摘要：隨著網(wǎng)絡(luò)技術(shù)越來越廣泛的傳播，網(wǎng)絡(luò)攻擊不斷升級，為了抵御不斷產(chǎn)生的網(wǎng)絡(luò)攻擊，對防火墻的技術(shù)需求也日益增加，本文探討了計算機防火墻技術(shù)的發(fā)展現(xiàn)狀，分析了計算機防火墻未來的走向和發(fā)展趨勢。

關(guān)鍵詞：計算機；防火墻；發(fā)展現(xiàn)狀；應(yīng)用前景

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1007-9599 (2012) 07-0000-01

一、計算機防火墻的分類及主要功能

（一）計算機防火墻的分類。計算機防火墻從原理與技術(shù)上劃分，主要包括包過濾型技術(shù)、狀態(tài)監(jiān)測技術(shù)以及代理服務(wù)技術(shù)三種形式。

1.包過濾型技術(shù)。包過濾型技術(shù)是計算機防火墻發(fā)展過程中最基本的形式，它主要作業(yè)于以O(shè)SI網(wǎng)絡(luò)參考模型為主的網(wǎng)絡(luò)層和傳輸層。通過對數(shù)據(jù)流里的每個數(shù)據(jù)包的源地址、使用端口等進行檢測來確定數(shù)據(jù)包的合理性，一些難以達到過濾條件的數(shù)據(jù)包將會被停止使用，只有達到過濾要求的數(shù)據(jù)包，才能會被轉(zhuǎn)發(fā)到指定的目的地。這類的防火墻安裝快捷、使用方便、便于操作，通常情況下會被安裝在路由器上。

2.狀態(tài)監(jiān)測技術(shù)。狀態(tài)監(jiān)測技術(shù)主要通過抽取一些相關(guān)數(shù)據(jù)來達到監(jiān)測網(wǎng)絡(luò)各層的目的，并根據(jù)過濾條件做出正確的安全決策。狀態(tài)監(jiān)測技術(shù)不僅會詳細(xì)分析每個數(shù)據(jù)包信息，而且還能對信息進行過濾，這種信息過濾功能能夠有效防止出現(xiàn)安全漏洞。

3.代理服務(wù)技術(shù)。代理服務(wù)技術(shù)中的轉(zhuǎn)發(fā)功能主要通過在OSI網(wǎng)絡(luò)參考模型的應(yīng)用層上設(shè)立協(xié)議過濾的方式來完成，它以網(wǎng)絡(luò)服務(wù)應(yīng)用協(xié)議為主要依據(jù)，以某個特定的數(shù)據(jù)過濾邏輯為手段來達到監(jiān)視及控制通信流的效果。代理服務(wù)技術(shù)的每個應(yīng)用服務(wù)均可設(shè)立專門的代理，這樣能夠有效地保障網(wǎng)絡(luò)安全。

（二）計算機防火墻的主要功能

1.計算機防火墻為網(wǎng)絡(luò)安全提供有力保障。毫無疑問，防火墻能夠促進計算機內(nèi)部網(wǎng)絡(luò)安全性的提高，并能夠?qū)⒉话踩姆?wù)加以過濾，降低網(wǎng)絡(luò)安全風(fēng)險。如防火墻能夠阻止不具備安全性的NFS協(xié)議進入網(wǎng)絡(luò)系統(tǒng)中，為這樣有利于粉碎攻擊者借助一些安全性低的協(xié)議攻擊計算機內(nèi)部網(wǎng)絡(luò)的目的。與此同時，防火墻還能完善網(wǎng)絡(luò)安全措施，通過設(shè)置合理的網(wǎng)絡(luò)安全方案，能將安全軟件配置全部集中于防火墻上，有利于集中式系統(tǒng)管理的實現(xiàn)。同時，防火墻還具備VPN（具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系）的支持功能，借助VPN這一重要平臺，能將各企業(yè)單位布在世界各地的LAN或?qū)Ｓ米泳W(wǎng)有效地組成一個整體，防止資源的濫用，為信息資源共享提供了強大的技術(shù)支持。

