防火墻技術及其在網絡安全中的應用

郭彪 李瑩軒

摘要：近年來隨著信息技術的發展，也推動了各個領域的發展，同時網路技術應用極大的方便了用戶，為用戶搜集信息、儲存信息以及應用信息等提供了有效途徑，與此同時網絡中也存在一些不法分子以及網絡黑客，這些網絡不法分子利用各種手段獲取網絡用戶的信息，對用戶信息安全構成威脅，而防火墻技術的應用極大的提高了網絡安全性，為用戶信息安全提供了保障。

關鍵詞：防火墻技術；網絡安全；應用

1 防火墻的概念及功能

防火墻是指隔離在外界網絡與本地網絡之間的一道網絡控制防御系統。它對網絡之間的數據傳輸具有一定的過濾作用，對于屏蔽內部信息結構和運行狀況提供安全和審計的控制，從而到達保護內部信息的目的。防火墻的實質是一種隔離技術，其核心思想在于構建相對的內部網絡環境，并將其進行邏輯分離。防火墻的主要功能在于控制不安全的服務，過濾非法用戶，使得網絡內部免受外界攻擊；對網絡特殊站點的訪問進行限制，禁止訪問某些主機；集中安全保護，簡化網絡管理，將網絡設置的密碼口令或其他身份證明放于防火墻更優于訪問主機上；防火墻通過封鎖域名服務，防止網絡攻擊獲取有用信息；通過對所經過的防火墻訪問進行統計分析，能夠更好的使用網絡資源；各組織機構可以根據本單位的特殊要求配置防火墻系統，實現安全控制。

2 防火墻的技術分類

（1）包過濾型技術。包過濾模塊的工作主要集中在網絡層，它能準確的在傳統的鏈路層上通過檢查每個代碼的源地址、傳輸協議和端口信息與預先設定的安全策略匹配情況，決定是否報文通過，根據序列號和握手序列的邏輯分析進行有效判斷，能夠較為有效的抵御相關病毒的攻擊。包過濾技術能夠將標準的路由軟件都內置在其中，無需額外的花費，同時對于用戶和應用是透明的，不需要用戶和密碼登錄，運行速度較快。但配置訪問的控制列表在前期比較復雜，需要網管對于網絡服務有著深入的了解。與此同時包過濾技術缺乏跟蹤記錄能力，不能從電腦的日志記錄中發現黑客的攻擊記錄，只能簡單的檢查地址和端口，對應用鏈路層的協議無法防范，不能理解特定服務的上下文環境和數據。

（2）代理服務技術。代理服務是一種特殊的應用代碼層，是在網管地允許下或者拒絕特定的應用和服務的情況下，實施數據流量監控、過濾和報告功能。代理工作原理比較簡單，用戶只要簡單的與代理服務器建立連接，然后將目的站點告知代理，對符合的請求，代理以自己的身份與目的站點建立連接，然后代理在這兩個連接中轉發數據。代理服務技術能有效的實現網絡應用相關狀態和部分傳輸方面的有效信息，提供全面的審計和日志功能，針對每個特定應用都有相應的代理模塊，保證防火墻的有效安全。代理防火墻最突出的優點即為安全，每個內外網都需要特定的服務接入，由防火墻本身提交請求和應答，不給內外網絡計算機任何的會話機會，安全性極高。但代理技術速度相對較慢，用戶對內外網絡網關的吞吐量要求較高時就容易出現網絡問題，某些代理需要修改客戶軟件，對客戶帶來了極大不便。

3 防火墻技術的網絡運用

（1）內部網絡應用。單位的內部網一般情況下是禁止所有互聯網用戶的訪問，如果出現需要聯網的情況，所允許的權限非常低，真正有服務器數據是在受保護的內部網絡主機上。通過網絡地址轉換技術將受保護的內部網絡的主機地址映射于防火墻的有效網關，不僅可以對外屏蔽內部網絡結構和公共網關地址，保護內部網絡的安全，同時也可以大大節省投資成本。包過濾防火墻通過設置服務器端口，只對需要這些功能的內部網絡進行開放，通過分析報文數據實現報文過濾。因此，在內部網處理器中往往采用包過濾技術防火墻，這種防火墻對于用戶是透明的，合法用戶進入網絡時，根本感受不到防火墻的存在，使用起來非常方便。

（2）邊界路由器的應用。代理技術防火墻往往適用于邊界路由器的使用。單位已有邊界路由器，可充分利用之前原有的設備，利用邊界包過濾的功能，添加相應的防火墻配置，這樣原有的路由器就具備了防火墻的功能。通過防火墻與所需的網絡進行連接就不再需要經過防火墻。它可以直接經過路由器的簡單防護，在拓撲結構中，邊界路由與防火墻共同構成了計算機系統的兩道防線，保證計算機的安全運行。其工作機制在于對待進來的信息，外部路由主要負責防范外部攻擊，只允許外部系統訪問防御主機，而里面的路由提供第二道防護，只接受防御主機的數據包，這樣從一定程度上保證了網絡始終處在一個安全的環境之中。代理技術工作能識別用戶使用的協議，因而能夠對用戶行為進行調控，在應用代理服務器、回路級代理服務器、代管服務器和隔離域名服務器中也都有廣泛運用。

（3）網絡各層監測和存儲應用。狀態監測防火墻在網絡層能夠有效的截獲數據信息，然后通過防火墻從各個應用層中提取安全策略放到動態表里，分析與信息包后續連接的請求中作出合理和適當的決定，對網絡的各層進行安全檢測和控制。

及時發現安全漏洞和惡意攻擊，并將這些情況記載下來，系統管理員根據記錄排查漏洞，完善系統配置。狀態監測防火墻自身根據這些記錄情況，能夠匹配好相應的處理方法，進行實時的動態控制。在網絡層以及高層狀態地監測中，能夠有效的對各層漏洞和入侵進行處理，使動態監測技術得到有效地應用并廣泛使用。因而，動態監測技術的應用在安全性能和攔截效率中都比較強勁。利用防火墻對網絡的相關信息存儲功能，防火墻能夠實時記錄網絡在使用的各個階段的情況，可以作為防火墻對于網絡控制力度的一個有效參考，便于對數據風險進行有效分析，減少不必要的損失。

4 結論

綜上所述，防火墻技術是保證網絡安全的關鍵，目前防火墻已經得到普遍應用與推廣，同時，防火墻技術也在不斷改進和完善，以便有效應對網絡攻擊者的攻擊，雖然防火墻技術有了較大的進步，但還存在一些不足，需要進一步改進和提高，為保證網絡安全，為用戶提供安全的信息交流環境提供可靠依據。

參考文獻

[1]鄧毅.防火墻技術在網絡安全中的應用與研究[J].科技展望，2015，21：14.

[2]高曉連.試析防火墻技術在網絡安全中的應用[J].網絡安全技術與應用，2015，12：8-9.