計算機網(wǎng)絡安全中的防火墻技術分析

張靜

【摘 要】隨著網(wǎng)絡技術的迅猛發(fā)展， 安全性已成為網(wǎng)絡互聯(lián)技術中的關鍵問題。本文介紹了防火墻的定義， 較全面論述了防火墻的分類及防火墻在計算機網(wǎng)絡安全中的應用價值， 簡要分析了防火墻在計算機網(wǎng)絡安全中的優(yōu)勢。

【關鍵詞】網(wǎng)絡安全；防火墻；包過濾

引言

計算機網(wǎng)絡安全問題主要有：信息在傳輸?shù)倪^程中，數(shù)據(jù)被篡改和復制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網(wǎng)絡的正常運行，出現(xiàn)系統(tǒng)癱瘓或重要數(shù)據(jù)的泄漏，造成不可挽回的嚴重后果。為了構建安全可靠的網(wǎng)絡安全環(huán)境，我國除了從法律和政策方面建立網(wǎng)絡安全體系，還從技術方面進行完善。由于網(wǎng)絡內(nèi)部和外部環(huán)境的特殊性，因此防火墻技術是目前保護網(wǎng)絡安全最為有效的技術。不僅能夠對網(wǎng)絡傳輸?shù)臄?shù)據(jù)進行檢查，還能對整個網(wǎng)絡進行監(jiān)控。

1.防火墻概述

防火墻是一個軟硬件結合的系統(tǒng)，處于專用網(wǎng)和公用網(wǎng)之間，為內(nèi)部網(wǎng)構造一個安全屏障。其主要原理即在Intranet和Internet間建立一個安全網(wǎng)關，以達到保護內(nèi)部網(wǎng)用戶免受非法用戶侵入的目的。

對一臺聯(lián)網(wǎng)計算機來說，所有進出的數(shù)據(jù)都必須經(jīng)過一個特定的軟硬件設備，這個設備就是防火墻。

對一個網(wǎng)絡而言，所謂“防火墻”，是一套特定的方法和技術，能將內(nèi)部網(wǎng)和外部網(wǎng)隔離開來。防火墻能在兩個相互通信的網(wǎng)絡之間建立一個訪問控制，它能實現(xiàn)兩個功能，一將不符合條件的用戶或數(shù)據(jù)隔離在網(wǎng)絡外部，二允許符合條件的用戶或數(shù)據(jù)進入內(nèi)部網(wǎng)。換句話說，數(shù)據(jù)通過防火墻，是內(nèi)部網(wǎng)成員與外部通信的必要條件。

2.防火墻分類

按過濾和檢測方式的不同，防火墻可分為包過濾型防火墻、狀態(tài)檢測型防火墻、網(wǎng)絡地址轉換型防火墻以及應用代理型防火墻。

2.1 包過濾型防火墻

包過濾型防火墻工作在 OSI 參考模型的網(wǎng)絡層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址， 目的地址， 端口號和協(xié)議類型等標志確定是否允許通過， 只有滿足過濾條件的數(shù)據(jù)包才被轉發(fā)到相應目的地， 其余數(shù)據(jù)包則被阻擋丟棄。包過濾的優(yōu)點是：一個過濾路由器能協(xié)助保護整個網(wǎng)絡； 數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高。缺點在于只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷， 不能徹底防止地址欺騙； 一些應用協(xié)議不適合數(shù)據(jù)包過濾； 正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略； 不能防范黑客攻擊， 不支持應用層協(xié)議， 不能處理新的安全威脅。

2.2 狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻基于連接的狀態(tài)檢測機制， 將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待， 構成連接狀態(tài)表， 通過規(guī)則表與狀態(tài)表的配合， 對表中的各個連接狀態(tài)因素加以識別。這種動態(tài)連接表中的記錄可以是以前的通信信息， 也可以是其他相關應用程序的信息， 因此， 與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比， 它具有更好的靈活性、安全性、可伸縮性和擴展性以及應用范圍廣等優(yōu)點。缺點是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯， 特別是在同時有許多種連接激活的時候， 或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時。

2.3 網(wǎng)絡地址轉換（NAT）型防火墻

NAT 是一種用于把 IP 地址轉換成臨時的外部的、注冊的 IP的地址標準， 用戶必須要為網(wǎng)絡中每一臺機器取得注冊的 IP 地址。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時， 系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接， 這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時， 它并不知道內(nèi)部網(wǎng)絡的連接情況， 而只是通過一個開放的 IP 地址和端口來請求訪問。防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。NAT 過程對于用戶來說是透明的， 不需要用戶進行設置， 用戶只要進行常規(guī)操作即可。

2.4 應用代理型防火墻

應用代理型防火墻是工作在 OSI 的最高層即應用層。其特點是完全"阻隔"了網(wǎng)絡通信流， 通過對每種應用服務編制專門的代理程序， 實現(xiàn)監(jiān)視和控制應用層通信流的作用。其優(yōu)點是安全性較高， 可以針對應用層進行偵測和掃描， 對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響， 代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置， 因而增加了系統(tǒng)管理的復雜性。

3.防火墻在計算機網(wǎng)絡安全中的優(yōu)勢

防火墻技術與其他計算機網(wǎng)絡安全技術相比，具有明顯的優(yōu)勢，在安全防護中占據(jù)主要地位，提升計算機網(wǎng)絡的防護水平。

3.1 準確識別網(wǎng)絡攻擊

計算機網(wǎng)絡面臨的安全攻擊來自于不同層次，攻擊種類呈現(xiàn)多樣化的發(fā)展趨勢，防火墻技術在不斷變化的攻擊行為中，主動識別攻擊路徑和方式，判斷攻擊行為的屬性，提出有效的保護措施，防火墻技術處于更新、升級的狀態(tài)，適應變化過快的攻擊行為，體現(xiàn)準確識別的優(yōu)勢，保護計算機網(wǎng)絡處于安全的環(huán)境中，優(yōu)化計算機的運行，防止網(wǎng)絡數(shù)據(jù)被惡意損壞、竊取。

