許孝明

摘要：近年來，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，其普及程度越來越高?，F(xiàn)如今計算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘９ぷ?、學(xué)習(xí)和生活中不可或缺的工具之一。正因如此，人們對于計算機(jī)網(wǎng)絡(luò)的安全性愈發(fā)重視。防火墻是一種能夠有效確保計算機(jī)網(wǎng)絡(luò)安全的技術(shù)，該技術(shù)現(xiàn)已獲得廣大用戶的一致認(rèn)可?；诖它c，該文就防火墻在計算機(jī)安全中的應(yīng)用進(jìn)行淺析。

關(guān)鍵詞：防火墻；計算機(jī)；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)21-5076-01

1防火墻技術(shù)概述

計算機(jī)網(wǎng)絡(luò)中的防火墻定義如下：由軟件和硬件設(shè)備構(gòu)成，在內(nèi)網(wǎng)與外網(wǎng)間、公共網(wǎng)與專用網(wǎng)間界面上的一道保護(hù)屏障。可將這一概念理解為獲取安全性的一種方法。換言之，只要建立起防火墻，便可以將非法用戶對計算機(jī)網(wǎng)絡(luò)的惡意攻擊拒之門外。防火墻技術(shù)實質(zhì)上就是一種隔離技術(shù)，它能夠通過對內(nèi)網(wǎng)與外網(wǎng)的隔離來確保計算機(jī)網(wǎng)絡(luò)安全。

1.1防火墻的作用

防火墻的作用是顯而易見的，具體來講防火墻只有一種作用，即保護(hù)。非法入侵者想要接觸到目標(biāo)計算機(jī)并對其進(jìn)行破壞時，必須穿過防火墻這道安全防線才能實現(xiàn)。通過建立防火墻，能夠達(dá)到以下目的：其一，限制并阻止未授權(quán)用戶進(jìn)入內(nèi)網(wǎng)，對各種不安全因素進(jìn)行過濾；其二，限制未授權(quán)用戶對特殊站點的訪問；其三，防止非法入侵者對內(nèi)網(wǎng)進(jìn)行接觸；其四，為監(jiān)視互聯(lián)網(wǎng)安全提供便利條件。此外，防火墻還具有解決一些安全性問題的作用，如提高保密性、對較為脆弱的服務(wù)進(jìn)行保護(hù)以及系統(tǒng)訪問控制等等。

1.2防火墻的功能及分類

1)功能。一般的防火墻都具備以下兩類功能：一類是普通功能，如對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾、避免內(nèi)部信息外泄、對一些禁止的訪問行為進(jìn)行封堵、校驗接收數(shù)據(jù)的完整性、能檢測各種非法攻擊并報警、網(wǎng)絡(luò)安全策略強(qiáng)化、對有需要的信息進(jìn)行加密等等；另一類是特殊功能，如掃毒功能、雙重域名服務(wù)、特殊控制功能、網(wǎng)絡(luò)地址轉(zhuǎn)移以及虛擬專用網(wǎng)絡(luò)等等。

2)分類。目前，計算機(jī)網(wǎng)絡(luò)的普及程度越來越高，防火墻的種類也不斷增多，用戶應(yīng)當(dāng)按照各自的實際需求對防火墻進(jìn)行選擇。防火墻主要可分為以下幾大類：其一，按軟硬件形式可分為軟件防火墻和硬件防火墻。早期的防火墻基本都屬于硬件產(chǎn)品，在軟件技術(shù)發(fā)展的推動下，軟件防火墻隨之出現(xiàn)，這種防火墻僅能夠安裝在主機(jī)上，并對主機(jī)進(jìn)行保護(hù)，無法保護(hù)整個網(wǎng)絡(luò)的安全，具有一定的局限性；其二，按技術(shù)可分為包過濾型和應(yīng)用代理型兩類。前者是一種有效、通用、廉價的網(wǎng)絡(luò)安全防護(hù)手段，而后者能夠起到對應(yīng)用層通信流監(jiān)控的作用，實用性較高；其三，按結(jié)構(gòu)可分為路由集成式、單一主機(jī)式以及分布式三種；其四，按應(yīng)用部署位置可分為個人防火墻、邊界防火墻以及混合防火墻三類；其五，按性能可分為百兆級和千兆級兩類。

