計算機網絡安全中防火墻技術應用分析

劉秀淑

（臨沂市中心醫院，山東 臨沂 276400）

0 引 言

隨著互聯網技術的發展和深入應用，加強對計算機網絡安全技術的研究和探討變得愈發重要。防火墻技術為當前計算機網絡安全中的關鍵技術，在互聯網領域有著極其廣泛的應用，能夠為計算機和網絡建立安全屏障，保護網絡信息安全。

1 防火墻技術類型及其防護方式

1.1 數據包過濾型防火墻

數據包過濾型防火墻主要作用在網絡層，根據系統內部過濾邏輯，檢查數據包的源地址、目的地址、協議狀態等相關參數，實現對數據包的有效選擇，判斷是否容許數據包通過，進而實現對整個網絡的隔離保護，能夠有效避免內部網絡遭受攻擊。數據包過濾防火墻的邏輯相對簡單且成本低廉，安裝在路由器上即可，無須額外支付費用，同時具有相應的網絡性能和良好的透明性。然而，這種防火墻無法徹底預防地址欺騙，且部分應用協議不適用于數據包過濾[1]。

1.2 網絡地址轉換型防火墻

網絡地址轉換型防火墻技術只允許私有IP地址的內部網絡訪問因特網，以實現對網絡的有效保護。內部網絡通過安全卡訪問外部網絡時會產生映射記錄，此時系統會自動將外部的源地址和端口偽裝成臨時地址和端口，且偽裝的地址通過非安全網卡與外部網絡相連，實現對外隱藏內部網絡地址的效果，保障內部網絡的安全性。外部網絡是通過非安全網卡訪問內部網絡，無法得知內部網絡的實際連接情況，只是通過開放地址和端口請求訪問。防火墻會根據提前定義的映射判斷訪問的安全性，在訪問安全的前提下，才會接受訪問請求。

1.3 應用層防火墻

應用層防火墻即在應用層上建立協議，將網關安裝在專用工作站系統上，通過指定數據過濾邏輯，使其具備過濾和轉發功能。在實際過濾過程中，應用層防火墻會對數據包展開分析、記錄和統計，并形成相應的報告。這種依靠邏輯進行網絡保護的防火墻能夠有效抑制地域非法訪問和攻擊作用。

1.4 代理服務型防火墻

代理服務型就是通過第三方實現對網絡的保護，主要包括外部網站點、防火墻代理和被保護網站點3部分。應用代理服務型防火墻，能夠實現內外部網絡的有效分隔，避免二者直接相連。代理服務型防火墻還需要提供日志、審計等服務。

1.5 監測型防火墻

基于傳統防火墻開發了監測型防火墻，能夠有效實現對各層數據的主動、實時監測，并通過數據分析判斷非法侵入情況。此類防火墻具備分布式探測器，將其安裝在應用服務器和其他網絡節點中，檢測外部網絡攻擊和內部惡意破壞，可實現全方面的防護[2]。

2 防火墻結構分析

2.1 屏蔽路由器

作為連接內外網絡的唯一通道，所有進出網絡的報文都需要通過屏蔽路由器的查驗，是防火墻系統的門戶。屏蔽路由器可通過專門的生產廠家獲得，也可通過主機實現。將報文過濾軟件安裝在路由器上，能夠實現IP層報文的有效過濾和篩選。此外，很多路由器本身可進行過濾設置，但通常相對簡單，功能效果不如獨立的過濾軟件。需要注意，屏蔽路由器在使用過程中一旦遭受攻擊，通常難以被及時發現，且無法實現對不同用戶的有效識別。

2.2 主機網關

主機網關包括雙穴主機網關和被屏蔽主機網關2種。其中，雙穴主機網關由具備2塊網卡的堡壘主機構成，在主機上安裝防火墻軟件，實現應用程序的有效轉發，并提供相應服務，包括維護系統日志、硬件拷貝日志、遠程日志等。與屏蔽路由器不同的是，雙穴主機網關功能較多，一旦黑客入侵堡壘主機，堡壘主機的防火墻功能就會喪失，導致任何用戶都能夠隨意訪問內部網絡，產生嚴重的網絡安全威脅。

相比之下，被屏蔽主機網關的安全性更高且易實現。需要將堡壘主機安裝在內部網絡上，并將過濾規則設置在路由器上，使該主機成為外部網絡唯一可直達的主機，實現內外網絡的有效隔離。若被保護網絡為虛擬擴展本地網絡，那么內網的變化將不會對堡壘主機和路由器產生影響，實現對危險因素的有效限制。需要注意，若黑客登錄主機軟件，那么內部網絡將會遭受極大威脅。

2.3 被屏蔽子網

通過在內外網絡之間構建被隔離的子網，使用過濾路由器，將子網與外部網絡和內部網絡隔離，能夠實現對計算機網絡的有效保護。此過程中內外網絡均可訪問被屏蔽子網，但無法穿越屏蔽子網直接連接。為進一步強化防護效果，可以將堡壘主機設置為被屏蔽子網的唯一訪問點。網絡危險點僅限于蓓蕾主機、子網主機、內外網和屏蔽子網的路由器，增加了網絡攻擊難度，可有效保障防護效果。

