摘要：隨著信息技術的發(fā)展和經(jīng)濟競爭的日益激烈，當今社會對計算機網(wǎng)絡的依賴越來越強，網(wǎng)絡對社會的影響也越來越大。計算機網(wǎng)絡是計算機與信息技術相結合的產(chǎn)物，網(wǎng)絡的安全與否已經(jīng)直接影響到社會安全。防火墻技術是目前最流行也是使用最廣泛的一種網(wǎng)絡安全技術。在構建安全網(wǎng)絡環(huán)境的過程中，防火墻作為網(wǎng)絡的第一道安全防線，正受到越來越多用戶的關注。該文針對防火墻技術在計算機中的應用進行了分析和探究。

關鍵詞：計算機網(wǎng)絡；防火墻；網(wǎng)絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）36-8618-02

隨著計算機技術的快速發(fā)展和應用，不斷地促進了信息技術的變革。近年來隨著計算機網(wǎng)絡技術飛速發(fā)展，計算機和網(wǎng)絡資源已經(jīng)形成了非常有效的聯(lián)合，網(wǎng)絡技術在帶給我們便捷的同時，其安全性問題也日益突顯出來。連接到互聯(lián)網(wǎng)上的計算機在沒有安全防護的情況下，很多私密的信息會被泄露，輕則丟掉數(shù)據(jù)，重則系統(tǒng)平臺會被攻擊乃至系統(tǒng)癱瘓，經(jīng)常會造成一些不可挽回的物質和經(jīng)濟損失。防火墻技術是目前最為流行也是使用最為廣泛的一種網(wǎng)絡安全技術，它可以看作是內外網(wǎng)的一種網(wǎng)關，能將內網(wǎng)與外網(wǎng)有效的分隔開，保障網(wǎng)絡的安全。

1 防火墻功能簡介

防火墻是聯(lián)接內部網(wǎng)絡和外部不安全網(wǎng)絡的“橋梁”電腦。它們專門被用來過濾和攔截有害信息，只允許符合嚴格安全標準的信息通過，如圖1所示。防火墻的任務就是對流經(jīng)它的網(wǎng)絡通信進行掃描，過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬等不安全程序。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信，從而達到初步的網(wǎng)絡系統(tǒng)安全保障。防火墻可以在計算機網(wǎng)絡和計算機系統(tǒng)受到危害之前進行報警、攔截和響應[1]。

在實際應用中，某些特定主機需要對外提供服務，為了更好地提供服務，同時又要有效地保護內部網(wǎng)絡的安全，需要將這些機與內網(wǎng)設備分隔開來，根據(jù)不同的需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了內部網(wǎng)絡。這就需要構建一個DMZ區(qū)，俗稱非軍事化區(qū)。DMZ可以理解為一個不同于外網(wǎng)或內網(wǎng)的特殊網(wǎng)絡區(qū)域，DMZ內通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務，但不能接觸到存放在內網(wǎng)中的服務器，即使DMZ中服務器受到破壞，也不會對內網(wǎng)中的機密信息造成影響。

圖1 防火墻部署圖

防火墻就是用來阻擋外部不安全因素影響的內部網(wǎng)絡屏障，其具有抵御外部侵襲但是不能阻止內部侵襲的一種防護手段，但是隨著新技術的發(fā)展和創(chuàng)新，現(xiàn)代化的防火墻技術不僅能夠對外部網(wǎng)絡發(fā)出的通信連接進行過濾，同時對內部網(wǎng)絡用戶發(fā)出的部分連接請求和數(shù)據(jù)包同樣過濾，防火墻只能夠允許符合安全策略的連接通信[2]。為了達到網(wǎng)絡安全，必須使內網(wǎng)和外網(wǎng)絡之間的所有數(shù)據(jù)通信都流經(jīng)防火墻。并且人為制訂一些安全規(guī)則，符合防火墻規(guī)則設置的數(shù)據(jù)流才能通過防火墻，使網(wǎng)絡環(huán)境變得更安全。而且要求防火墻本身要有非常強的抗攻擊能力。防火墻在完成配置后，都可以達到以下功能：

1） 網(wǎng)絡管理員通過設置一定的訪問規(guī)則，規(guī)范網(wǎng)絡使用。對于不同的服務面向其相應的用戶開放，這樣可以靈活地設置用戶的訪問權限，保障內網(wǎng)數(shù)據(jù)的安全。通過防火墻過濾不安全信息，限制其他人員及計算機進入內部網(wǎng)絡；對于符合防火墻規(guī)則的安全數(shù)據(jù)，可以自由通過防火墻。這樣既可以防止危險數(shù)據(jù)對內網(wǎng)的侵襲，又能保證外網(wǎng)用戶可以安全的使用內網(wǎng)數(shù)據(jù)，同時使內網(wǎng)計算機安全正常運行。

