張銀行

【摘要】 本文圍繞信息安全技術(shù)，闡述了防火墻技術(shù)的種類，論述了防火墻技術(shù)保護(hù)網(wǎng)絡(luò)信息安全的基本原理，分析了防火墻在安全領(lǐng)域的具體應(yīng)用。最后，本文還探討了網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展趨勢。

【關(guān)鍵詞】 信息安全 防火墻

一、前言

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)信息安全已經(jīng)成為了一個(gè)嚴(yán)肅性的問題。隨著各類網(wǎng)絡(luò)信息泄露事件不斷出現(xiàn)，網(wǎng)絡(luò)信息的安全問題亟待解決。防火墻作為一種可以有效保護(hù)網(wǎng)絡(luò)信息安全的技術(shù)，逐漸被人們開發(fā)和利用。

二、防火墻技術(shù)分類

1、數(shù)據(jù)包過濾型。數(shù)據(jù)包過濾型防火墻通過讀取數(shù)據(jù)包，分析其中的一些相關(guān)信息來對該數(shù)據(jù)的可信度與安全性進(jìn)行判斷，然后以判斷結(jié)果為依據(jù)，進(jìn)行數(shù)據(jù)處理。一旦數(shù)據(jù)包不能得到防火墻的信任，便進(jìn)入不了網(wǎng)絡(luò)。這種防火墻技術(shù)實(shí)用性很強(qiáng)，在一般的網(wǎng)絡(luò)環(huán)境中都能夠起到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用，而且操作起來比較便捷，成本也較低，因此，是計(jì)算機(jī)防火墻中最基本的類型，在實(shí)際應(yīng)用中得到了推廣。

2、代理型。代理型防火墻，即代理服務(wù)器，它會(huì)回應(yīng)輸入封包，對內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交流進(jìn)行阻斷。它加大網(wǎng)絡(luò)的安全性，而且正在向應(yīng)用層面發(fā)展，能夠針對應(yīng)用層的病毒入侵實(shí)施防護(hù)措施。該種代理型防火墻技術(shù)的缺點(diǎn)是增加了成本的投入，并且對管理員的專業(yè)技能水平和綜合素質(zhì)有比較高的要求，對網(wǎng)絡(luò)管理帶來了一定的壓力。

3、監(jiān)測型。監(jiān)測型防火墻可以主動(dòng)完成網(wǎng)絡(luò)通信數(shù)據(jù)的監(jiān)測，在很大程度上提高了計(jì)算機(jī)網(wǎng)絡(luò)的安全性，但是，監(jiān)測性防火墻成本投入高，管理難度大，不便于操作，因此，該種防火墻技術(shù)目前還沒有得到普及。在實(shí)際組網(wǎng)過程中，可以依據(jù)具體的網(wǎng)絡(luò)環(huán)境，來選擇與之符合的監(jiān)測技術(shù)，這樣可以在提高計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，降低成本的投入。

三、防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用方式

1、網(wǎng)絡(luò)級防火墻。它一般是根據(jù)應(yīng)用協(xié)議、目的地址、源地址以及每個(gè)IP包端口來判斷是否能通過。以往我們稱路由器為網(wǎng)絡(luò)級防火墻。但大多數(shù)的路由器在檢查完網(wǎng)絡(luò)信息的安全性后，能判斷是否轉(zhuǎn)發(fā)所接收到的IP包，可它無法對IP包的來源和去向進(jìn)行判斷。而高級網(wǎng)絡(luò)級防火墻卻能做到這一點(diǎn)，它能利用所提供的內(nèi)容信息來說明數(shù)據(jù)流和連接狀態(tài)，而且將需要判斷的內(nèi)容與規(guī)則表做個(gè)對比。這些規(guī)則表定義了所有決定IP包是否能通過的規(guī)則，當(dāng)接收到IP包時(shí)，防火墻會(huì)對比每條規(guī)則查看是否有與此IP包信息內(nèi)容相符的規(guī)則。假如沒有相符合的規(guī)則，那么防火墻則會(huì)選用默認(rèn)規(guī)則，將此IP包丟棄。