2.計算機防火墻為避免內(nèi)部信息的外泄提供了安全平臺。首先，借助防火墻可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)的劃分，加快內(nèi)網(wǎng)重點網(wǎng)段的有效隔離，減少計算機潛在的網(wǎng)絡(luò)安全隱患，確保計算機整體網(wǎng)絡(luò)的正常運行。其次，借助防火墻可以使一些如Finger，DNS等透漏內(nèi)部細(xì)節(jié)的服務(wù)隱藏起來。我們知道，當(dāng)前網(wǎng)絡(luò)安全中最突出的問題便是隱私泄露問題，網(wǎng)絡(luò)系統(tǒng)中任何一個毫不起眼的細(xì)節(jié)都會引起安全問題，吸引外部攻擊都的注意力，從而使得隱私充分暴露。

3.計算機防火墻可以實現(xiàn)網(wǎng)絡(luò)存取和訪問的監(jiān)控與審計。網(wǎng)絡(luò)使用統(tǒng)計數(shù)據(jù)對網(wǎng)絡(luò)需求及安全威脅分析有著至關(guān)重要的作用。當(dāng)網(wǎng)絡(luò)中的訪問經(jīng)過防火墻時，防火墻能夠很快地將這些訪問以日志的形式記錄下來，并提供重要的有關(guān)網(wǎng)絡(luò)安全使用情況的統(tǒng)計數(shù)據(jù)。若有一些不利于網(wǎng)絡(luò)安全的可疑動作出現(xiàn)，防火墻將會自動發(fā)出報警信號，同時將網(wǎng)絡(luò)攻擊的具體信息監(jiān)測下來。

二、計算機防火墻技術(shù)的發(fā)展現(xiàn)狀

（一）分布式防火墻技術(shù)。分布式防火墻技術(shù)是在過去傳統(tǒng)的邊界式防火墻技術(shù)所出現(xiàn)缺陷問題的基礎(chǔ)上而產(chǎn)生的一種新興技術(shù)。從狹義上看，分布式防火墻技術(shù)主要是指存在于計算機網(wǎng)絡(luò)主機、服務(wù)器以及桌面機內(nèi)部，且能為計算機主機提供安全保障的具體軟件產(chǎn)品。從廣義上看，分布式防火墻技術(shù)是指目前一種新型的防火墻體系架構(gòu)，比如網(wǎng)絡(luò)防火墻，主機防火墻等等都屬于分布式防火墻技術(shù)產(chǎn)品。分布式防火墻技術(shù)主要優(yōu)點就是在每個主機上設(shè)置防護系統(tǒng)，能夠加強網(wǎng)絡(luò)數(shù)據(jù)的檢測與控制，解決網(wǎng)絡(luò)邊界之間存的通信問題。此外，還具有支持網(wǎng)絡(luò)應(yīng)用加密與認(rèn)證功能。

（二）嵌入式防火墻技術(shù)。嵌入式防火墻技術(shù)主要指內(nèi)嵌在路由器或者交換機內(nèi)部的防火墻。有些路由器自身便帶有嵌入式防火墻，用戶也可通過自己購買防火墻模塊，將其安裝到原有的路由器或者交換機中即可。由于影響互聯(lián)網(wǎng)使用的協(xié)議的因素多種多樣，因而并非通過嵌入式防火墻技術(shù)就能將所有的網(wǎng)絡(luò)訪問服務(wù)問題處理妥當(dāng)。加之，嵌入式防火墻系統(tǒng)作業(yè)于網(wǎng)絡(luò)的IP層，因而難以確保所有的用戶端計算機的安全性，使其不受到計算機病毒、木馬程序、蠕蟲等各種的威脅。通常情況下，嵌入式防火墻系統(tǒng)處于一種無監(jiān)控狀態(tài)，在處理信息過程中或者進行信息交換傳遞的過程中會將以往的網(wǎng)絡(luò)連接狀態(tài)忽略不計。

