計算機防火墻作用與設(shè)置探討

蔡宇航

摘 要 隨著社會經(jīng)濟的快速發(fā)展，計算機與人們的聯(lián)系日益密切。在其為我們工作生活提供便利的同時，也可能帶來信息泄露和信息破壞等安全性問題。若不采取適當措施加以防范，則會對用戶的隱私及財產(chǎn)等方面造成損失。因此，防火墻作為一種計算機安全防護技術(shù)，逐漸成為計算機領(lǐng)域的研究熱點。本文詳細介紹了防火墻的基本概念和工作原理，從而更為全面地論述了計算機防火墻的一些安全應(yīng)用層面是如何保護人們?nèi)粘Ｉa(chǎn)生活的。

關(guān)鍵詞 防火墻；計算機；網(wǎng)絡(luò)安全

前言

計算機網(wǎng)絡(luò)的迅速發(fā)展，使之逐漸成為人們獲取各種信息資源的重要途徑，與此同時，越來越多的用戶也會選擇將工作資料和自己的私人信息等存儲在計算機之中。然而，隨著人們對于計算機網(wǎng)絡(luò)依賴程度的增加，其中的各類網(wǎng)絡(luò)安全問題，如黑客攻擊或者病毒入侵等，也變得愈發(fā)不容忽視。基于此，為了更加安全、隱秘的保護用戶隱私和數(shù)據(jù)安全，我們更加需要加強對防火墻安全機制和作用原理的進一步了解。

1 防火墻概述

1.1 防火墻的概念及工作原理

計算機網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，前者的安全性有著可靠的保證，而后者的安全性則難以預(yù)測。因此，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)鏈接的端口處，可設(shè)置一監(jiān)測防護程序——防火墻，使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)只能夠通過它來進行數(shù)據(jù)的交流連通和信息的收發(fā)傳遞，從而實現(xiàn)攔截惡意程序、保護計算機網(wǎng)絡(luò)內(nèi)部區(qū)域信息安全的目的。

防火墻由軟件和硬件兩部分組成。作為一種能夠保護網(wǎng)絡(luò)安全的工具，它通過對內(nèi)外部網(wǎng)絡(luò)信息的進入和流出以及阻攔設(shè)置控制策略，如“允許”、“監(jiān)測”、“拒絕”等，從而能夠預(yù)防潛在的網(wǎng)絡(luò)安全隱患，達到可靠的網(wǎng)絡(luò)防護效果。此外，防火墻不僅是分離器、限制器，也是分析器。它可以對各種信息進行分離和篩選，將安全的信息進行識別放行、將不安全的信息進行限制并關(guān)閉它進入內(nèi)部安全網(wǎng)絡(luò)的通道。防火墻的這些防滲透功能，賦予了它保護計算機內(nèi)部網(wǎng)絡(luò)安全的能力。

1.2 防火墻的主要功能

伴隨著計算機網(wǎng)絡(luò)的發(fā)展，防火墻的功能也正被不斷的升級拓寬，呈現(xiàn)出多元化的趨勢。若想最大化地發(fā)揮其各項網(wǎng)絡(luò)防護功能，就有必要了解如何正確有效的使用和管理防火墻，以下從三個方面來介紹防火墻的主要功能：

（1）動態(tài)包過濾技術(shù)，又可以稱作狀態(tài)檢測技術(shù)。防火墻可以通過該技術(shù)對各類數(shù)據(jù)包進行攔截，對其中所蘊含的信息進行分析，再根據(jù)所得到的信息判斷它們的安全程度，最終做出允許通過或是拒絕通過的決策。以上流程可以對網(wǎng)絡(luò)安全實施動態(tài)監(jiān)控，若是需要對端口信息進行動態(tài)管理，防火墻則需要提前與之進行連接。

（2）不安全服務(wù)控制。通過對不安全服務(wù)進行設(shè)置，防火墻可預(yù)先調(diào)控好信息出入的信任域與不信任域，設(shè)置外部網(wǎng)絡(luò)對內(nèi)部安全網(wǎng)絡(luò)的訪問權(quán)限，可將不安全服務(wù)阻擋于防火墻之外。若預(yù)先定義好規(guī)則，那么在不需要啟用該控制的時候，系統(tǒng)會自動關(guān)閉它，從而具備既可以防護計算機網(wǎng)絡(luò)的安全，又非常靈活的特點。

