趙錦楠

摘 要：隨著時(shí)代的進(jìn)步，人們緊鑼密鼓地展開一系列科技創(chuàng)新活動(dòng)，計(jì)算機(jī)便是影響這個(gè)時(shí)代最深刻的高科技產(chǎn)品。但是它的產(chǎn)生也帶來了信息安全問題，我們?cè)絹碓诫y以辨別信息的真?zhèn)危@一系列問題和危機(jī)都是現(xiàn)在亟待解決的。目前，防火墻技術(shù)在維護(hù)信息安全中起著舉足輕重的作用，在當(dāng)前局域網(wǎng)中的應(yīng)用相當(dāng)廣泛。進(jìn)一步了解防火墻技術(shù)和它的優(yōu)缺點(diǎn)，對(duì)防火墻技術(shù)的改進(jìn)有著重要意義。

關(guān)鍵詞：計(jì)算機(jī)；防火墻；局域網(wǎng)；信息安全

中圖分類號(hào)：TP393.082 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-6835（2014）03-0135-02

1 防火墻功能

1.1 防火墻的概念

防火墻本來是用來阻止火災(zāi)蔓延的一種建筑物，即火災(zāi)區(qū)和即將被波及區(qū)域的隔離物。因特網(wǎng)上的防火墻跟它的道理相同，也用來阻止因特網(wǎng)的病毒入侵到內(nèi)網(wǎng)中。與其說因特網(wǎng)上的防護(hù)墻像一座建筑物的防火墻，不如說它是護(hù)城河更為形象。

防火墻的作用如下：①限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入；②防止侵入者接近你的其他設(shè)施；③限定人們從一個(gè)特別的點(diǎn)離開；④有效地防止入侵者損害你的計(jì)算機(jī)系統(tǒng)。

1.2 防火墻的優(yōu)點(diǎn)

1.2.1 防火墻能強(qiáng)化安全策略

由于因特網(wǎng)上天天都有很多人在這里獲取信息、交換信息，難以保證不會(huì)出現(xiàn)素質(zhì)低下的人或違法亂紀(jì)的人，作為因特網(wǎng)上的“警察”，防火墻通過實(shí)行該站點(diǎn)的安全策略來防止不良信息的傳播，只有符合安全策略的請(qǐng)求才能通過。

1.2.2 防火墻能有效地記錄網(wǎng)上活動(dòng)

它可以監(jiān)控內(nèi)網(wǎng)和互聯(lián)網(wǎng)的使用過程，并收集到出錯(cuò)的信息，這樣就能對(duì)它們的通信進(jìn)行記錄，并生成日志。

1.2.3 防火墻限制暴露用戶點(diǎn)

防火墻是掛在兩個(gè)網(wǎng)段之間的，通過特定協(xié)議來控制兩個(gè)網(wǎng)段之間的通訊。同時(shí)，這樣也能防止因?yàn)橐粋€(gè)網(wǎng)段產(chǎn)生問題而擴(kuò)散到整個(gè)網(wǎng)絡(luò)。

1.2.4 防火墻是一個(gè)安全策略的檢查站

防火墻類似于一個(gè)安檢機(jī)器，檢查訪問用戶的信息是否與協(xié)議沖突，從而確定用戶是否有訪問權(quán)限。

1.3 防火墻的不足之處

1.3.1 不能防范惡意的知情者

防火墻作為保護(hù)局域網(wǎng)安全的一道屏障，可以根據(jù)特定協(xié)議控制、檢查互聯(lián)網(wǎng)對(duì)其局域網(wǎng)的訪問。但如果入侵者了解網(wǎng)絡(luò)的結(jié)構(gòu)體系，小心地避開防火墻的監(jiān)控，則防火墻就失去了它的保護(hù)功能，可能會(huì)導(dǎo)致信息的泄露；或者入侵者就處于局域網(wǎng)內(nèi)，同樣也使該內(nèi)網(wǎng)陷入信息泄露的危險(xiǎn)境地。所以，要提高局域網(wǎng)的安全性，不能只依靠防火墻，還需加強(qiáng)對(duì)工作人員的管理，強(qiáng)化內(nèi)部信息的保密工作。

1.3.2 不能防范不通過它的連接

防火墻的信息能夠有效地阻止經(jīng)過它的可疑訪問，但是如果站點(diǎn)允許其他方式的訪問，比如撥號(hào)訪問防火墻后部的系統(tǒng)，防火墻對(duì)這種訪問則是無能為力的。

1.3.3 不能防備全部的威脅

目前有些防火墻可以防范和抵御一些新的威脅，但是再好的防火墻也沒有辦法自動(dòng)防備所有威脅。

1.3.4 防火墻不能防范病毒

防火墻不能消除網(wǎng)絡(luò)上的個(gè)人計(jì)算機(jī)的病毒。

2 防火墻技術(shù)在局域網(wǎng)的運(yùn)用

防火墻往往不只有一個(gè)部件，它經(jīng)常是由一系列部件按照一定體系結(jié)構(gòu)組合而成。部件通常有硬件和軟件兩種。不同局域網(wǎng)之間的信息交互必須通過防火墻。不僅如此，防火墻還可以通過設(shè)置兩個(gè)局域網(wǎng)的通信協(xié)議來控制訪問，所以防火墻是一種高級(jí)訪問設(shè)備。

