摘要：計算機網(wǎng)絡是一把雙刃劍，其快速發(fā)展給我們帶來巨大便利的同時，也引入了很大的安全隱患。防火墻作為一種主要的安全技術，在維護計算機和網(wǎng)絡信息安全方面起到日益重要的作用，已經(jīng)得到了廣泛的應用。但是各種新出現(xiàn)的攻擊方式和手段也對防火墻的安全應用提出了新的挑戰(zhàn)。本文在介紹防火墻的基本概念和分類基礎上，分析當前防火墻安全應用的不足之處，并指出計算機防火墻未來的發(fā)展方向。

關鍵詞：防火墻；計算機網(wǎng)絡；安全應用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

一、計算機防火墻技術概述

防火墻通常處于網(wǎng)絡與網(wǎng)絡之間來執(zhí)行安全控制策略，是建立在網(wǎng)絡邊界的一種網(wǎng)絡通信監(jiān)控、分析和控制系統(tǒng)。防火墻是當前網(wǎng)絡安全領域的重要組成部分，主要通過監(jiān)測、控制訪問請求、信息交換等網(wǎng)絡之間的行為來實現(xiàn)對內(nèi)部網(wǎng)絡的安全防護。

從防火墻的使用者角度來看，防火墻位于用戶計算機與外部網(wǎng)絡之間，能夠起到保護用戶計算機的護城河作用，用戶發(fā)送或者收到的所有數(shù)據(jù)都必須經(jīng)過防火墻的檢測與處理，并將任何可能的異?；蛘咄{攔截在外，從而保護用戶計算機不受侵害。而從計算機安全理論角度來看，計算機防火墻的最直接的目的就是為了進行必要的網(wǎng)絡安全控制與管理，包括對網(wǎng)絡之間交互的數(shù)據(jù)和應用程序的過濾、監(jiān)控、審計，以及及時阻止受限行為、預警可能遭受的網(wǎng)絡攻擊等。

一般來說，防火墻具有如下五個方面的優(yōu)點：(1)防火墻可以出色完成整體安全策略的任務。經(jīng)過適當配置，防火墻能把通信約束在管理決策所能接受的范圍之內(nèi)。(2)防火墻可用于限制對某些特殊服務的訪問。(3)防火墻功能專一。使用防火墻不必在安全性和可用性之間權衡，因此得到廣泛應用。(4)防火墻具有出色的審計功能。若有足夠的磁盤空間或遠程記錄功能，防火墻能夠存錄所有經(jīng)過的網(wǎng)絡流。(5)防火墻可向相關人員發(fā)出警告信息。

二、計算機防火墻的基本分類

防火墻的發(fā)展不是一蹴而就的，它也是經(jīng)過了一個漫長而復雜的發(fā)展過程的。盡管防火墻發(fā)展到今天已經(jīng)經(jīng)歷了幾代的變更，但是從防火墻處理信息的方式上說，可以將防火墻劃分為三類：包過濾式的防火墻，代理防火墻，狀態(tài)檢測防火墻。但不論是哪種防火墻，運用什么的信息處理方式，都各自有自己的優(yōu)勢，并存在自己的缺點，需要進一步的發(fā)展、改善。

（一）包過濾防火墻

包過濾技術是應用于防火墻最早也是最基礎的技術，其基本原理是檢測通過計算機防火墻的每一個網(wǎng)絡數(shù)據(jù)包，依據(jù)事先制訂好的安全策略，選擇放行、拒絕或者丟棄數(shù)據(jù)包。包過濾防火墻主要根據(jù)數(shù)據(jù)包中源IP地址、目的IP地址以及協(xié)議、端口等信息來完成規(guī)則的匹配，進而作出決定，具有邏輯簡單、安裝和使用方便等特點。

（二）代理防火墻

代理防火墻是建立在應用層的一種數(shù)據(jù)轉(zhuǎn)發(fā)技術，通常針對特定的網(wǎng)絡協(xié)議或者網(wǎng)絡服務。代理機制可以更好的應用于各種相關計算機服務，避免網(wǎng)絡交互給內(nèi)部和外部計算機帶來的各種問題，以保障計算機網(wǎng)絡的安全。

（三）狀態(tài)監(jiān)測防火墻

狀態(tài)檢測技術通過對數(shù)據(jù)的抽取來實現(xiàn)對網(wǎng)絡中各個層次進行監(jiān)測的目的，同樣通過一定的過濾機制以及事先設定的規(guī)則來處理網(wǎng)絡數(shù)據(jù)包。與包過濾防火墻相比，該類型防火墻在詳細分析和過濾數(shù)據(jù)包的基礎上，還具有信息過濾的功能，同時也避免了因開放端口而引入的各種安全隱患。