（3）集中安全保護。防火墻可以把內(nèi)部安全網(wǎng)絡(luò)所有有安全防護需求的軟件集中到一起，包括相應(yīng)的附加軟件、需要變動的軟件，如身份認證、服務(wù)密碼、電子口令等。當所有需要安全保護的軟件被集中到一起之后，防火墻便可以對它們進行統(tǒng)一防護。該功能以防火墻為中心，設(shè)置合理的安全方案，操作便捷，實現(xiàn)了安全保護的集中式管理，有效提升了防火墻的防護效率[1]。

2 防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用

2.1 包過濾防火墻

包過濾防火墻是一種能夠檢測數(shù)據(jù)鏈接的防火墻。使用該防火墻時，首先需要在內(nèi)部網(wǎng)絡(luò)設(shè)定好相應(yīng)的訪問控制策略，在外部網(wǎng)絡(luò)信息通過防火墻之前，其所攜帶的各種數(shù)據(jù)信息如地址、端口信息等，都需要接受該策略的分析。如果這些數(shù)據(jù)包中所包含的信息和策略中的相應(yīng)條例相符合，則數(shù)據(jù)包可以通過防火墻；否則，數(shù)據(jù)包將被防火墻攔截。在進行傳送時，數(shù)據(jù)包往往會先分解成許多個子數(shù)據(jù)包，這些子數(shù)據(jù)包中包含有各種目的地址和源地址。它們在通過防火墻時的路徑并不一致，往往會在不同的路徑中進行傳輸，不過最終將根據(jù)目的地址的指示重新匯合起來。在目的地匯合之后，數(shù)據(jù)包還要再經(jīng)過一道防火墻的檢查核對，只有在這次檢查中符合所設(shè)置策略中的各項條例、規(guī)定，數(shù)據(jù)包才可以最終通過防火墻，進入內(nèi)部網(wǎng)絡(luò)。如果在整個傳輸過程中，數(shù)據(jù)包發(fā)生地址丟失或者端口對接錯誤，那么它將失效而被丟棄。

2.2 應(yīng)用網(wǎng)關(guān)防火墻

這種防火墻又稱作代理防火墻，可以說是包過濾防火墻的一種逆應(yīng)用。因為應(yīng)用網(wǎng)關(guān)防火墻所認證的是用戶個人信息。在發(fā)送數(shù)據(jù)之前，用戶個人信息要先通過該防火墻的驗證，只有驗證順利才會被授權(quán)訪問網(wǎng)絡(luò)數(shù)據(jù)和資源，驗證的內(nèi)容一般包括密碼、用戶名以及用戶口令等。

2.3 深層檢測防火墻

深層檢測防火墻是當前防火墻發(fā)展的一個方向。首先，它會檢驗輸送過來的網(wǎng)絡(luò)信息并持續(xù)跟蹤其走向。它的防護功能不僅僅是針對網(wǎng)絡(luò)層的，還有針對更深層次應(yīng)用層的防護，因此具有更高的實用價值。

2.4 分布防火墻

分布防火墻的主要保護對象是單位局域網(wǎng)或者企業(yè)內(nèi)部網(wǎng)絡(luò)。它的運行主要通過網(wǎng)絡(luò)安全防護軟件，針對的是內(nèi)部網(wǎng)絡(luò)的安全隱患，同時也對外部網(wǎng)絡(luò)的攻擊具有一定的防護作用。這類防火墻的應(yīng)用，有效地提高了局域網(wǎng)、內(nèi)部網(wǎng)絡(luò)的安全性[2]。

3 結(jié)束語

伴隨計算機網(wǎng)絡(luò)的普及，其所帶來的安全問題也越來越受到人們的重視。防火墻作為計算機網(wǎng)絡(luò)安全的保障，既可以很好地控制內(nèi)外部網(wǎng)絡(luò)信息的流通，還可以適時采取合理安全的措施，預(yù)防潛在危險的發(fā)生。從而有效地規(guī)避了外部網(wǎng)絡(luò)中的安全隱患，保證了計算機用戶的信息安全。然而，如今防火墻技術(shù)仍有極大的發(fā)展空間，還有更多的功能需要廣大計算機網(wǎng)絡(luò)技術(shù)人員去不斷地探索和開發(fā)，從而適應(yīng)時代發(fā)展的需求。

參考文獻

[1] 姜可.淺談防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計算機光盤軟件與應(yīng)用，2013，（4）：178-179.

[2] 覃英瓊.淺析防火墻技術(shù)在計算機網(wǎng)絡(luò)安全方面的具體應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，（11）：77.