劉彩梅

【摘 要】本文分析了計(jì)算機(jī)防火墻的概念，指出計(jì)算機(jī)防火墻具有訪問(wèn)控制、防御功能、用戶認(rèn)證、安全管理的基本功能?，F(xiàn)在防火墻發(fā)展迅速，當(dāng)代防火墻有著多功能化防火墻，高性能防火墻，智能化防火墻，邊界防火墻的發(fā)展趨勢(shì)。

【關(guān)鍵詞】計(jì)算機(jī)；防火墻；基本功能；發(fā)展趨勢(shì)

一、防火墻概念辨析

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

二、防火墻的基本功能

1、訪問(wèn)控制

限制未經(jīng)授權(quán)的用戶訪問(wèn)本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問(wèn)者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫(kù)訪問(wèn)和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

2、防御功能

3、用戶認(rèn)證

因?yàn)槠髽I(yè)網(wǎng)絡(luò)為本地用戶、移動(dòng)用戶和各種遠(yuǎn)程用戶提供信息資源，所以為了保護(hù)網(wǎng)絡(luò)和信息安全，必須對(duì)訪問(wèn)連接用戶采用有效的權(quán)限控制和身份識(shí)別，以確保系統(tǒng)安全。提供高安全強(qiáng)度的一次性口令（otp）用戶認(rèn)證：一次性口令認(rèn)證機(jī)制是高強(qiáng)度的認(rèn)證機(jī)制，能極大地提高了訪問(wèn)控制的安全性，有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。

4、安全管理

提供基于otp機(jī)制的管理員認(rèn)證，提供分權(quán)管理安全機(jī)制；提供管理員和審計(jì)員分權(quán)管理的安全機(jī)制，保證安全產(chǎn)品的安全管理。遠(yuǎn)程管理提供加密機(jī)制；在進(jìn)行遠(yuǎn)程管理時(shí)，管理機(jī)和防火墻之間的通訊可進(jìn)行加密以保證安全，真正實(shí)現(xiàn)遠(yuǎn)程管理。遠(yuǎn)程管理安全措施：管理源主機(jī)限定；并發(fā)管理連接數(shù)限定；管理接口icmp開(kāi)關(guān)控制；管理接口開(kāi)關(guān)；遠(yuǎn)程登錄嘗試鎖定，提供安全策略檢測(cè)機(jī)制。

三、防火墻發(fā)展趨勢(shì)及前景

防火墻的一些安全問(wèn)題暴露出防火墻的一些不足，防火墻開(kāi)始出現(xiàn)了一種更高級(jí)的防火墻，這是也是防火墻一種設(shè)計(jì)理念的升華。這種較為先進(jìn)的防火墻帶有檢測(cè)系統(tǒng)，它通過(guò)過(guò)濾數(shù)據(jù)來(lái)檢測(cè)入侵，這也是現(xiàn)有防火墻的一種主流模式了。在未來(lái)防火墻的檢測(cè)技術(shù)中將繼續(xù)聚合更多的范疇，這些聚合的范疇也很大的提高了防火墻的性能和功能的擴(kuò)展，與此同時(shí)我們可以展望未來(lái)的防火墻必定是向著多功能化、高性能、智能化、更安全的方向發(fā)展。

1、多功能化防火墻

現(xiàn)在防火墻已經(jīng)出現(xiàn)了一種聚成多種功能的設(shè)計(jì)趨勢(shì)，入侵檢測(cè)這樣的功能很多出現(xiàn)在現(xiàn)在防火墻產(chǎn)品中了，這樣的設(shè)計(jì)給管理性能帶來(lái)了不少的提升。甚至?xí)懈嘈路f的設(shè)計(jì)出現(xiàn)在防火墻中，比如短信功能，當(dāng)防火墻的規(guī)則被變更或者出現(xiàn)入侵攻擊的時(shí)候，報(bào)警行為會(huì)通過(guò)多種途徑將消息發(fā)送到管理員手中，包括即時(shí)短信，或者電話呼叫。以確保安全行為第一時(shí)間即被啟動(dòng)。也許在不久的將來(lái)我們就可以在防火墻產(chǎn)品上看到更多更出色的功能設(shè)計(jì)。