防火墻檢測(cè)系統(tǒng)在“得知”受到攻擊后，就會(huì)根據(jù)策略來對(duì)信息進(jìn)行分析，查看在策略中對(duì)此攻擊的設(shè)置是阻斷還是允許，將檢查得到的信息反饋發(fā)給防火墻，防火墻就能作出正確判斷。防火墻的包過濾功能可以有效阻止外部攻擊并進(jìn)行記錄，使得局域網(wǎng)在一定程度上處于安全的狀態(tài)。

目前，常見的防火墻技術(shù)有三種：屏蔽路由器、屏蔽主機(jī)網(wǎng)關(guān)和屏蔽子網(wǎng)。

2.1 屏蔽路由器

由路由器或者主機(jī)（代替路由器）組成屏蔽線路，所有進(jìn)出的數(shù)據(jù)流都要經(jīng)過這個(gè)路由器，在基于IP層上安裝報(bào)文過濾軟件，這些配置都比較簡(jiǎn)單。通過這種方式來實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)之間的訪問控制。這種方式比較靈活，包過濾局域網(wǎng)對(duì)用戶可見，是一種快捷有效的簡(jiǎn)便方案。但因?yàn)橐恍?yīng)用協(xié)議數(shù)據(jù)包過濾不適合正常的數(shù)據(jù)包，所以，部分安全協(xié)議路由器無法執(zhí)行，不能完全阻止黑客的入侵，也無法處理新的安全威脅。

2.2 屏蔽主機(jī)網(wǎng)關(guān)

屏蔽主機(jī)網(wǎng)關(guān)技術(shù)在應(yīng)用中越來越被人們認(rèn)可，它給局域網(wǎng)的安全加了雙重保障。由一個(gè)包過濾路由器連接外網(wǎng)，這個(gè)路由器成為堡壘主機(jī)與外網(wǎng)通訊的連接樞紐。一般是在路由器上設(shè)立規(guī)則。當(dāng)主機(jī)需要對(duì)外訪問時(shí)，可先把信息發(fā)給堡壘主機(jī)，再由堡壘主機(jī)發(fā)給內(nèi)網(wǎng)的相關(guān)共同站。這樣即使堡壘主機(jī)被攻破，只要包過濾器還起作用，其他內(nèi)網(wǎng)主機(jī)仍然安全。

無論在什么情況下，用戶不能直接與服務(wù)器建立連接。它的優(yōu)點(diǎn)是具備較強(qiáng)的包檢測(cè)能力，安全性更有保障，可以生成各種日志，有更好的靈活性；缺點(diǎn)是速度比路由器緩慢，對(duì)于不同的用戶機(jī)構(gòu)，可能會(huì)產(chǎn)生一些協(xié)議的限制，因此適應(yīng)性稍有點(diǎn)差。

2.3 屏蔽子網(wǎng)

屏蔽子網(wǎng)是目前常使用的結(jié)構(gòu)體系。它由兩個(gè)篩選路由器和一個(gè)堡壘主機(jī)構(gòu)成，路由器一個(gè)處于內(nèi)網(wǎng)，一個(gè)處于外網(wǎng)。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通訊需通過兩層防火墻和一個(gè)堡壘主機(jī)，屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單一的路由器，只提供內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這個(gè)架構(gòu)中，包過濾（包過濾是用來防止人們繞過代理服務(wù)器直接連接）及其實(shí)施方法：例如，兩個(gè)路由器，一個(gè)控制內(nèi)聯(lián)網(wǎng)（Intranet）數(shù)據(jù)流，另一個(gè)控制互聯(lián)網(wǎng)（Internet）提供的主要安全數(shù)據(jù)流，屏蔽子網(wǎng)允許內(nèi)聯(lián)網(wǎng)（Intranet）和互聯(lián)網(wǎng)（Internet）進(jìn)行訪問，但禁止它們穿過?？赡苄枰惭b堡壘主機(jī)的子網(wǎng)掩碼為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但訪問網(wǎng)絡(luò)路由則需要兩個(gè)數(shù)據(jù)流通過兩個(gè)包過濾路由器的檢查。這樣在任何一道防護(hù)措施被攻擊時(shí)，仍然有兩道防護(hù)措施，大大增加了它的安全性。它結(jié)合了上面兩種防火墻技術(shù)的長(zhǎng)處，提高了訪問監(jiān)控的安全性和訪問效率。

總而言之，對(duì)付黑客入侵最有效的方法就是在局域網(wǎng)中使用防火墻技術(shù)，目前專家也致力于研究出一種更加完善的網(wǎng)絡(luò)防護(hù)技術(shù)，能迅速檢測(cè)病毒，使破壞者的詭計(jì)無法得逞。

3 結(jié)束語(yǔ)

防火墻技術(shù)在當(dāng)今的網(wǎng)絡(luò)時(shí)代顯得尤為重要，它的出現(xiàn)為我們營(yíng)造了相對(duì)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。但是任何一個(gè)環(huán)節(jié)的工作，只是邁向安全的步驟。沒有一種防火墻技術(shù)是絕對(duì)安全的，能否快速追趕病毒的更新速度，是目前衡量防火墻好壞的一個(gè)重要標(biāo)準(zhǔn)，也是專家們正在研究的方向。

參考文獻(xiàn)

[1]馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].甘肅科技，2007（4）.

[2]楊勇輝.網(wǎng)絡(luò)安全—防火墻技術(shù)淺析[J].山東科技信息，2007（4）.

[3]楚狂等.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：人民郵電出版社，2000.

〔編輯：陳文強(qiáng)〕