3 現代防火墻技術的分析和應用

隨著大數據時代的到來，計算機網絡安全防護要求不斷提升。現代防火墻技術的研究應著重加強對放行數據的安全性檢驗[3]。

3.1 新一代防火墻技術

新一代防火墻具有較強的集成性，能夠有效應對多樣的風險隱患。第一，透明代理技術。實現了有效訪問，極大地降低了登錄過程中的風險隱患，避免出現登錄錯誤等情況，提高了實際運行效率。第二，靈活代理機制。代理系統作為防火墻軟件，具有重要的防護作用。在新一代防火墻技術中，代理系統的靈活性得到了極大提升，保障了網絡安全。其中，從內網到外網主要采用的是網絡地址轉換技術，從外網到內網則通過保密代理系統技術和非保密用戶定制代理技術實現靈活代理。第三，多級過濾技術。通過三級過濾和輔助鑒別方式，實現對數據信息的有效過濾。一級過濾為分組環節，篩除假冒IP地址；應用網關為二級過濾環節，利用文件傳輸協議（File Transfer Protocol，FTP）等網關，監測網絡通用服務；電路網關為三級過濾環節，用于監測內部主機與外部站點之間的連接，控制服務通行。第四，Internet網關技術。通過串聯方式實現網絡的有效防護，要求防火墻能夠支持所有網絡服務功能，并有效防止網絡漏洞。同時，具備多種安全應用服務器，可以根據相應服務器功能進行設置，保障防護效果。第五，安全服務器網絡。通過網卡實現對對外服務器的有效隔離和處理，使其既屬于內網又與內網隔離，以免內網受到攻擊。第六，用戶加密技術。用戶加密技術用于滿足特定需求，為用戶提供定制服務。第七，審計告警技術。通過網絡監控形成日志文件，包括內核信息、接發郵件、已鑒別的訪問、告警條件以及出站代理等信息，并通過郵件或播報等方式進行報警。

3.2 智能防火墻及其應用

智能防火墻技術是將人工智能技術融入其中，通過數據統計、記憶功能、概率分析以及決策管理等方式，實現數據的智能識別和處理，迅速提取網絡行為特征值并直接控制訪問，有助于提高防火墻運作效率。主要包括防掃描技術、包擦洗和協議正常化技術、防欺騙技術等[4]。智能防火墻技術主要應用在預防入侵、黑客攻擊、惡意數據攻擊、IP欺騙以及潛在風險隱患防范等方面，將傳統被動防御轉變為主動防御。

3.3 嵌入式防火墻及其應用

通過將防火墻內嵌在路由器或交換機上實現有效防護。嵌入式防火墻在IP層運行，難以實現對病毒、蠕蟲、木馬程序的防護，屬于無監控防護形式。嵌入式防火墻不受拓撲結構的影響，能夠實現對網絡邊緣的保護，并獨立于主機系統和程序，可實現遠程接入。嵌入式防火墻主要應用于遠程辦公，需要訪問公司局域網的情況，保障網絡連接的可靠性和安全性。

3.4 分布式防火墻及其應用

分布式防火墻主要作用在網絡主機上，通過安全軟件的形式，實現對主機的保護，主要包括網絡防火墻、主機防火墻、中心管理3種類型，且分別對應不同的功能。分布式防火墻的主要優點在于實現了對內部網絡的防護，可抵御內部攻擊，并消除網絡邊界通信問題和故障點，且不會受到拓撲影響，可實現移動計算。因此，分布式防火墻技術多應用在企業網絡和服務器主機上，在封堵內部網絡漏洞方面有著積極作用，能夠實現對主機的有效保護。

3.5 混合型防火墻及其應用

混合型防火墻是將多種防火墻技術進行融合應用，實現對計算機網絡的全面防護，解決單一防護方式下存在的其他漏洞，提高薄弱之處的防護能力。混合型防火墻屬于組合結構，包括內外部防火墻、堡壘主機、基站主機服務器。由內外防火墻在內外網絡之間構建屏蔽子網，將堡壘主機、服務器等布置其中形成多層防護。堡壘主機服務器逐層分析數據包協議，提取安全信息并將其發送給基站主機服務器，接收主機服務器傳回的過濾信息，配置過濾功能，完成數據包的過濾處理。針對內部非法操作，可通過物理地址與IP地址的綁定實現安全防護。在給用戶分配IP地址時，在基站主機服務器中建表，并記錄IP地址映射的物理地址。在發生數據傳輸操作的過程中，數據包包含IP地址和映射的物理地址，因此系統可自動校對IP地址與映射的物理地址，若二者相符，即可進行通信。此外，混合防火墻包括Internet網關等技術，不僅能夠實現信息的自動過濾、病毒預防，還可生成事件日志，在抵御內外網絡攻擊和威脅方面有著良好的運行效果[5]。以某公司混合防火墻為例，基本配置代碼為

//基本配置

pix(config)#interface eth0 auto

pix(config)#interface ethl auto

pix(config)#interface eth2 auto

pix(config)#nameif Ethernet 0 outside security 0

pix(config)#nameif Ethernet l inside security 100

pix(config)#nameif Ethernet 2 dmz security 50

pix(config)#ip add inside 192.168.10.3 255.255.255.0

pix(config)#ip add dmz 192.168.10.1 255.255.255.0

pix(config)#ip add outside 44.45.102.3 255.255.255.0

pix(config)# nat(inside) 1 192.168.20.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.30.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.40.0 55.255.255.0

pix(config)# global (outside) 1 44.45.102.5-44.45.102.7

pix(config)# route outside 0 0 44.45.102.3

pix(config)# route inside 192.168.0.0 255.255.0.0 192.168.5.1

pix(config)#static(inside,outside) 44.45.102.3 192.168.10.3

netmask 255.255.255.255 0 0

4 結 論

隨著現代信息技術的發展和深入應用，防火墻技術水平得到了極大提升，如智能防火墻、嵌入式防火墻、分布式防火墻等技術也得到了廣泛運用，在預防黑客攻擊、實現遠程辦公、解決內部網絡攻擊等方面發揮了巨大作用。不同防火墻技術的優勢不同，因此不同的防火墻技術適用的領域也有所區別。為實現對計算機網絡的有效保護，可根據具體需要設計混合型防火墻，更好地保障網絡的使用安全和效率。