摘 要：防火墻，顧名思義就是讓網(wǎng)絡(luò)以及資源不受到網(wǎng)絡(luò)“墻”外“火災(zāi)”影響的設(shè)備。防火墻基本上屬于一組緊密結(jié)合的進(jìn)程，或者是一個(gè)獨(dú)立的進(jìn)程，在服務(wù)器或者是路由器上運(yùn)行從而對(duì)于網(wǎng)絡(luò)應(yīng)用程序的通信流量進(jìn)行一定的控制；加強(qiáng)兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)之間的訪問(wèn)控制，最主要的目的在于確保一個(gè)網(wǎng)絡(luò)不會(huì)受到另一個(gè)網(wǎng)絡(luò)所帶來(lái)的攻擊。根據(jù)不完全統(tǒng)計(jì)，在連入到了Internet的計(jì)算機(jī)當(dāng)中，受到防火墻保護(hù)的占據(jù)了三分之一。隨著不斷遞增的網(wǎng)絡(luò)犯罪案件，防火墻技術(shù)也受到了越來(lái)越多的人的關(guān)注，希望能夠帶給人們更安全、更“干凈”的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：計(jì)算機(jī)；防火墻；功能；原理

隨著社會(huì)的進(jìn)步，人們對(duì)于計(jì)算機(jī)知識(shí)的了解也在逐漸地深入，人們?cè)絹?lái)越注重放置于網(wǎng)絡(luò)之上的資料或者是在網(wǎng)絡(luò)上進(jìn)行的交易等信息安全。計(jì)算機(jī)防火墻發(fā)揮著越來(lái)越重要的作用，因此，在文中主要對(duì)防火墻的主要功能以及技術(shù)原理進(jìn)行了探討，希望還給計(jì)算機(jī)網(wǎng)絡(luò)一個(gè)安全的環(huán)境。

1 防火墻的主要功能

一般來(lái)說(shuō)，計(jì)算機(jī)防火墻具有的功能有幾下幾個(gè)方面：將非法用戶以及不安全的服務(wù)過(guò)濾掉；對(duì)于特殊站點(diǎn)的訪問(wèn)進(jìn)行限制和控制；阻止電腦防御設(shè)施受到入侵者的騷擾；為Internet安全和預(yù)警提供了方便監(jiān)視的端點(diǎn)；在設(shè)計(jì)防火墻時(shí)，需要遵守“除非明確指出允許，否則就需要將其禁止”的安全防范原則；當(dāng)組織機(jī)構(gòu)的安全策略出現(xiàn)了改變的時(shí)候，就可以加入新的服務(wù)；可以使用服務(wù)代理，如Telnet和FTP，編程的IP過(guò)濾語(yǔ)言，并且根據(jù)數(shù)據(jù)包的性質(zhì)來(lái)進(jìn)行包過(guò)濾。另外，一部分的計(jì)算機(jī)用戶在防火墻的選擇上還需要考慮到：其一，雙重DNS（域名服務(wù)）；其二，掃毒功能；其三，網(wǎng)絡(luò)地址轉(zhuǎn)移功能（NAT）；特殊控制需求；其四，虛擬專用網(wǎng)絡(luò)（VPN），這一些特殊的功能要求[1]。

2 防火墻的原理以及實(shí)現(xiàn)方法

防火墻主要是對(duì)于內(nèi)部網(wǎng)絡(luò)以及危險(xiǎn)區(qū)域之間的訪問(wèn)負(fù)責(zé)。在防火墻不存在的時(shí)候，內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)之上的每一個(gè)節(jié)點(diǎn)都會(huì)暴露在危險(xiǎn)區(qū)域之上的其他主機(jī)，也極容易受到外來(lái)主機(jī)的攻擊。因此，我們需要適當(dāng)?shù)倪x用防火墻應(yīng)用到連接到因特網(wǎng)的內(nèi)部網(wǎng)絡(luò)上。對(duì)于防火墻的原理來(lái)說(shuō)，我們也可以將其看成為一對(duì)開(kāi)關(guān)，一個(gè)開(kāi)關(guān)主要用于傳輸?shù)脑试S，另一個(gè)則是用于傳輸?shù)淖柚?。?shí)際上來(lái)說(shuō)，防火墻就代表了計(jì)算機(jī)用戶電腦使用的安全策略，并且在實(shí)現(xiàn)上所采用的方式也較為的靈活。