三、當前計算機防火墻安全應用存在的不足之處

盡管防火墻是目前應用最為廣泛的網(wǎng)絡安全技術，但是隨著技術的進步，各種網(wǎng)絡攻擊技術本身也處于不斷發(fā)展變化當中，尤其是針對當前防火墻特點、部屬及應用的各種攻擊方式也層出不窮，反襯出防火墻安全應用的一些不足之處，主要包括如下四點。

一是當前計算機防火墻的安全應用已經(jīng)無法快速適應各種新出現(xiàn)的網(wǎng)絡攻擊方式，比如各種來自網(wǎng)絡內(nèi)部的攻擊或者網(wǎng)絡外部更加智能化的攻擊手段。各種以夾帶、嵌套、隱藏等方式的攻擊往往可以順利通過防火墻的監(jiān)測，比如防火墻往往對含病毒的郵件束手無策。二是各種病毒一旦入侵OA服務器等關鍵服務器，防火墻就無力阻止病毒的快速擴散，使得該OA服務器成為病毒的轉(zhuǎn)發(fā)和集散地，迅速擴展到整個內(nèi)部網(wǎng)絡而造成極大的損失。三是計算機防火墻在功能越來越強大的同時，帶給系統(tǒng)的管理負擔也越來越大，從一定程度上制約著計算機防火墻的安全防護能力。網(wǎng)絡攻擊一旦穿透計算機防火墻，內(nèi)部計算機就會立即遭受到攻擊，又會進一步增加網(wǎng)絡管理的負擔。這種安全防護技術的發(fā)展與更新落后于網(wǎng)絡攻擊和網(wǎng)絡病毒技術的快速發(fā)展的現(xiàn)狀，嚴重挑戰(zhàn)著計算機防火墻的安全應用。四是防火墻必須像其他安全技術、安全應用一樣，必須不斷地加以更新和升級才能更好的抵御來自網(wǎng)絡的各種新的攻擊，而當前許多已經(jīng)部署防火墻的單位則往往忽視了防火墻的升級改造。

四、計算機防火墻的安全應用

（一）選擇恰當?shù)姆阑饓?/p>

要根據(jù)實際需要，對防火墻進行選擇應用，我們通過對防火墻的評價和分析來決定采用什么樣的防火墻。如何評估防火墻是個很復雜的問題，因為用戶在這方面有不同的需求，很難給出統(tǒng)一的標準，一般說來，選擇防火墻應把握以下五條原則：一是防火墻自身的安全性。防火墻也是網(wǎng)絡上的主機，自身也存在安全問題，如不能確保自身安全，則防火墻的控制功能再強，也終究不能保護內(nèi)部網(wǎng)絡。二是防火墻的管理難易度。若防火墻的管理過于繁瑣，則可能會造成配置上的錯誤，影響其功能。三是能否向使用者提供完善的售后服務。由于有新的產(chǎn)品出現(xiàn)，就有人會研究新的破解方法，所以一個好的防火墻供應商必須有一個龐大的組織作為使用者的安全后盾，為其提供升級與維修服務。四是應該考慮使用者的特殊需求。使用者安全政策中往往有些特殊需求不是每一個防火墻都會提供的。五是防火墻的費用。當前在市場上，防火墻的售價極為懸殊，從幾萬元到數(shù)十萬元，甚至到百萬元。總的來說安全性的高低與費用成正比，所以在選擇防火墻時，費用與安全性的折衷是不可避免的，這也就決定了“絕對安全”的防火墻是不存在的。但是可以在現(xiàn)有經(jīng)濟條件下盡可能選擇滿足企業(yè)組織需求，并有一定擴展能力的防火墻。

（二）合理配置和管理防火墻

防火墻的配置和管理對于網(wǎng)絡安全來說十分重要，必須注意如下三條原則：首先，必須明確防火墻使用單位的安全需求，比如目前開通的網(wǎng)絡服務有哪些，嚴格禁止的網(wǎng)絡行為有哪些，形成明確的需求清單，再根據(jù)這個需求清單設置防火墻功能。其次，必須請經(jīng)過專業(yè)培訓的專門人員負責維護和管理防火墻，定期進行防火墻的檢測，對整個網(wǎng)絡運行情況進行實時監(jiān)督，同時要積極和防火墻提供廠商保持聯(lián)絡，及時更新和維護。再次，必須要保證所有的網(wǎng)絡流量都要通過防火墻基礎上，默認策略必須采用拒絕原則，同時要保證整個防火墻的透明運作，不給正常工作帶來明顯影響。

