徐美紅，封心充，孫 鵬，黃勁燦

1.廣東省氣象信息中心，廣東 廣州 510080

2.河南省開封市氣象局，河南 開封 475004

隨著網(wǎng)絡信息時代進程的逐漸深入，網(wǎng)絡安全成為了重要的問題，計算機的防火墻技術對網(wǎng)絡安全問題成為了目前比較有效的安全技術手段。不過，對于網(wǎng)絡安全，其實主要是系統(tǒng)的、全面的計算機管理問題，一般情況在計算機上的任何一個安全問題，可能導致全網(wǎng)的安全問題的產(chǎn)生，針對于這樣的網(wǎng)絡安全問題，主要是采用系統(tǒng)的管理的方法以及具體的網(wǎng)絡安全管理措施。主要的安全措施包括，首先是行政法律手段，各種管理制度，專業(yè)措施等?？梢赃@樣說，在一個較好的安全措施主要就是多種方法來綜合應用結果。一般在一個完整的計算機網(wǎng)絡里，主要包括個人、設備、軟件、數(shù)據(jù)等。這些部分在網(wǎng)絡中有著非常重要的地位，所以必須從系統(tǒng)的整體角度上去看待這些問題，這樣才可以取得有效的措施。

1 防火墻技術的涵義及工作原理

1）防火墻涵義。通常我們所說的防火墻主要就是指在一個或一組在兩個網(wǎng)絡之間來執(zhí)行訪問控制的系統(tǒng)。主要是包括硬件和軟件。最大的作用的就是更好的保護計算機的安全，以便計算機不被可疑因素侵擾。在本質上，主要就是一種用來更好的允許或阻止網(wǎng)絡業(yè)務來往的網(wǎng)絡安全措施。一般情況下就是提供可以有效控制的網(wǎng)絡通信?？梢哉f防火墻在實質上其實就是用來有效的控制數(shù)據(jù)流通以及允許數(shù)據(jù)之間流通。所以，通常防火墻主要就是有兩種相互對立的安全策略：首先，就是可以讓沒有特別拒絕的事情進入計算機。在這種特定的情況下，防火墻是僅僅拒絕規(guī)定的某一對象的，只要是不在拒絕的范圍內(nèi)的情況一般情況下都是可以得到允許的。通常這種策略在對數(shù)據(jù)包的阻擋能力還是比較小的。因此，安全性還是比較差的。其次，計算機主要是拒絕沒有特別允許的事情。在這種情況主要就是與前面的情況相反，拒絕能力比較強，在這種安全策略中，計算機只接收被允許了的數(shù)據(jù)包，只要是不在允許情況中的數(shù)據(jù)包一律被拒絕；2）防火墻的工作原理。通常，防火墻用來控制Internet和Intranet之間相互聯(lián)系的數(shù)據(jù)流。在應用中，計算機的防火墻主要是在被保護網(wǎng)和外部網(wǎng)之間的一組路由器，以及有適當軟件的計算機的組合?？梢哉f在網(wǎng)絡安全中，防火墻在其中起到了關鍵的把關作用，就是在一般情況下只允許授權的通信通過。而且防火墻通常是由兩個網(wǎng)絡之間的成分集合而成的，基本上是有著以下的性質，只要是內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻。因為只有符合安全策略，這樣的數(shù)據(jù)流才能通過防火墻，進入計算機。防火墻是有著非常強的抗攻擊的免疫力。安全性能好的防火墻主要是有以下的屬性：首先就是信息都必須通過防火墻，其次，在受保護網(wǎng)絡的安全策略中允許的通信才可以通過防火墻。最后，就是通過防火墻的信息內(nèi)容和活動以及對網(wǎng)絡攻擊進行檢測和告警，從而來增強防火墻對各種攻擊的免疫。

2 計算機網(wǎng)絡安全中防火墻的技術

通常，計算機的防火墻種類是比較的多的，一般在不同的發(fā)展階段，是需要運用不同技術的，所以，基于這種原因產(chǎn)生了多種類型的防火墻。一般防火墻采用的技術主要有以下幾種：1）屏蔽路由技術。可以說。屏蔽路由技術是目前非常簡單流行的防火墻技術。屏蔽路由器技術主要就是在網(wǎng)絡層工作，運用包過濾或虛電路技術，在包過濾技術中主要就是通過檢查IP的網(wǎng)絡包來取得信息的。通常就是，先到達的物理網(wǎng)絡接口，然后就是源IP地址，目標IP地址，傳輸層類型，源端口和目的端口等。在根據(jù)信息，來進行正確的判別，能否規(guī)則集中在某條目匹配，再對匹配包執(zhí)行規(guī)則中要求的指定動作，一般就是允許或是禁止；2）基于代理的防火墻技術。通常在基于代理的防火墻技術通常被配置為“雙宿主網(wǎng)關”，是有著兩個網(wǎng)絡接口卡的，同時接入內(nèi)部和外部的網(wǎng)。因為網(wǎng)關是可以與兩個網(wǎng)絡通信的，所以，是可以安裝在傳遞數(shù)據(jù)軟件比較理想的位置上的。一般這種軟件我們稱之為“代理”，一般情況下，主要就是要為其所提供的服務定制的。在代理的防火墻技術中，代理服務是不允許直接與真正的服務相互通信，而是與代理服務器通信的，也就是用戶的默認網(wǎng)關指向代理服務器。每個代理在用戶和服務之間進行通信的處理。這樣就可以對通過它的數(shù)據(jù)進行詳細的審計追蹤的，專家們認為，這種代理防火墻技術是比較安全的，主要就是由于代理軟件可以根據(jù)防火墻后面的主機的脆弱來制定更好的防范已知的攻擊；3）包過濾技術。在防火墻技術中的包過濾技術主要就是按照一定的信息過濾規(guī)則，來對進出內(nèi)部網(wǎng)絡的信息進行及時的限制，是可以允許授權的信息通過的，但是要拒絕沒有授權的信息通過。在包過濾防火墻工作主要就是在網(wǎng)絡層以及邏輯鏈路層之間的。主要就是可以截獲所有流經(jīng)的IP包，一般就是從其IP頭到傳輸層協(xié)議頭，有的可以是應用層協(xié)議數(shù)據(jù)中用來獲取過濾所需的相關信息的。不過，按照順序來與事先設定的訪問控制的規(guī)則進行的匹配比較，以便執(zhí)行相關的動作要求；4）一種改進的防火墻技術。這種改進的防火墻技術可以稱為復合型防火墻技術。由于過濾型的防火墻安全性比較低，而且代理服務器型的防火墻在速度上比較慢，逐漸就出現(xiàn)了一種綜合上述兩種技術優(yōu)點的改進型防火墻技術，這種防火墻技術保證計算機的安全性，而且還通過它的信息傳輸速度受到的影響不太大。這樣對于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請求的，基于由于對內(nèi)部網(wǎng)的安全威脅比較小，所以，可直接下載外部網(wǎng)建立連接，而且從外部網(wǎng)向內(nèi)部網(wǎng)提出的請求，就是先通過包過濾型的防火墻，經(jīng)過初步的安全檢查，兩次檢查后確定沒問題便可接受其請求，不然就進行丟棄處理。

[1]章楚.網(wǎng)絡安全與防火墻技術[M].人民郵電出版社，2007.

[2]勞幗齡.網(wǎng)絡安全與管理[J].高等教育出版社，2008.

[3]祁明.網(wǎng)絡安全[M].高等教育出版社，2010.

[4]白以恩.計算機網(wǎng)絡基礎及應用[M].哈爾濱工業(yè)大學出版社，2006.