在現(xiàn)代信息社會中，網(wǎng)絡(luò)平臺及其相關(guān)技術(shù)的應(yīng)用已經(jīng)深入到現(xiàn)代社會的各個角落。但是，隨著網(wǎng)絡(luò)的發(fā)展而出現(xiàn)的各種新興業(yè)務(wù)，如電子商務(wù)、網(wǎng)絡(luò)交易平臺、數(shù)字貨幣和網(wǎng)絡(luò)銀行等，特別是網(wǎng)絡(luò)安全事件的不斷發(fā)生，使得網(wǎng)絡(luò)安全問題逐漸成為人們關(guān)注的熱點。所以，針對網(wǎng)絡(luò)技術(shù)和平臺的安全問題研究就成了計算機和通訊領(lǐng)域研究的重要方向，逐漸成為信息科學(xué)領(lǐng)域的一個重要研究領(lǐng)域，受到人們的廣泛關(guān)注。
　　現(xiàn)在，針對計算機網(wǎng)絡(luò)安全的防御技術(shù)主要可以分為主動防御和被動防御兩個方面。其中，主動方式的含義是利用各種信息加密技術(shù)，防止網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和信息被非法侵入和修改；被動防御則是通過各種網(wǎng)絡(luò)防火墻技術(shù)，來限制不同網(wǎng)絡(luò)用戶的訪問權(quán)限，從而有效防止非法用戶的登錄和訪問。一般來說，內(nèi)部局域網(wǎng)要連接到外部網(wǎng)絡(luò)時，就應(yīng)該在內(nèi)網(wǎng)和外網(wǎng)之間設(shè)置一個安全可靠的防火墻，以此來阻止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問和侵入，進(jìn)而保護(hù)內(nèi)部資料不外泄和內(nèi)部網(wǎng)絡(luò)設(shè)備的穩(wěn)定運行。
　　1　防火墻原理
　　所謂的防火墻，其實就是利用一個或者一組網(wǎng)絡(luò)設(shè)備，如計算機系統(tǒng)或者路由器等，通過執(zhí)行嚴(yán)格的安全策略，在相互連通的網(wǎng)絡(luò)間進(jìn)行訪問的控制技術(shù)，這樣，就可以起到對網(wǎng)絡(luò)進(jìn)行保護(hù)的目的。通常，防火墻可以處于內(nèi)網(wǎng)和外網(wǎng)之間的一個合適的關(guān)鍵點上，這樣，就可以有效掌控外部非法用戶訪問內(nèi)網(wǎng)資源和內(nèi)網(wǎng)非法向外傳送信息。在對往來的數(shù)據(jù)信息進(jìn)行檢查過程中，防火墻只允許已經(jīng)授權(quán)的數(shù)據(jù)流通過，而非法的數(shù)據(jù)流則不允許通過，這樣就在外網(wǎng)和內(nèi)網(wǎng)之間筑起一道無形的屏障。
　　簡單來說，防火墻的組成可以理解為網(wǎng)絡(luò)過濾器和安全策略的組合。能夠這樣理解的原因就在于防火墻不僅僅是由路由器、網(wǎng)絡(luò)主機等網(wǎng)絡(luò)安全設(shè)備所構(gòu)成的。還應(yīng)該完善的安全策略部分。通過完善的安全策略，才能夠構(gòu)建完整的全方位的安全防御體系。在安全策略中，主要包括網(wǎng)絡(luò)訪問，服務(wù)訪問、用戶認(rèn)證、數(shù)據(jù)加密、病毒防御，以及每個用戶的安全責(zé)任等。僅僅利用防火墻設(shè)備，而不設(shè)計合理的安全策略，就會使得防火墻喪失作用。任何完整的防火墻規(guī)則鏈中多應(yīng)該包含一個合理的安全策略和一組對各種特定異常進(jìn)行處理和響應(yīng)的動作集。任何準(zhǔn)備經(jīng)過防火墻的數(shù)據(jù)包都應(yīng)該在放行之前對表中的每條規(guī)則進(jìn)行檢查，直到找到一個合適的匹配。如果沒有合適的匹配規(guī)則，就對該數(shù)據(jù)包執(zhí)行默認(rèn)的管理策略。
　　2　常用防火墻的分類
　　現(xiàn)在，已知存在的防火墻種類繁多，且根據(jù)根據(jù)不同的應(yīng)用環(huán)境都有其各自不同的技術(shù)特點。但是，概括起來，常用的防火墻主要可以分為三個大類，分別是包過濾防火墻、應(yīng)用代理服務(wù)器和狀態(tài)檢測防火墻。下面對這三種進(jìn)行簡單介紹。
　　2.1包過濾防火墻
　　該類防火墻的技術(shù)原理是對數(shù)據(jù)包進(jìn)行過濾。該類防火墻駐澳在網(wǎng)絡(luò)層對各種數(shù)據(jù)包進(jìn)行分析、選擇，所依據(jù)的標(biāo)準(zhǔn)就是事先在系統(tǒng)內(nèi)部所設(shè)置的過濾邏輯，也可以稱之為訪問控制列表。