3.2 高效保護網(wǎng)絡系統(tǒng)

防火墻技術在計算機網(wǎng)絡安全中具有較高的保護能力，表現(xiàn)出高效的保護水平。攻擊者對計算機網(wǎng)絡采取的攻擊行為并不確定，防火墻迅速覺察具有危險性的攻擊活動，在最短的時間內(nèi)防止網(wǎng)絡系統(tǒng)被攻擊，一方面維持計算機網(wǎng)絡系統(tǒng)的安全運行，另一方面保障計算機網(wǎng)絡系統(tǒng)的整體性能，強化網(wǎng)絡結構，體現(xiàn)高效率的保護能力。

4.防火墻在計算機網(wǎng)絡安全中的應用價值

防火墻技術在計算機網(wǎng)絡安全中確實得到廣泛應用，體現(xiàn)防火墻技術的高效價值。針對防火墻技術的應用價值，做如下分析：

4.1 代理技術的應用價值

防火墻中的代理技術，具有一定的特殊性，其可在計算機網(wǎng)絡運行的各項模塊發(fā)揮控制作用，時刻體現(xiàn)強效狀態(tài)。代理技術的價值體現(xiàn)為：該技術在內(nèi)外網(wǎng)之間發(fā)揮中轉作用，計算機網(wǎng)絡的內(nèi)網(wǎng)部分，只接受代理部分發(fā)出的請求，而外網(wǎng)請求直接被拒絕，該技術在內(nèi)網(wǎng)、外網(wǎng)的分割方面，發(fā)揮主要作用，杜絕出現(xiàn)內(nèi)外混淆的現(xiàn)象，所以代理技術在實現(xiàn)應用價值方面，同樣面臨技術壓力。

4.2 檢測技術的應用價值

檢測技術以計算機網(wǎng)絡的狀態(tài)為主，屬于新技術領域。檢測技術的運行建立在狀態(tài)機制的基礎上，將外網(wǎng)傳入的數(shù)據(jù)包作為整體，準確分析數(shù)據(jù)包的狀態(tài)內(nèi)容，檢測技術將分析結果匯總為記錄表，分為規(guī)則和狀態(tài)，比對兩表后識別數(shù)據(jù)狀態(tài)。目前，檢測技術應用于各層網(wǎng)絡之間，獲取網(wǎng)絡連接的狀態(tài)信息，拓寬計算機網(wǎng)絡安全保護的范圍，由此提高網(wǎng)絡信息的運行效率。

4.3 協(xié)議技術的應用價值

協(xié)議技術主要是防止Dos攻擊，Dos攻擊容易導致計算機網(wǎng)絡以及服務器陷入癱瘓狀態(tài)，促使計算機網(wǎng)絡無法正常提供運行信息，此類攻擊沒有限制要求，基本處于無限制攻擊狀態(tài)。防火墻利用協(xié)議技術，在此類攻擊中發(fā)揮主體保護，在協(xié)議技術參與下的防火墻技術，保護計算機的內(nèi)部網(wǎng)絡，提供各類網(wǎng)關服務，網(wǎng)關是連接服務器與信息的直接途徑，待防火墻回應后，服務器才可運行。防火墻促使服務器處于高度安全的環(huán)境中，規(guī)避外網(wǎng)攻擊，例如：當外網(wǎng)向內(nèi)網(wǎng)發(fā)送請求信息時，防火墻通過SYN設置訪問上限，降低服務器承擔的攻擊壓力，同時完成數(shù)據(jù)包檢測。

5.結束語

總而言之，隨著計算機網(wǎng)絡的快速發(fā)展和運用，網(wǎng)絡為人們帶來便捷的同時，也帶來了一定的安全問題。由于網(wǎng)絡安全不僅與技術和管理有聯(lián)系，對網(wǎng)絡的使用和維護等也有聯(lián)系。雖然目前防火墻技術是防止網(wǎng)絡威脅的主要手段，但是由于網(wǎng)絡安全存在多方面，僅依靠防火墻技術是無法滿足人們對網(wǎng)絡安全的需求，因此，只有將網(wǎng)絡安全與防火墻技術結合進行研究，才能提供更好的安全服務。

參考文獻：

[1]孟慶威.淺析計算機網(wǎng)絡安全技術[J].計算機光盤軟件與應用，2013（6）：170-171.

[2]王德山，王科超.試論計算機網(wǎng)絡安全中的防火墻技術[J].網(wǎng)絡安全技術與應用，2013（7）：61-62.

[3]邵澤云，曹來成.網(wǎng)絡防火墻新技術的發(fā)展與應用研究[J].信息安全與技術，2015（05）：119-121.

[4]李江華.防火墻技術更新研究[J].集寧師范學院學報，2016（02）：64-65.

[5]吳文臣.防火墻技術及其在網(wǎng)絡安全中的應用[J].信息通信，2017（01）：19-20.

基金項目：

2017年山東協(xié)和學院實驗室開放項目（項目編號2017SYKF53）。

作者簡介：

張 靜（1985-），女，山東濟寧人，碩士研究生，講師，主要研究方向：計算機網(wǎng)絡，網(wǎng)絡防火墻，VPN。