2.1 實(shí)現(xiàn)——邊界路由器

其一，實(shí)現(xiàn)，可以通過(guò)標(biāo)準(zhǔn)的路由器（由于該用途的路由器稱為 Screening Router，即篩選路由器、屏蔽路由器），因此在設(shè)置防火墻的時(shí)候，常用例如Cisco 路由器就很容易設(shè)置成功；其二，實(shí)現(xiàn)，可以通過(guò)PC機(jī)的路由器，但是需要使用軟件包。

2.2 實(shí)現(xiàn)，（Dual - homed Host）一臺(tái)雙端口主機(jī)

無(wú)論是內(nèi)部網(wǎng)絡(luò)，還是外部網(wǎng)絡(luò)，都可以對(duì)這臺(tái)主機(jī)進(jìn)行訪問(wèn)，但是內(nèi)部主機(jī)和外部主機(jī)之間不能夠進(jìn)行直接的通信，可以設(shè)置三種類(lèi)型的防火墻來(lái)加以實(shí)現(xiàn)：其一，（Proxy Server Fire-wall）代理費(fèi)服務(wù)器防火墻；其二，（Ap-plication Gateway Firewall）應(yīng)用層網(wǎng)關(guān)防火墻；其三，（Circuit Gateway Fire-wall） 線（電）路層/級(jí)網(wǎng)關(guān)型防火墻[2]。

2.3 實(shí)現(xiàn)——子網(wǎng)上

在一個(gè)公共的子網(wǎng)上加以實(shí)現(xiàn)，這一個(gè)子網(wǎng)就相當(dāng)于一臺(tái)雙端口主機(jī)，能夠建立出含有停火區(qū)以及單段網(wǎng)絡(luò)的防火墻。雖然說(shuō)防火墻的功能具有多樣性，但是考慮到互聯(lián)網(wǎng)的開(kāi)放性，因此，在某些方面也存在不足之處。例如：其一，如果攻擊沒(méi)有經(jīng)過(guò)防火墻，防火墻就不能夠加以防范。如，如果計(jì)算機(jī)用戶允許從客觀存在的保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào)，就會(huì)導(dǎo)致部分用戶形成PPP或者是SLIP等和Internet直接的連接。從而能夠?qū)⒎阑饓@過(guò)，導(dǎo)致一個(gè)千載的后門(mén)攻擊渠道的形成；其二，從目前的技術(shù)水平來(lái)說(shuō)，很難徹底的對(duì)防火墻進(jìn)行測(cè)試驗(yàn)證，防火墻能夠?qū)τ诮^大多數(shù)的惡意攻擊進(jìn)行有效地防范，但是我們卻不能夠清楚的掌握是不是在所有的情況下都是有效的，并且這也涉及到了軟件的及時(shí)更新以及更換等方面的問(wèn)題。

總之，隨著網(wǎng)絡(luò)技術(shù)不斷進(jìn)步與發(fā)展，網(wǎng)絡(luò)共享資源的逐漸增多，網(wǎng)絡(luò)不安全攻擊也越來(lái)越頻繁、多樣，因此，我們需要做好網(wǎng)絡(luò)安全防范，定期的對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)，防范于未然。目前，我國(guó)防火墻依然處于發(fā)展階段，我們應(yīng)當(dāng)密切的關(guān)注防火墻的最新進(jìn)展，才能夠促進(jìn)網(wǎng)絡(luò)全面、健康的發(fā)展下去。

參考文獻(xiàn)

[1]許侃.計(jì)算機(jī)網(wǎng)絡(luò)防火墻的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010，（02）.

[2]玄文啟.基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)及實(shí)現(xiàn)[J].中國(guó)科技信息，2010，（20）.