（三）智能防火墻技術(shù)。智能防火墻技術(shù)是通過人工智能學(xué)而形成的一種防火墻技術(shù)，種類繁多，主要包括防止入侵技術(shù)、防止攻擊技術(shù)、防止數(shù)據(jù)欺騙技術(shù)、防止掃描技術(shù)以及協(xié)議正?；榷喾N技術(shù)。智能防火墻技術(shù)主要是通過利用統(tǒng)計數(shù)據(jù)，常用訪問記憶，以及訪問策略等方法加強數(shù)據(jù)交換信息的智能識別，從而有效的控制網(wǎng)絡(luò)訪問。智能防火墻技術(shù)是一種新型的計算模式，能夠有效識別網(wǎng)絡(luò)行為的特征值，消除匹配檢查所需要的海量計算。此外，還能夠有效地處理好拒絕服務(wù)（DDOS）的攻擊問題、病毒傳播問題以及高級應(yīng)用入侵問題等，是當(dāng)前防火墻技術(shù)發(fā)展的主流趨勢，有著極大的發(fā)展前景。

三、計算機防火墻的應(yīng)用前景

（一）防火墻數(shù)據(jù)包過濾技術(shù)的應(yīng)用前景。防火墻數(shù)據(jù)包過濾技術(shù)的應(yīng)用實際上是指防火墻系統(tǒng)將會采用多級別，多層次過濾措施，進行網(wǎng)絡(luò)安全防護功能。具體包括兩個方面：一方面，在分組層設(shè)置過濾技術(shù)，將一些達不到過濾條件的源路及虛假冒充的IP源地址全部過濾掉；另一方面，在應(yīng)用網(wǎng)關(guān)層設(shè)置過濾，監(jiān)控和監(jiān)測FTP，SMTP，Internet等提供的網(wǎng)絡(luò)通信數(shù)據(jù)服務(wù)。同時防火墻技術(shù)加入防病毒功能，在防止有害數(shù)據(jù)包攻擊的同時，可以有效的抵御各種病毒軟件，木馬程序的入侵導(dǎo)致的防火墻失效，更加有效的保障終端的網(wǎng)絡(luò)訪問安全性。

（二）防火墻體系結(jié)構(gòu)的應(yīng)用前景。隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)帶寬需求日益增高，穿過防火墻的數(shù)據(jù)內(nèi)容將會越來越多，對防火墻處理數(shù)據(jù)交換信息的速率要求越來越高，同時由于多媒體傳播的廣泛應(yīng)用，因此對數(shù)據(jù)穿越防火墻時造成延遲呼聲也越來越高。當(dāng)前許多的防火墻開發(fā)商主要針對網(wǎng)絡(luò)處理器的和ASIC的防火墻來設(shè)計開發(fā)新產(chǎn)品，如根據(jù)計算機網(wǎng)絡(luò)處理器的防火墻設(shè)設(shè)計了專門用于處理數(shù)據(jù)層面的任務(wù)引擎系統(tǒng)，靈活性高，從而減輕了CPU的使用負(fù)擔(dān)，加快了對數(shù)據(jù)的處理，提高了數(shù)據(jù)的流量。針對ASIC的防火墻設(shè)計了專門用于處理網(wǎng)絡(luò)數(shù)據(jù)流的各種硬件，這些則體現(xiàn)出了高速的處理能力，未來對數(shù)據(jù)的處理速率的需求膨脹將會是防火墻體系結(jié)構(gòu)的主要發(fā)展前景。

[作者簡介]楊晉秀（1978-），女，土家族，籍貫：湖北，學(xué)歷：本科，職稱：助理講師，專業(yè)：計算機科學(xué)與技術(shù)。