關于計算機網(wǎng)絡安全屏障防火墻技術的探析

周天津

摘要：防火墻是一種防護系統(tǒng)，在內(nèi)網(wǎng)與外網(wǎng)之間構造安全屏障，根據(jù)指定的訪問規(guī)則對所有流入流出的數(shù)據(jù)包進行審查、過濾，為計算機系統(tǒng)提供抗入侵攻擊的能力，保護內(nèi)網(wǎng)環(huán)境安全。

關鍵詞：防火墻技術;部署;發(fā)展

中圖分類號：TP393.08?? 文獻標識碼：A?? 文章編號：1672-9129（2020）16-0002-01

1 引言

計算機網(wǎng)絡是為了促進信息傳播、資源共享，通過不同主機、服務器互聯(lián)的方式搭建的大型開放性通信網(wǎng)絡，在現(xiàn)代社會很多重要基礎設施的運行、管理、維護中發(fā)揮了積極作用。但計算機網(wǎng)絡并不是毫無缺點，網(wǎng)絡安全問題可能發(fā)生在計算機使用過程的每一個環(huán)節(jié)中，為了提供可靠的網(wǎng)絡環(huán)境，現(xiàn)行各類操作系統(tǒng)采用了多種防范技術手段作為安全保障，防火墻技術就是其中最基礎，也最必要的。防火墻技術的主要目標是在計算機聯(lián)網(wǎng)的全時段，審查、檢測傳輸?shù)男畔?，劃分、過濾高風險的信息或網(wǎng)絡，阻攔隱藏其中的計算機病毒入侵系統(tǒng)。

2 防火墻技術

2.1包過濾技術。在計算機網(wǎng)絡中，數(shù)據(jù)以“包”為單位進行傳輸，包頭通常包含端口號、地址、協(xié)議類型等信息，包過濾技術[1]的實施過程就是使用路由器依據(jù)指定規(guī)則在網(wǎng)絡層和傳輸層檢查包頭對應字段完成監(jiān)視和過濾工作，轉(zhuǎn)發(fā)符合規(guī)則的數(shù)據(jù)包，丟棄匹配失敗的數(shù)據(jù)包。包過濾技術執(zhí)行時間短，速度快，透明性高，但難以支持復雜過濾需求和部分協(xié)議，且沒有日志記錄，局限性較大，需要配合其他技術以提供更完備的安全性。

2.2應用代理技術。應用代理技術的目標同樣是過濾數(shù)據(jù)包，與包過濾技術的不同點是在這種方式下，內(nèi)網(wǎng)數(shù)據(jù)包要經(jīng)過應用層的代理程序才能傳輸至外部網(wǎng)絡，外網(wǎng)數(shù)據(jù)包同樣要先傳送到代理處，經(jīng)過檢驗，符合安全策略的外網(wǎng)數(shù)據(jù)包才會被轉(zhuǎn)發(fā)給內(nèi)網(wǎng)。應用代理技術可以將內(nèi)網(wǎng)與外網(wǎng)隔離開來，隱藏內(nèi)網(wǎng)地址，實現(xiàn)數(shù)據(jù)包傳輸?shù)耐耆刂芠2]，但處理速度比包過濾的速度慢，具有一定的不透明性。

2.3狀態(tài)檢測與會話。狀態(tài)檢測是為了將相同通信端發(fā)送的數(shù)據(jù)包劃分為一個整體，當來自某個發(fā)送端的首包通過了接收端安全規(guī)則的校驗時，通信雙方建立一個連接，這個連接被稱為會話。會話建立以后，接收端不再檢查來自同一個發(fā)送端的后續(xù)報文，而是直接將其進行轉(zhuǎn)發(fā)，提高傳輸效率。若接收端沒有接收到首包或首包與校驗規(guī)則不匹配，其后續(xù)報文會被接收端全部丟棄，不進行接收。

2.4DPI技術。DPI技術與普通數(shù)據(jù)包過濾技術不同，DPI在檢測端口、地址、協(xié)議類型的基礎上增加了對數(shù)據(jù)包內(nèi)容的檢測，通過識別不同協(xié)議的特征字、應用層網(wǎng)關和行為模式等指標探測數(shù)據(jù)包的真正應用，判定其是否符合安全規(guī)則，再按照預定策略進行不同操作，完成過濾攻擊、數(shù)據(jù)包流向分析等功能。

