關于計算機網絡安全屏障防火墻技術的探析

周天津

摘要：防火墻是一種防護系統，在內網與外網之間構造安全屏障，根據指定的訪問規則對所有流入流出的數據包進行審查、過濾，為計算機系統提供抗入侵攻擊的能力，保護內網環境安全。

關鍵詞：防火墻技術;部署;發展

中圖分類號：TP393.08?? 文獻標識碼：A?? 文章編號：1672-9129（2020）16-0002-01

1 引言

計算機網絡是為了促進信息傳播、資源共享，通過不同主機、服務器互聯的方式搭建的大型開放性通信網絡，在現代社會很多重要基礎設施的運行、管理、維護中發揮了積極作用。但計算機網絡并不是毫無缺點，網絡安全問題可能發生在計算機使用過程的每一個環節中，為了提供可靠的網絡環境，現行各類操作系統采用了多種防范技術手段作為安全保障，防火墻技術就是其中最基礎，也最必要的。防火墻技術的主要目標是在計算機聯網的全時段，審查、檢測傳輸的信息，劃分、過濾高風險的信息或網絡，阻攔隱藏其中的計算機病毒入侵系統。

2 防火墻技術

2.1包過濾技術。在計算機網絡中，數據以“包”為單位進行傳輸，包頭通常包含端口號、地址、協議類型等信息，包過濾技術[1]的實施過程就是使用路由器依據指定規則在網絡層和傳輸層檢查包頭對應字段完成監視和過濾工作，轉發符合規則的數據包，丟棄匹配失敗的數據包。包過濾技術執行時間短，速度快，透明性高，但難以支持復雜過濾需求和部分協議，且沒有日志記錄，局限性較大，需要配合其他技術以提供更完備的安全性。

2.2應用代理技術。應用代理技術的目標同樣是過濾數據包，與包過濾技術的不同點是在這種方式下，內網數據包要經過應用層的代理程序才能傳輸至外部網絡，外網數據包同樣要先傳送到代理處，經過檢驗，符合安全策略的外網數據包才會被轉發給內網。應用代理技術可以將內網與外網隔離開來，隱藏內網地址，實現數據包傳輸的完全控制[2]，但處理速度比包過濾的速度慢，具有一定的不透明性。

2.3狀態檢測與會話。狀態檢測是為了將相同通信端發送的數據包劃分為一個整體，當來自某個發送端的首包通過了接收端安全規則的校驗時，通信雙方建立一個連接，這個連接被稱為會話。會話建立以后，接收端不再檢查來自同一個發送端的后續報文，而是直接將其進行轉發，提高傳輸效率。若接收端沒有接收到首包或首包與校驗規則不匹配，其后續報文會被接收端全部丟棄，不進行接收。

2.4DPI技術。DPI技術與普通數據包過濾技術不同，DPI在檢測端口、地址、協議類型的基礎上增加了對數據包內容的檢測，通過識別不同協議的特征字、應用層網關和行為模式等指標探測數據包的真正應用，判定其是否符合安全規則，再按照預定策略進行不同操作，完成過濾攻擊、數據包流向分析等功能。

3 防火墻部署

3.1透明模式。工作在透明模式的防火墻可以看作是一個交換機，其不同區域的連接端口在同一子網中，外網和內網可以直接通過防火墻進行連接。部署透明模式時不需要為防火墻配置IP地址，也不需要更改網絡拓撲或鏈接路由，所有數據由鏈路層直接進行轉發，速度快，操作簡單，用戶友好性高。與路由模式相比，透明模式復雜性低，對已配置好的網絡包容性更高，但提供的功能有所減少，安全性也略有降低。

3.2路由模式。路由模式的具體部署過程是使用防火墻的信任域連接內網，再通過不信任域完成訪問外網、接收數據等功能。在這種模式下，防火墻使用源地址轉換技術使所有發起向外訪問申請的內網用戶共享同一個公網IP，減少被惡意掃描、攻擊的風險，還能解決IP地址數量不足的問題;再使用目的地址轉換技術將本地服務器映射到外網中，在隱藏本地服務器真實地址的前提下，允許外網用戶進行訪問，保護內網安全。路由模式安全性較高，但在進行部署時需要對網絡拓撲進行更改，具有一定難度。

3.3混合模式。混合模式常用于雙機熱備，典型組網方法是使用局域交換機或多端轉發器連接主/備防火墻，同樣使信任域與內網直連，不信任域與外網連接。為部分接口配置IP地址，啟用虛擬路由器冗余協議，這部分接口工作過程與路由模式下的工作過程相同，同時未配置IP地址的接口相當于工作在透明模式。

4 防火墻技術的應用與發展

防火墻在構建計算機安全體系中占有重要地位，可以應用在訪問策略、日志監控和安全配置等多個環節[3]。舉例來說，防火墻可以依據策略表拒絕利用安全漏洞或病毒發起的非法訪問，也可以在用戶即將訪問惡意域名時進行提醒，增強訪問安全性。記錄計算機運行時產生的信息訪問、傳輸數據，形成日志，進行分析，及時處理有安全風險的數據，降低其對系統的影響。為合法用戶提供應用權限，同時利用多種技術手段隱藏地址、實施服務攔截，提高信息保護的有效性。

計算機的廣泛普及和信息技術的高速發展對防火墻技術的研究提出了更高的要求，為了提高安全防護體系的安全性、穩定性和功能性，對防火墻技術的探索仍需繼續。從長遠來看，防火墻技術未來的革新方向主要有三個方面，一是將硬件防火墻技術與現行軟件防火墻體系進行整合，綜合兩者優勢，提升整體性能。二是不斷更新現有安全防護技術和引進新技術，例如靜態網絡地址轉換技術向動態網絡地址轉換技術過渡;應用動態主機配置協議、虛擬專用網絡技術等使防火墻具備更多功能。三是轉換防火墻結構，例如部署分布式結構的防火墻，以單節點作為保護對象，減少防護難度，提升效率。

5 結語

防火墻作為基礎的計算機安全防護技術具有非常廣泛的應用，推進防火墻技術的創新發展也會促進計算機網絡安全的進步。本文詳細介紹了防火墻關鍵技術和三種不同的部署模式，概述了防火墻技術在防護不同環節的應用，最終對防火墻技術的發展進行了展望。

參考文獻：

[1]劉恩軍.計算機網絡安全中防火墻技術應用分析[J].網絡安全技術與應用，2020，（10）：34-35.

[2]朱林.計算機網絡安全中的防火墻技術應用研究[J].建筑工程技術與設計，2020，（28）：3627.

[3]崔秋祥，王康，劉海東.計算機網絡安全中的防火墻技術應用研究[J].電子世界，2020，（18）：208.