五、計算機防火墻安全應未來的發(fā)展趨勢

隨著網(wǎng)絡的普及和病毒的蔓延，當今社會幾乎是聞病毒而色變。計算機防火墻作為主要的網(wǎng)絡安全防護手段，其安全應用方式也逐漸由單一走向綜合，需要綜合考慮包過濾、代理和狀態(tài)檢測技術，需要綜合應用網(wǎng)絡防火墻和主機防火墻等應用方式?？梢灶A見的是，隨著計算機技術的不斷發(fā)展，計算機防火墻必然會向著如下一些方向發(fā)展。

一是對實際部署的計算機防火墻性能要求會越來越高。在網(wǎng)絡應用不斷豐富的今天，網(wǎng)絡帶寬的增長速度明顯更不上網(wǎng)絡應用的發(fā)展，因而對占用和限制網(wǎng)絡帶寬的網(wǎng)絡安全產(chǎn)品性能必然提出了更高的要求，能夠使用萬兆甚至更高帶寬且本身占用系統(tǒng)資源、網(wǎng)絡資源較少的計算機防火墻是未來應用的一個主要發(fā)展方向。

二是未來的計算機防火墻將和具體應用更加緊密地結(jié)合到一起。隨著網(wǎng)絡安全技術的不斷發(fā)展和更新，來自網(wǎng)絡層協(xié)議和操作系統(tǒng)的缺陷會相應的減少，但同時隨著網(wǎng)絡應用的不斷豐富，來自應用層的各種安全問題必然會逐漸增多，成為威脅網(wǎng)絡安全的主要因素。所以未來的計算機防火墻必然更加注重振對應用層的安全防護，也就是將計算機防火墻向著深度應用安全應用上發(fā)展，不斷擴展應用的廣度和深度。

三是未來的計算機防火墻應用將成為安全管理系統(tǒng)中的一個重要組件。隨著病毒和黑客技術的不斷發(fā)展，單一的安全防護技術或者產(chǎn)品應用已經(jīng)無法滿足計算機網(wǎng)絡安全的需求。因此將來計算機用戶的所有安全應用必然朝著一體化的立體綜合防護方向發(fā)展，計算機防火墻可以提供注入安全策略接口、安全審計接口等一系列安全接口，成為綜合防護中不可缺少的必要組成部分。

四是未來的計算機防火墻安全應用將更加智能化。任何產(chǎn)品必須不斷滿足客戶的最新需求才具發(fā)展前景和長久的生命力，未來的計算機防火墻必然朝著越來越穩(wěn)定可靠和智能化方向發(fā)展，變得更加容易操作、兼容性強，并能夠解決諸如IPv6等最新網(wǎng)絡技術帶來的新安全隱患。

六、結(jié)束語

隨著經(jīng)濟和科技水平的快速發(fā)展，計算機網(wǎng)絡已經(jīng)成為社會生活、工作中必不可少的一部分，涉及到政府、工業(yè)、商業(yè)、教育、科研、金融等方方面面。在享受來自網(wǎng)絡的便利同時，網(wǎng)絡安全問題已經(jīng)成為一個嚴重威脅。計算機防火墻作為最重要的網(wǎng)絡安全防護技術之一，從技術上要緊跟時代發(fā)展的潮流，不斷根據(jù)最新出現(xiàn)的攻擊形式和手段進行更新，不斷改善防火墻的自身性能，而從安全應用角度上，更是應該合理根據(jù)不同的安全需求進行科學的選擇產(chǎn)品、配置、維護與管理好計算機防火墻，只有這樣才能真正的讓防火墻起到其應有的網(wǎng)絡安全防護作用。

參考文獻：

[1]郭靜博，宮蕾.關于計算機防火墻安全應用的思考[J].長春教育學院學報，2011，27(2):124-125

[2]姜志高.計算機防火墻安全應用的探索[J].才智，2011(25)：86-87

[3]曹錚.淺議計算機防火墻的安全應用[J].科教文匯，2009(18)：288

[4]郭飛軍.對計算機防火墻安全應用的探討[J].數(shù)字技術與應用，2012(1):187-188