摘要： 本文首先對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)進(jìn)行了概述，然后論述了網(wǎng)絡(luò)防火墻技術(shù)的分類(lèi)，最后對(duì)防火墻的未來(lái)發(fā)展趨勢(shì)進(jìn)行了介紹。
　　關(guān)鍵詞： 網(wǎng)絡(luò)安全 防火墻技術(shù) 分類(lèi) 發(fā)展趨勢(shì)
　　1.引言
　　近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的更新與發(fā)展，加快了計(jì)算機(jī)的普及，形成了計(jì)算機(jī)技術(shù)和計(jì)算機(jī)信息資源的強(qiáng)強(qiáng)聯(lián)合與共享的整合。網(wǎng)絡(luò)已經(jīng)成為了人類(lèi)所構(gòu)建的最豐富多彩的虛擬世界。但計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展在提高了工作效率的同時(shí)，也帶來(lái)了日益嚴(yán)峻的問(wèn)題——網(wǎng)絡(luò)安全。近年來(lái)，網(wǎng)絡(luò)安全事故頻發(fā)，新的病毒和木馬程序也不斷出現(xiàn)。我們可以通過(guò)很多網(wǎng)絡(luò)工具、設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)，其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。
　　2.防火墻技術(shù)概述
　　顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。從某種意義上來(lái)說(shuō)，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問(wèn)原則。如某個(gè)網(wǎng)絡(luò)決定設(shè)定防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專(zhuān)家共同決定本網(wǎng)絡(luò)的安全策略，即確定哪些類(lèi)型的信息允許通過(guò)防火墻，哪些類(lèi)型的信息不允許通過(guò)防火墻。
　　3.防火墻技術(shù)的分類(lèi)
　　防火墻技術(shù)可分為包過(guò)濾型、代理型和監(jiān)測(cè)型等三大類(lèi)型。
　　3.1包過(guò)濾型
　　包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP／UDP源端口和目標(biāo)端口等。包過(guò)濾型防火墻一般是通過(guò)檢查數(shù)據(jù)包中的地址、協(xié)議、端口等信息按照事先設(shè)定好的條件進(jìn)行過(guò)濾，對(duì)數(shù)據(jù)包實(shí)行有選擇的通過(guò)，符合規(guī)定條件的允許通過(guò)，不符合條件的禁止通行。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。
　　3.2代理型
　　代理型防火墻，代表某個(gè)專(zhuān)用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通訊的防火墻，它的安全性高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。當(dāng)你將瀏覽器配置成使用代理功能時(shí)，防火墻就將你的瀏覽器的請(qǐng)求轉(zhuǎn)給互聯(lián)網(wǎng)；當(dāng)互聯(lián)網(wǎng)返回響應(yīng)時(shí)，代理服務(wù)器再把它轉(zhuǎn)給你的瀏覽器。代理服務(wù)器也用于頁(yè)面的緩存。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在直接連接。
　　3.3監(jiān)測(cè)型
　　監(jiān)測(cè)型防火墻是新一代的產(chǎn)品。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠監(jiān)測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，而且對(duì)來(lái)自?xún)?nèi)部的惡意破壞有極強(qiáng)的防范作用。雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，因此目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。
　　4.防火墻技術(shù)的發(fā)展趨勢(shì)
　　防火墻技術(shù)是隨著科技的進(jìn)步而不斷改進(jìn)的。作為保護(hù)網(wǎng)絡(luò)邊界的安全產(chǎn)品，防火墻技術(shù)也已經(jīng)逐步趨于成熟，并為廣大用戶所認(rèn)可。但是防火墻所暴露的問(wèn)題也慢慢凸顯出來(lái)。未來(lái)防火墻是朝高速、多功能化、模塊化的方向發(fā)展。
　　4.1高速防火墻
　　從國(guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠。新一代防火墻系統(tǒng)不僅應(yīng)該能更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過(guò)率越高，防火墻性能越好。
　　這里還要提到日志問(wèn)題，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。隨著網(wǎng)絡(luò)流量越來(lái)越大，龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的SYSLOG日志，采用的是文本方式，每一個(gè)字符都需要一個(gè)字節(jié)，對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫(kù)的存儲(chǔ)、加密和事后分析。所以，支持二進(jìn)制格式和日志數(shù)據(jù)庫(kù)，是未來(lái)防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。
　　4.2多功能化
　　多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器；支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSEC VPN，可以利用因特網(wǎng)組建安全的專(zhuān)用通道，既安全又節(jié)省了專(zhuān)線投資。未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。
　　4.3模塊化
　　網(wǎng)絡(luò)產(chǎn)品的設(shè)計(jì)與開(kāi)發(fā)基礎(chǔ)離不開(kāi)用戶的需求。而網(wǎng)絡(luò)用戶各異。帶來(lái)的需求各異，對(duì)防火墻的要求就會(huì)靈活多樣。根據(jù)用戶需求和威脅的動(dòng)態(tài)變化靈活配置的模塊化防火墻，可以實(shí)現(xiàn)更好的擴(kuò)展性，而且維護(hù)和升級(jí)更加方便，因此防火墻的模塊化發(fā)展是未來(lái)的重要發(fā)展趨勢(shì)之一。
　　5.結(jié)語(yǔ)
　　隨著新的防火墻技術(shù)的研發(fā)，防火墻技術(shù)在網(wǎng)絡(luò)安全方面將會(huì)發(fā)揮越來(lái)越重要的作用。防火墻是網(wǎng)絡(luò)安全的重要安全保障，如何提高防火墻在實(shí)際中的應(yīng)用能力來(lái)保證系統(tǒng)的高速高效運(yùn)行，對(duì)網(wǎng)絡(luò)的安全至關(guān)重要。
　　參考文獻(xiàn)：
　?。?］Charles P.Pfleeger Shari LawrencePfleeger.信息安全原理與應(yīng)用.電子工業(yè)出版社.
　?。?］凌力.網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全.清華大學(xué)出版社.
　?。?］袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù).清華大學(xué)出版社.
　?。?］蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).中國(guó)水利水電出版