2防火墻技術(shù)在計算機(jī)安全中的具體應(yīng)用

2.1屏蔽路由技術(shù)

目前，屏蔽路由是一種最為簡單且流行的防火墻技術(shù)。該技術(shù)通常都是在網(wǎng)絡(luò)層運行，其主要采用的是虛電路及包過濾技術(shù)。其中包過濾技術(shù)通過對IP網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢查來獲得相應(yīng)的信息，再按照這些信息進(jìn)行正確的判別，如果與規(guī)則相匹配便允許通過，若是不匹配則禁止其通過，以此來達(dá)到對不安全信息過濾的目的。

2.2包過濾技術(shù)

該技術(shù)是防火墻技術(shù)中最為常見的一種，按照特定的信息過濾規(guī)則，對內(nèi)網(wǎng)中進(jìn)出的信息進(jìn)行限制，使一部分允許授權(quán)的信息通過，并阻止另一部分未經(jīng)授權(quán)的信息通過。包過濾技術(shù)通常都是在網(wǎng)絡(luò)層與邏輯鏈路層之間運行，通過對所有經(jīng)過的IP數(shù)據(jù)包進(jìn)行截獲并過濾，以此來確保計算機(jī)網(wǎng)絡(luò)安全。

2.3基于代理的防火墻技術(shù)

該技術(shù)主要是通過配置雙宿主網(wǎng)關(guān)，使其具備兩個網(wǎng)絡(luò)接口卡，并將其同時接入到內(nèi)網(wǎng)和外網(wǎng)當(dāng)中。由于網(wǎng)關(guān)能夠同時與兩個網(wǎng)絡(luò)進(jìn)行通信，因此，網(wǎng)關(guān)是安裝傳遞數(shù)據(jù)軟件的最佳位置，而該軟件就是我們俗稱的代理。通常情況下，在基于代理的防火墻技術(shù)中，是不允許代理服務(wù)與真正的服務(wù)之間進(jìn)行互相通信的，而是應(yīng)當(dāng)與代理服務(wù)器進(jìn)行通信，即用戶的默認(rèn)網(wǎng)關(guān)必須指向代理服務(wù)器。代理在用戶與服務(wù)器之間完成對數(shù)據(jù)通信的處理工作，這樣便可對經(jīng)過它的數(shù)據(jù)進(jìn)行追蹤審計。由于代理軟件能夠按照防火墻后面主機(jī)的脆弱程度制定惡意攻擊的防范策略，所以該技術(shù)能夠有效地確保計算機(jī)網(wǎng)絡(luò)的安全。

2.4復(fù)合型防火墻技術(shù)

因包過濾型防火墻的安全性相對較差，而基于代理的防火墻速度較慢，為了彌補(bǔ)這兩種技術(shù)的缺陷，復(fù)合型防火墻應(yīng)運而生。這種防火墻實質(zhì)上就是以上兩種技術(shù)優(yōu)點的有機(jī)結(jié)合，這樣不僅使安全性有所增強(qiáng)，而且速度也進(jìn)一步提高。該技術(shù)的應(yīng)用使外網(wǎng)向內(nèi)網(wǎng)提出的請求需要先經(jīng)過包過濾處理，然后在經(jīng)由代理檢查，如果該請求通過兩次確認(rèn)后無任何問題便可接受，否則防火墻便會對該請求直接進(jìn)行丟棄處理。

參考文獻(xiàn):

[1]張志鋒.淺談計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)運用問題[J].中國電子商務(wù),2011(8).

[2]王龍.李健.計算機(jī)網(wǎng)絡(luò)安全的防范策略——防火墻技術(shù)的研究[J].網(wǎng)絡(luò)財富,2009(12).

[3]徐美紅,封心充,孫鵬,等.基于防火墻技術(shù)的計算機(jī)網(wǎng)絡(luò)安全問題探討[J].科技傳播,2011(18).