3 防火墻部署

3.1透明模式。工作在透明模式的防火墻可以看作是一個交換機，其不同區(qū)域的連接端口在同一子網(wǎng)中，外網(wǎng)和內(nèi)網(wǎng)可以直接通過防火墻進行連接。部署透明模式時不需要為防火墻配置IP地址，也不需要更改網(wǎng)絡拓撲或鏈接路由，所有數(shù)據(jù)由鏈路層直接進行轉(zhuǎn)發(fā)，速度快，操作簡單，用戶友好性高。與路由模式相比，透明模式復雜性低，對已配置好的網(wǎng)絡包容性更高，但提供的功能有所減少，安全性也略有降低。

3.2路由模式。路由模式的具體部署過程是使用防火墻的信任域連接內(nèi)網(wǎng)，再通過不信任域完成訪問外網(wǎng)、接收數(shù)據(jù)等功能。在這種模式下，防火墻使用源地址轉(zhuǎn)換技術使所有發(fā)起向外訪問申請的內(nèi)網(wǎng)用戶共享同一個公網(wǎng)IP，減少被惡意掃描、攻擊的風險，還能解決IP地址數(shù)量不足的問題;再使用目的地址轉(zhuǎn)換技術將本地服務器映射到外網(wǎng)中，在隱藏本地服務器真實地址的前提下，允許外網(wǎng)用戶進行訪問，保護內(nèi)網(wǎng)安全。路由模式安全性較高，但在進行部署時需要對網(wǎng)絡拓撲進行更改，具有一定難度。

3.3混合模式。混合模式常用于雙機熱備，典型組網(wǎng)方法是使用局域交換機或多端轉(zhuǎn)發(fā)器連接主/備防火墻，同樣使信任域與內(nèi)網(wǎng)直連，不信任域與外網(wǎng)連接。為部分接口配置IP地址，啟用虛擬路由器冗余協(xié)議，這部分接口工作過程與路由模式下的工作過程相同，同時未配置IP地址的接口相當于工作在透明模式。

4 防火墻技術的應用與發(fā)展

防火墻在構建計算機安全體系中占有重要地位，可以應用在訪問策略、日志監(jiān)控和安全配置等多個環(huán)節(jié)[3]。舉例來說，防火墻可以依據(jù)策略表拒絕利用安全漏洞或病毒發(fā)起的非法訪問，也可以在用戶即將訪問惡意域名時進行提醒，增強訪問安全性。記錄計算機運行時產(chǎn)生的信息訪問、傳輸數(shù)據(jù)，形成日志，進行分析，及時處理有安全風險的數(shù)據(jù)，降低其對系統(tǒng)的影響。為合法用戶提供應用權限，同時利用多種技術手段隱藏地址、實施服務攔截，提高信息保護的有效性。

計算機的廣泛普及和信息技術的高速發(fā)展對防火墻技術的研究提出了更高的要求，為了提高安全防護體系的安全性、穩(wěn)定性和功能性，對防火墻技術的探索仍需繼續(xù)。從長遠來看，防火墻技術未來的革新方向主要有三個方面，一是將硬件防火墻技術與現(xiàn)行軟件防火墻體系進行整合，綜合兩者優(yōu)勢，提升整體性能。二是不斷更新現(xiàn)有安全防護技術和引進新技術，例如靜態(tài)網(wǎng)絡地址轉(zhuǎn)換技術向動態(tài)網(wǎng)絡地址轉(zhuǎn)換技術過渡;應用動態(tài)主機配置協(xié)議、虛擬專用網(wǎng)絡技術等使防火墻具備更多功能。三是轉(zhuǎn)換防火墻結構，例如部署分布式結構的防火墻，以單節(jié)點作為保護對象，減少防護難度，提升效率。

5 結語

防火墻作為基礎的計算機安全防護技術具有非常廣泛的應用，推進防火墻技術的創(chuàng)新發(fā)展也會促進計算機網(wǎng)絡安全的進步。本文詳細介紹了防火墻關鍵技術和三種不同的部署模式，概述了防火墻技術在防護不同環(huán)節(jié)的應用，最終對防火墻技術的發(fā)展進行了展望。

參考文獻：

[1]劉恩軍.計算機網(wǎng)絡安全中防火墻技術應用分析[J].網(wǎng)絡安全技術與應用，2020，（10）：34-35.

[2]朱林.計算機網(wǎng)絡安全中的防火墻技術應用研究[J].建筑工程技術與設計，2020，（28）：3627.

[3]崔秋祥，王康，劉海東.計算機網(wǎng)絡安全中的防火墻技術應用研究[J].電子世界，2020，（18）：208.