2、應(yīng)用級網(wǎng)關(guān)。作為最為可靠的防火墻技術(shù)，它對訪問控制相對嚴(yán)格，實(shí)現(xiàn)起來也比較困難。應(yīng)用級網(wǎng)關(guān)能檢查數(shù)據(jù)包，利用網(wǎng)關(guān)來復(fù)制傳遞的數(shù)據(jù)，避免被信任的客戶機(jī)和服務(wù)器直接連接不被信任的主機(jī)。它與網(wǎng)絡(luò)級防火墻相比，有一定的優(yōu)勢，但也有不足。雖然一些常見的應(yīng)用級防火墻目前已有了相對應(yīng)的代理服務(wù)器，譬如：FTP，HTTP，Telnet，Rlogin，NNTP等?？墒菍τ谛卵邪l(fā)的，還沒有與之相對應(yīng)的代理服務(wù)器，只能采用一般的代理服務(wù)和網(wǎng)絡(luò)防火墻。

3、電路級網(wǎng)關(guān)。它通過對被信任的客戶機(jī)或服務(wù)器與不被信任的主機(jī)之間的TCP交換信息的監(jiān)督來判斷此會(huì)話的合法性。它是在OSI的會(huì)話層對數(shù)據(jù)包進(jìn)行過濾，要與網(wǎng)絡(luò)級防火墻相比，高出兩層。事實(shí)上，電路級防火墻并不是相對獨(dú)立的產(chǎn)品，它必須結(jié)合應(yīng)用級網(wǎng)關(guān)一起工作。此外，電路級網(wǎng)關(guān)還具有代理服務(wù)器這一安全功能，所謂代理服務(wù)器其實(shí)也是一個(gè)防火墻，由于它能運(yùn)行“地址轉(zhuǎn)移”進(jìn)程，能把所有內(nèi)部的IP地址映射到安全的IP地址上，而這個(gè)地址是供防火墻使用的。然而，電路級網(wǎng)關(guān)也有一定的缺陷，由于它是工作于會(huì)話層，無法對應(yīng)用層的數(shù)據(jù)包進(jìn)行檢查。

四、網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展趨勢

綜合全球范圍內(nèi)信息技術(shù)的發(fā)展態(tài)勢來看，標(biāo)準(zhǔn)化、集成化、網(wǎng)絡(luò)化、抽象化、可信化是其發(fā)展的五大趨勢，尤其是隨著互聯(lián)網(wǎng)和計(jì)算機(jī)應(yīng)用與普及范圍的擴(kuò)大，必然會(huì)帶動(dòng)網(wǎng)絡(luò)信息安全技術(shù)的創(chuàng)新與發(fā)展，會(huì)促進(jìn)現(xiàn)有信息安全關(guān)鍵技術(shù)的新一輪創(chuàng)新，并誘發(fā)網(wǎng)絡(luò)安全新技術(shù)和全新應(yīng)用模式的出現(xiàn)。因此，世界范圍內(nèi)的信息安全技術(shù)，其發(fā)展呈現(xiàn)出了動(dòng)態(tài)性、復(fù)雜性、智能性、可控性的發(fā)展趨勢，這不僅會(huì)進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的安全生存能力，還能夠有效增強(qiáng)信息安全防護(hù)中的主動(dòng)性、實(shí)時(shí)性、可控性和有效性。

五、結(jié)束語

綜上所述，在提高網(wǎng)絡(luò)信息安全水平的同時(shí)，我們必須要更加注重利用防火墻技術(shù)。因?yàn)榉阑饓夹g(shù)在可以使得我們的互聯(lián)網(wǎng)環(huán)境變得更加安全。所以，我們可以依靠不斷提高防火墻技術(shù)水平來更好的保障網(wǎng)絡(luò)信息安全。

參 考 文 獻(xiàn)

[1] 王麗玲. 淺談?dòng)?jì)算機(jī)安全與防火墻技術(shù)[J]. 電腦開發(fā)與應(yīng)用，2012，11：67-69

[2] 王春璞. 網(wǎng)絡(luò)安全與防火墻技術(shù)分析[J]. 科技信息，2012，01：197+170