　　該類防火墻主要采用兩種不同的過濾方式實現(xiàn)，分別是：與服務(wù)相關(guān)的過濾和與服務(wù)無關(guān)的過濾。其中，與服務(wù)相關(guān)的過濾主要是指根據(jù)特定的服務(wù)來對流動的數(shù)據(jù)包進(jìn)行判斷，進(jìn)而確定是否允許通過。與服務(wù)無關(guān)的過濾主要針對幾種跟服務(wù)無關(guān)的攻擊類型，不可能通過基本的數(shù)據(jù)包頭信息來進(jìn)行識別，需要利用路由表審查，以及檢查特定段地內(nèi)容，才能有所發(fā)現(xiàn)。
　　2.2應(yīng)用代理服務(wù)器
　　該類型的防火墻，主要工作在網(wǎng)絡(luò)的應(yīng)用層，能夠把經(jīng)過防火墻的各種通信鏈路劃分為兩段，即，從客戶到代理。以及從代理到目標(biāo)。這樣，位于網(wǎng)絡(luò)內(nèi)部的客戶就不需要直接跟外部的服務(wù)器進(jìn)行通信。而位于防火墻內(nèi)外的計算機網(wǎng)絡(luò)間應(yīng)用層的連接就可以通過兩個代理服務(wù)器的連接來實現(xiàn)。外部計算機網(wǎng)絡(luò)只能通過代理服務(wù)器來連接，這樣，就可以把防火墻內(nèi)外的計算機系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的隔離。由于給類型的防火墻需要對網(wǎng)絡(luò)連接中的多個節(jié)點進(jìn)行檢查，所以，代理服務(wù)器類的防火墻功能比較強大。
　　代理服務(wù)器的優(yōu)點就在于它能夠把路由器中的一些不足和缺點有效的屏蔽。但是，該類防火墻也存在缺點，就是當(dāng)網(wǎng)絡(luò)通訊請求很多或者任務(wù)繁忙時，它的工作效率就會變得比較低下，進(jìn)而影響網(wǎng)絡(luò)帶寬和有效載荷，此外，該類防火墻一般建立在通用操作系統(tǒng)之上，而通用操作系統(tǒng)的漏洞也是公開的，容易受到網(wǎng)絡(luò)黑客的攻擊。
　　2.3狀態(tài)檢測防火墻
　　在實際的網(wǎng)絡(luò)通信中，即使網(wǎng)絡(luò)數(shù)據(jù)包地址或者用戶認(rèn)證完全正確，還不能保證網(wǎng)絡(luò)的安全。所以，出現(xiàn)了一種被稱之為狀態(tài)監(jiān)測模式的防火墻技術(shù)。該類防火墻技術(shù)又可以稱之為動態(tài)包過濾防火墻。該類防火墻的完成方式是在網(wǎng)絡(luò)層通過一個檢查引擎來截獲數(shù)據(jù)包并把跟應(yīng)用層狀態(tài)相關(guān)的信息提取出來，并把該信息作為對該數(shù)據(jù)包進(jìn)行接收處理或者拒絕處理的依據(jù)。該類型的防火墻需要檢查維護(hù)一個動態(tài)的狀態(tài)信息表，并對后續(xù)的數(shù)據(jù)包進(jìn)行檢查。
　　3　現(xiàn)代防火墻技術(shù)和系統(tǒng)
　　從根本上說，傳統(tǒng)意義上的防火墻還只是基于數(shù)據(jù)包或者服務(wù)的過濾技術(shù)，對實際中安全問題的解決和使用能力不高。所以，隨著網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)的不斷發(fā)展，已經(jīng)出現(xiàn)了功能更強大、安全性更高的新一代防火墻技術(shù)。新出現(xiàn)的防火墻技術(shù)已經(jīng)完全超出了傳統(tǒng)意義上的防火墻概念，逐漸發(fā)展成為一個全方位、智能化的安全系統(tǒng)，也可以稱之為第四代防火墻。
　　4　結(jié)語
　　概括起來，可以通過是三個技術(shù)手段來實現(xiàn)網(wǎng)絡(luò)的安全，即：硬件、軟件和人員。就硬件系統(tǒng)來說，防火墻技術(shù)的發(fā)展水平已經(jīng)比較安全可靠，能夠給網(wǎng)絡(luò)系統(tǒng)提供可靠的防護(hù)能力。
　　但是，網(wǎng)絡(luò)上的信息安全事件還是層出不窮，這一方面是由于防火墻在設(shè)計和實現(xiàn)的過程中存在沒有考慮到的漏洞，或者是網(wǎng)絡(luò)管理人員對防火墻的管理和配置不當(dāng)所致。另一方面。就是在防火墻進(jìn)行安裝和投入使用以后，還應(yīng)該對其運行狀況進(jìn)行監(jiān)控，才能獲得有關(guān)系統(tǒng)安全運行的有用信息，進(jìn)而便于網(wǎng)絡(luò)的管理和監(jiān)