許孝明

摘要：近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，其普及程度越來越高?，F(xiàn)如今計算機網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘９ぷ鳌W(xué)習(xí)和生活中不可或缺的工具之一。正因如此，人們對于計算機網(wǎng)絡(luò)的安全性愈發(fā)重視。防火墻是一種能夠有效確保計算機網(wǎng)絡(luò)安全的技術(shù)，該技術(shù)現(xiàn)已獲得廣大用戶的一致認可?；诖它c，該文就防火墻在計算機安全中的應(yīng)用進行淺析。

關(guān)鍵詞：防火墻；計算機；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)21-5076-01

1防火墻技術(shù)概述

計算機網(wǎng)絡(luò)中的防火墻定義如下：由軟件和硬件設(shè)備構(gòu)成，在內(nèi)網(wǎng)與外網(wǎng)間、公共網(wǎng)與專用網(wǎng)間界面上的一道保護屏障。可將這一概念理解為獲取安全性的一種方法。換言之，只要建立起防火墻，便可以將非法用戶對計算機網(wǎng)絡(luò)的惡意攻擊拒之門外。防火墻技術(shù)實質(zhì)上就是一種隔離技術(shù)，它能夠通過對內(nèi)網(wǎng)與外網(wǎng)的隔離來確保計算機網(wǎng)絡(luò)安全。

1.1防火墻的作用

防火墻的作用是顯而易見的，具體來講防火墻只有一種作用，即保護。非法入侵者想要接觸到目標(biāo)計算機并對其進行破壞時，必須穿過防火墻這道安全防線才能實現(xiàn)。通過建立防火墻，能夠達到以下目的：其一，限制并阻止未授權(quán)用戶進入內(nèi)網(wǎng)，對各種不安全因素進行過濾；其二，限制未授權(quán)用戶對特殊站點的訪問；其三，防止非法入侵者對內(nèi)網(wǎng)進行接觸；其四，為監(jiān)視互聯(lián)網(wǎng)安全提供便利條件。此外，防火墻還具有解決一些安全性問題的作用，如提高保密性、對較為脆弱的服務(wù)進行保護以及系統(tǒng)訪問控制等等。

1.2防火墻的功能及分類

1)功能。一般的防火墻都具備以下兩類功能：一類是普通功能，如對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾、避免內(nèi)部信息外泄、對一些禁止的訪問行為進行封堵、校驗接收數(shù)據(jù)的完整性、能檢測各種非法攻擊并報警、網(wǎng)絡(luò)安全策略強化、對有需要的信息進行加密等等；另一類是特殊功能，如掃毒功能、雙重域名服務(wù)、特殊控制功能、網(wǎng)絡(luò)地址轉(zhuǎn)移以及虛擬專用網(wǎng)絡(luò)等等。

2)分類。目前，計算機網(wǎng)絡(luò)的普及程度越來越高，防火墻的種類也不斷增多，用戶應(yīng)當(dāng)按照各自的實際需求對防火墻進行選擇。防火墻主要可分為以下幾大類：其一，按軟硬件形式可分為軟件防火墻和硬件防火墻。早期的防火墻基本都屬于硬件產(chǎn)品，在軟件技術(shù)發(fā)展的推動下，軟件防火墻隨之出現(xiàn)，這種防火墻僅能夠安裝在主機上，并對主機進行保護，無法保護整個網(wǎng)絡(luò)的安全，具有一定的局限性；其二，按技術(shù)可分為包過濾型和應(yīng)用代理型兩類。前者是一種有效、通用、廉價的網(wǎng)絡(luò)安全防護手段，而后者能夠起到對應(yīng)用層通信流監(jiān)控的作用，實用性較高；其三，按結(jié)構(gòu)可分為路由集成式、單一主機式以及分布式三種；其四，按應(yīng)用部署位置可分為個人防火墻、邊界防火墻以及混合防火墻三類；其五，按性能可分為百兆級和千兆級兩類。

2防火墻技術(shù)在計算機安全中的具體應(yīng)用

2.1屏蔽路由技術(shù)

目前，屏蔽路由是一種最為簡單且流行的防火墻技術(shù)。該技術(shù)通常都是在網(wǎng)絡(luò)層運行，其主要采用的是虛電路及包過濾技術(shù)。其中包過濾技術(shù)通過對IP網(wǎng)絡(luò)數(shù)據(jù)包進行檢查來獲得相應(yīng)的信息，再按照這些信息進行正確的判別，如果與規(guī)則相匹配便允許通過，若是不匹配則禁止其通過，以此來達到對不安全信息過濾的目的。

2.2包過濾技術(shù)

該技術(shù)是防火墻技術(shù)中最為常見的一種，按照特定的信息過濾規(guī)則，對內(nèi)網(wǎng)中進出的信息進行限制，使一部分允許授權(quán)的信息通過，并阻止另一部分未經(jīng)授權(quán)的信息通過。包過濾技術(shù)通常都是在網(wǎng)絡(luò)層與邏輯鏈路層之間運行，通過對所有經(jīng)過的IP數(shù)據(jù)包進行截獲并過濾，以此來確保計算機網(wǎng)絡(luò)安全。

2.3基于代理的防火墻技術(shù)

該技術(shù)主要是通過配置雙宿主網(wǎng)關(guān)，使其具備兩個網(wǎng)絡(luò)接口卡，并將其同時接入到內(nèi)網(wǎng)和外網(wǎng)當(dāng)中。由于網(wǎng)關(guān)能夠同時與兩個網(wǎng)絡(luò)進行通信，因此，網(wǎng)關(guān)是安裝傳遞數(shù)據(jù)軟件的最佳位置，而該軟件就是我們俗稱的代理。通常情況下，在基于代理的防火墻技術(shù)中，是不允許代理服務(wù)與真正的服務(wù)之間進行互相通信的，而是應(yīng)當(dāng)與代理服務(wù)器進行通信，即用戶的默認網(wǎng)關(guān)必須指向代理服務(wù)器。代理在用戶與服務(wù)器之間完成對數(shù)據(jù)通信的處理工作，這樣便可對經(jīng)過它的數(shù)據(jù)進行追蹤審計。由于代理軟件能夠按照防火墻后面主機的脆弱程度制定惡意攻擊的防范策略，所以該技術(shù)能夠有效地確保計算機網(wǎng)絡(luò)的安全。

2.4復(fù)合型防火墻技術(shù)

因包過濾型防火墻的安全性相對較差，而基于代理的防火墻速度較慢，為了彌補這兩種技術(shù)的缺陷，復(fù)合型防火墻應(yīng)運而生。這種防火墻實質(zhì)上就是以上兩種技術(shù)優(yōu)點的有機結(jié)合，這樣不僅使安全性有所增強，而且速度也進一步提高。該技術(shù)的應(yīng)用使外網(wǎng)向內(nèi)網(wǎng)提出的請求需要先經(jīng)過包過濾處理，然后在經(jīng)由代理檢查，如果該請求通過兩次確認后無任何問題便可接受，否則防火墻便會對該請求直接進行丟棄處理。

參考文獻:

[1]張志鋒.淺談計算機網(wǎng)絡(luò)安全與防火墻技術(shù)運用問題[J].中國電子商務(wù),2011(8).

[2]王龍.李健.計算機網(wǎng)絡(luò)安全的防范策略——防火墻技術(shù)的研究[J].網(wǎng)絡(luò)財富,2009(12).

[3]徐美紅,封心充,孫鵬,等.基于防火墻技術(shù)的計算機網(wǎng)絡(luò)安全問題探討[J].科技傳播,2011(18).