2） 解決IP地址不足。防火墻可以利用自身的NAT等技術，將內、外網(wǎng)IP地址對應起來，解決網(wǎng)絡IP地址不足問題。

3） 有效地審核、記錄內外網(wǎng)訪問信息。防火墻作為連接內網(wǎng)與外網(wǎng)的網(wǎng)關，可以通過防火墻自身的過濾功能，對內、外部網(wǎng)絡存取和訪問進行監(jiān)控審計，記錄下這些訪問并進行日志記錄，利用防火墻的這一特性，我們可以有效的記錄計算機訪問內網(wǎng)資源的情況，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，這也為日后的安全技術分析提供依據(jù)。

2 防火墻安全策略

防火墻的安全策略是防火墻系統(tǒng)中的重要組成部分，安全策略決定了保護網(wǎng)絡的安全性，一個好的防火墻首先應該有一個行之有效的安全策略，它必須滿足用戶的安全需求，在安全和方便直接找到一個平衡點。防火墻安全策略包括防火墻設計策略和服務訪問策略。

防火墻設計策略，是防火墻底層的策略，它描述防火墻如何根據(jù)定義的服務策略來具體限制訪問和過濾服務的。防火墻的兩個基本設計策略是“允許所有除明確拒絕之外的通訊或服務進行，拒絕所有除明確允許之外的通訊或服務進行”[3]。防火墻服務訪問策略是防火墻的高層策略，它明確定義了受保護的網(wǎng)絡應該允許和拒絕的網(wǎng)絡服務和其使用的范圍。

3 防火墻技術

為了更好的提高防火墻的防御功能，必須具備過濾所有數(shù)據(jù)的能力。防火墻能夠根據(jù)預先定義的安全策略，允許合法連接進入內部網(wǎng)絡，阻止非法連接，保護內部網(wǎng)的安全。防火墻通常用于保護公司的內部網(wǎng)絡，也可用于不同部門之間的網(wǎng)絡分離。

開放系統(tǒng)互連模型（OSI）分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。根據(jù)防火墻技術主要工作在該模型的哪些層面上，可以將防火墻技術分為“包過濾型防火墻”和“應用代理型防火墻”兩大類。

包過濾型防護墻是建立在網(wǎng)絡層和傳輸層，它可以根據(jù)不同的源地址、端口號和網(wǎng)絡協(xié)議等安全標識判斷并根據(jù)已定規(guī)則分析是都允許通過。包過濾防火墻是一種通用、安全有效的技術手段。傳統(tǒng)包過濾技術不斷發(fā)展進化，目前包過濾技術向兩種過濾方式：靜態(tài)包過濾與動態(tài)包過濾。靜態(tài)包過濾防火墻根據(jù)數(shù)據(jù)中提取出來的IP地址來決定是否轉發(fā)該數(shù)據(jù)，它的優(yōu)點是簡單方便、速度快，對網(wǎng)絡性能影響不大。但對于一些具有欺騙性的數(shù)據(jù)包，這類防火墻很難將其分辨出來。動態(tài)包過濾防火墻采用動態(tài)設置包過濾規(guī)則的方法，這些規(guī)則只是在原來靜態(tài)包過濾的基礎上加了一些連接信息表，根據(jù)該信息表對每一個連接進行跟蹤。

包過濾防火墻技術有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務，即包過濾路由器對用戶和應用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應用協(xié)議不適用于包過濾技術，不能防范黑客攻擊，不支持應用層協(xié)議。

應用代理型防火墻技術的工作原理是在OSI網(wǎng)絡層中的第七層，就是常說的應用層，直接對特定的應用層進行服務。最大的特點就是完全阻斷了網(wǎng)絡通信流的數(shù)據(jù)，也被稱為應用層的網(wǎng)關級防火墻。它通過對FTP，Telnet等不同應用服務分別提供相應的代理程序，使內外網(wǎng)通信都能經(jīng)過代理服務器的中間轉換，實現(xiàn)網(wǎng)絡的安全訪問，起到了監(jiān)督的作用和控制的作用。應用代理技術就是應用層在這個時候具有高級代理的能力，同時這種防火墻技術支持網(wǎng)絡地址的相互轉換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務器提供路由的服務。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應用代理技術防火墻的特點。應用代理防火墻直接阻斷內外網(wǎng)之間的直接通信。內外網(wǎng)絡之間的通信不是直接的，而外網(wǎng)用戶訪問內網(wǎng)服務器都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉發(fā)，避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內容，對數(shù)據(jù)包有較強的鑒別能力。

4 結束語

隨著計算機技術的不斷發(fā)展，人們越來越依賴于網(wǎng)絡，對于信息資源的依賴也過于緊密，網(wǎng)絡安全問題也不可避免，這直接影響著防火墻技術的發(fā)展。為了保障網(wǎng)絡的安全運行，防火墻技術越來越重要。我們需要選擇適合實際應用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術是不夠的，需要使現(xiàn)在的防火墻技術將計算機技術和網(wǎng)絡技術結合在一起，才能真正解決計算機的網(wǎng)絡安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術的網(wǎng)絡安全機制研究[D].電子科技大學，2007.

