由器。這是包過濾防火墻的基本結(jié)構(gòu)，包過濾防火墻價格低廉，人氣很高，使用方便，但配置不當可能會導(dǎo)致防火墻網(wǎng)關(guān)機器和攻擊數(shù)據(jù)包在允許范圍內(nèi)的服務(wù)和系統(tǒng)出現(xiàn)故障，等等。

（2）雙孔式網(wǎng)關(guān)防火墻。它是一種替換式的網(wǎng)關(guān)防火墻過濾裝置，它與包過濾式網(wǎng)關(guān)防火墻都是防火墻網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防護裝置。同樣有兩個網(wǎng)絡(luò)接口，連接到內(nèi)部和外部的網(wǎng)絡(luò)。不同的是，雙孔式網(wǎng)關(guān)防火墻禁止IP轉(zhuǎn)發(fā)功能，使內(nèi)部和外部網(wǎng)絡(luò)IP數(shù)據(jù)流完全阻塞，通過提供代理服務(wù)網(wǎng)關(guān)功能的實現(xiàn)。因為只有一個特定類型的協(xié)議可以請求代理服務(wù)處理，所以雙孔式網(wǎng)關(guān)防火墻意識到“默認拒絕”的安全策略，具有很高的安全性。雙孔式網(wǎng)關(guān)防火墻是一個典型的應(yīng)用代理防火墻，它完全“切斷”內(nèi)部和外部的網(wǎng)絡(luò)流量，達到更高層次的安全控制，這是類型應(yīng)用代理防火墻的特點類型的包過濾防火墻。

這兩個防火墻有一個共同點：都是通過防火墻與主機防火墻。如果突破防火墻主機，局域網(wǎng)絡(luò)安全防御就被攻破了o

3.計算機防火墻技術(shù)應(yīng)用

對于軟件防火墻，公司經(jīng)常使用微軟IsAserVer軟件。防火墻市場使用反響是很好的，但通過狀態(tài)包過濾和鏈接，會讓企業(yè)遭受新的攻擊。信息包過濾允許保護網(wǎng)絡(luò)數(shù)據(jù)和應(yīng)用程序和電路為其服務(wù)，如果狀態(tài)濾波器動態(tài)端口需要打開，與這些端口通信的數(shù)據(jù)端口最終將被關(guān)閉，需要將鏈路層安全動態(tài)信息包過濾，以保證安全性和易用性。同時通過防火墻還可以了解到其主要是記錄和報告活動。使用這個記錄和報告不僅可以簡化用戶，搜索用戶組，也可以簡化服務(wù)器，簡化網(wǎng)絡(luò)信息搜索，其通過使用接口、向?qū)А⒛０搴拖鄳?yīng)的管理工具可以直接為用戶提供服務(wù)。

4.計算機防火墻的發(fā)展趨勢分析

未來階段的計算機系統(tǒng)有集中管理的發(fā)展趨勢，其中最常用的是分層分布式安全管理的安全體系結(jié)構(gòu)，它具有以下優(yōu)點：管理結(jié)構(gòu)可以降低管理成本，提高網(wǎng)絡(luò)的安全性；集中管理系統(tǒng)對傳統(tǒng)電腦的反應(yīng)速度要求更高。這種類型的管理系統(tǒng)，可以提供一個良好的日志分析功能和審計功能，可以調(diào)整安全策略，合理降低網(wǎng)絡(luò)安全威脅。

5.結(jié)語

防火墻技術(shù)是網(wǎng)絡(luò)安全的關(guān)鍵，在互聯(lián)網(wǎng)的發(fā)展和內(nèi)部網(wǎng)絡(luò)中，扮演著關(guān)鍵的角色。防火墻技術(shù)的發(fā)展是網(wǎng)絡(luò)安全的重要組成部分，用戶可以根據(jù)內(nèi)部網(wǎng)絡(luò)需求建立自己的內(nèi)部計算機網(wǎng)絡(luò)防火墻系統(tǒng)，從而實現(xiàn)對經(jīng)濟的防護功能。