2、高性能防火墻

另外一種趨勢(shì)是性能的提高，未來(lái)的防火墻在功能上的提高一定會(huì)伴隨著性能的提升，特別是數(shù)據(jù)的流量日益復(fù)雜更需要性能的保障。如果只是要求性能的提高必然會(huì)出現(xiàn)問(wèn)題。單純的流量過(guò)濾性能問(wèn)題是比較容易解決的問(wèn)題，但是與應(yīng)用層涉及越密，性能提高需要面對(duì)的問(wèn)題就會(huì)越來(lái)越復(fù)雜。特別是在大型應(yīng)用環(huán)境中防火墻規(guī)則庫(kù)有幾萬(wàn)的記錄，這對(duì)防火墻的負(fù)荷來(lái)說(shuō)是很大的考驗(yàn)，所以一些并行處理技術(shù)的高性能防火墻將出現(xiàn)在人們的眼中。

3、智能化防火墻

網(wǎng)絡(luò)中的一些以垃圾電子郵件的發(fā)送，惡意性網(wǎng)站網(wǎng)頁(yè)的彈出問(wèn)題等，這些已經(jīng)不是簡(jiǎn)單的防火墻技術(shù)可以解決的。傳統(tǒng)防火墻解決的效果差而且效果也不好，所以智能防火墻在未來(lái)的發(fā)展趨勢(shì)中也必定發(fā)揮出相應(yīng)的作用。所以不論是從功能還是性能或者其他方面來(lái)說(shuō)防火墻在今后都將會(huì)迅速發(fā)展，這也是反映了信息安全對(duì)防火墻的要求，同時(shí)也是防火墻的發(fā)展趨勢(shì)。

4、邊界防火墻

隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，邊界防火墻明顯感覺(jué)到力不從心，因?yàn)榻o網(wǎng)絡(luò)帶來(lái)安全威脅的不僅是外部網(wǎng)絡(luò)，更多的是來(lái)自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù)，除非對(duì)每一臺(tái)主機(jī)都安裝防火墻，這是不可能的。基于此，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。由于其優(yōu)越的安全防護(hù)體系，符合未來(lái)的發(fā)展趨勢(shì)，所以這一技術(shù)一出現(xiàn)便得到許多用戶的認(rèn)可和接受，它具有很好的發(fā)展前景。分布式防火墻的特點(diǎn)：主機(jī)駐留、嵌入操作系統(tǒng)內(nèi)核、類似于個(gè)人防火墻、適用于服務(wù)器托管。分布式防火墻的功能：Internet訪問(wèn)控制、應(yīng)用訪問(wèn)控制、網(wǎng)絡(luò)狀態(tài)監(jiān)控、黑客攻擊的防御、日志管理、系統(tǒng)工具。

綜上所述，算機(jī)防火墻具有訪問(wèn)控制、防御功能、用戶認(rèn)證、安全管理的基本功能。現(xiàn)在防火墻發(fā)展迅速，當(dāng)代防火墻有著多功能化防火墻，高性能防火墻，智能化防火墻，邊界防火墻的發(fā)展趨勢(shì)。

參考文獻(xiàn)

[1]李倫，尹蘭.一種改進(jìn)的應(yīng)用網(wǎng)關(guān)防火墻系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用.2003（05）

[2]鄭崇偉，蔣天發(fā).基于智能型防火墻INTRANET網(wǎng)絡(luò)安全技術(shù)的研究[J].計(jì)算機(jī)工程與應(yīng)用.2003（02）

[3]楊輝軍.防火墻的基本知識(shí)及應(yīng)用[J].電腦知識(shí)與技術(shù).2002（10）