[2] 秦燕.防火墻技術在計算機網(wǎng)絡中的應用研究[J].計算機光盤軟件與應用，2013（10）.

[3] 丁方.基于策略的防火墻技術的研究與實現(xiàn)[D].西北工業(yè)大學，2007.endprint

包過濾防火墻技術有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務，即包過濾路由器對用戶和應用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應用協(xié)議不適用于包過濾技術，不能防范黑客攻擊，不支持應用層協(xié)議。

應用代理型防火墻技術的工作原理是在OSI網(wǎng)絡層中的第七層，就是常說的應用層，直接對特定的應用層進行服務。最大的特點就是完全阻斷了網(wǎng)絡通信流的數(shù)據(jù)，也被稱為應用層的網(wǎng)關級防火墻。它通過對FTP，Telnet等不同應用服務分別提供相應的代理程序，使內外網(wǎng)通信都能經(jīng)過代理服務器的中間轉換，實現(xiàn)網(wǎng)絡的安全訪問，起到了監(jiān)督的作用和控制的作用。應用代理技術就是應用層在這個時候具有高級代理的能力，同時這種防火墻技術支持網(wǎng)絡地址的相互轉換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務器提供路由的服務。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應用代理技術防火墻的特點。應用代理防火墻直接阻斷內外網(wǎng)之間的直接通信。內外網(wǎng)絡之間的通信不是直接的，而外網(wǎng)用戶訪問內網(wǎng)服務器都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉發(fā)，避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內容，對數(shù)據(jù)包有較強的鑒別能力。

4 結束語

隨著計算機技術的不斷發(fā)展，人們越來越依賴于網(wǎng)絡，對于信息資源的依賴也過于緊密，網(wǎng)絡安全問題也不可避免，這直接影響著防火墻技術的發(fā)展。為了保障網(wǎng)絡的安全運行，防火墻技術越來越重要。我們需要選擇適合實際應用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術是不夠的，需要使現(xiàn)在的防火墻技術將計算機技術和網(wǎng)絡技術結合在一起，才能真正解決計算機的網(wǎng)絡安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術的網(wǎng)絡安全機制研究[D].電子科技大學，2007.

[2] 秦燕.防火墻技術在計算機網(wǎng)絡中的應用研究[J].計算機光盤軟件與應用，2013（10）.

[3] 丁方.基于策略的防火墻技術的研究與實現(xiàn)[D].西北工業(yè)大學，2007.endprint

包過濾防火墻技術有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務，即包過濾路由器對用戶和應用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應用協(xié)議不適用于包過濾技術，不能防范黑客攻擊，不支持應用層協(xié)議。

應用代理型防火墻技術的工作原理是在OSI網(wǎng)絡層中的第七層，就是常說的應用層，直接對特定的應用層進行服務。最大的特點就是完全阻斷了網(wǎng)絡通信流的數(shù)據(jù)，也被稱為應用層的網(wǎng)關級防火墻。它通過對FTP，Telnet等不同應用服務分別提供相應的代理程序，使內外網(wǎng)通信都能經(jīng)過代理服務器的中間轉換，實現(xiàn)網(wǎng)絡的安全訪問，起到了監(jiān)督的作用和控制的作用。應用代理技術就是應用層在這個時候具有高級代理的能力，同時這種防火墻技術支持網(wǎng)絡地址的相互轉換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務器提供路由的服務。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應用代理技術防火墻的特點。應用代理防火墻直接阻斷內外網(wǎng)之間的直接通信。內外網(wǎng)絡之間的通信不是直接的，而外網(wǎng)用戶訪問內網(wǎng)服務器都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉發(fā)，避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內容，對數(shù)據(jù)包有較強的鑒別能力。

4 結束語

隨著計算機技術的不斷發(fā)展，人們越來越依賴于網(wǎng)絡，對于信息資源的依賴也過于緊密，網(wǎng)絡安全問題也不可避免，這直接影響著防火墻技術的發(fā)展。為了保障網(wǎng)絡的安全運行，防火墻技術越來越重要。我們需要選擇適合實際應用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術是不夠的，需要使現(xiàn)在的防火墻技術將計算機技術和網(wǎng)絡技術結合在一起，才能真正解決計算機的網(wǎng)絡安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術的網(wǎng)絡安全機制研究[D].電子科技大學，2007.

[2] 秦燕.防火墻技術在計算機網(wǎng)絡中的應用研究[J].計算機光盤軟件與應用，2013（10）.

[3] 丁方.基于策略的防火墻技術的研究與實現(xiàn)[D].西北工業(yè)大學，2007.endprint