摘 要 為了使您的PC服務器和網絡資源得到保護，不受黑客的攻擊，同時將黑客的技術破壞，通過掌握防火墻的分類，工作原理，特點和不足，以及分析最新的防火墻技術，其作用是巨大的。在防止黑客的攻擊上，目前公認的且普遍應用的就是防火墻技術。所以本文討論了網絡防火墻技術在計算機網絡安全方面的應用。

關鍵詞 防火墻 應用代理 防火墻技術

中圖分類號：TP393 文獻標識碼：A

信息共享和信息安全在計算機網絡中是相互矛盾的，伴隨著互聯(lián)網技術的發(fā)展及應用的廣泛，其安全問題也被擺到人們面前。據調查，截至2010年，超過六成的電腦用戶被黑客攻擊或入侵過。這些攻擊和入侵主要表現(xiàn)在以下幾個方面：外部人員對其進行惡意攻擊并竊取機密信息，攻擊網絡的可用性以及破壞信息，內部人員未經授權的訪問及信息泄露，電腦病毒的破壞。為了保護企業(yè)和機構的網絡安全，保護他們免受未經授權的訪問和外來的入侵，還能防止非法內幕接入外網網站，大部分單位都采用了防火墻技術，此技術是最成熟的，最早的產品化網絡安全機制。從網絡安全中的防火墻應用進行討論，為提高網絡安全提出本人的建議。

1 關于計算機網絡防火墻技術的具體分類

1.1 代理技術

當客戶發(fā)出請求時，代理服務器會對其合法性進行監(jiān)測，如果通過監(jiān)測，服務器會把客戶所需要的信息發(fā)送過去，它使得內部系統(tǒng)被保護起來，外界無法進入同時也無法看到任何內部資源。只能從外面看到代理服務器。它只會讓一些有代理權的或是已被確認為可相信的服務越過防火墻，其他的服務都會被分離并進行封鎖，這點是為了系統(tǒng)的安全考慮。代理服務還可以過濾協(xié)議，如過濾可以使用FTP連接，拒絕使用FTP put命令，以確保匿名用戶無法寫入到文件服務器。

1.2 包過濾技術

包過濾防火墻在網絡層的工作，它能夠控制和識別數據包的源及目的IP，負責傳輸工作的也只是分析出它是TCP 還是 UDP 及所用的端口信息。現(xiàn)在，包過濾控制的能力已經在路由器，交換機路由器和某些操作系統(tǒng)中使用。由于該系統(tǒng)只是分析IP地址，TCP / UDP協(xié)議和端口，包過濾防火墻的工作速度快，并且配置要求低。

1.3 狀態(tài)檢測技術

當有人使用動態(tài)客戶端協(xié)議時，就需要使用狀態(tài)檢測技術。它的原理是檢查連接狀態(tài)，將同一客戶的所有連接方式看做是一個完整的數據看待，并加以統(tǒng)計，形成動態(tài)鏈接表，該表采用的共同協(xié)調的規(guī)則表與狀態(tài)表，并對每一個連接狀態(tài)進行鑒別，第一時間打開或關閉動態(tài)端口。該檢測技術具有很大的靈活性和安全性。

2 計算機網絡信息系統(tǒng)安全技術研究的必要性

2.1 信息系統(tǒng)面臨的安全威脅

計算機信息系統(tǒng)承受的破壞大體是：信息被截獲，竊取，篡改，偽造，刪除和插入，黑客，病毒的入侵，破壞內部員工

2.2 計算機信息系統(tǒng)的安全需求

計算機信息安全必須滿足如下的要求：保證信息的完整性，絕對機密性，法律效果，不可抗拒性。

2.3 計算機信息系統(tǒng)面臨攻擊

計算機信息系統(tǒng)將受到攻擊的各個方面，現(xiàn)總結如下：

（1）計算機信息系統(tǒng)中的信息被篡改攻擊，使得系統(tǒng)信息部分丟失，導致其不完整，此攻擊方式是對信息系統(tǒng)中的相關數據內容進行更改消息的時間，順序，從而達到使信息失真的目的。（2）想要對系統(tǒng)認證進行攻擊，首先要偽造一個系統(tǒng)信息，偽造第一要素向系統(tǒng)注入偽造的虛假信息，然后輸入法人制度，信息違規(guī)操作的名稱和妨礙充分和有效的信息傳遞。（3）為了對系統(tǒng)中的機密性文件進行攻擊，對內部的重要信息進行抄襲，可以通過各種途徑泄漏信息，包括線法等，或為了獲得一些情報分析利用流量法。（4）為了使系統(tǒng)癱瘓或中斷，達到不能工作的目的，可以通過對硬件系統(tǒng)進行攻擊。

3 防火墻技術的特點和缺陷

3.1 包過濾的優(yōu)缺點

缺點：不能完全防止信息竊取。一些應用協(xié)議數據包過濾不適合正常的數據包，所以一些安全策略過濾路由器是無法執(zhí)行的，從而不能防范黑客的攻擊，有些應用層協(xié)議得不到系統(tǒng)的支持，不能起到合理的防范措施。

優(yōu)點：過濾整個網絡數據包完全可以由過濾路由器做到的，用戶可以看到整個過程，過濾路由器的特點是快速、高效。

3.2 代理技術的優(yōu)缺點

缺點：速度趕不上路由器，對用戶進行透明的服務器代理，對每個服務機構可能要求不同的代理服務器，這樣會導致用戶受到協(xié)議弱點的威脅；通過代理的方式是無法讓底層協(xié)議的安全狀況得到好轉。其適應性弱的特點使得它注定會被取代。

優(yōu)點：當使用應用代理網時，防火墻會將內部網絡與外部網絡的完全切斷，內部網絡用戶要想訪問外部網絡，訪問外部網絡的防火墻內網的用戶將被轉發(fā)到防火墻。在進行網絡通信的情況下，其代理軟件也必須同時發(fā)送，在任何時候，用戶不能與服務器直接建立網絡通信的連接，對于使用網絡的應用層協(xié)議必須滿足安全要求。應用代理網關可以在應用層，傳輸層和網絡層功能的協(xié)議上進行檢查，能對數據包進行幾位安全的分析。代理可以完成各種記錄：靈活性，對傳入和傳出流量的控制，信息、數據內容進行過濾，同時代理商也要向用戶解釋為何需要加密，代理可以輕易的與其他安全措施進行融合。

4 防火墻技術的實際運用

4.1 防火墻體系結構設計

以一個相對獨立的內部網絡為例，如果能夠使用一臺計算機作為防火墻隔離就能夠提供較高的安全性，這種防火墻體系能夠保護內部網絡不會受到來自外部網絡的非法入侵和攻擊，使內部網絡的計算機終端能夠安全訪問互聯(lián)網。但是，如果對龐大的計算機網絡來說，簡單的防火墻設置不能夠完全抵御外界入侵和攻擊，應該按照計算機網絡被保護的級別程度、數據信息的秘密級別和造成安全問題的損失代價等綜合因素來制定安全有效的防御策略。由此，我們需要設計實現(xiàn)相對復雜的防火墻體系結構，并隨時根據安全防御的實際需求改變結構或做出適當調整。

由防火墻與局域網隔離區(qū)的關系來看，應該將代理服務器中代理的全部應用服務允許防火墻通過，并將公共信息服務器中包括的公共應用服務允許防火墻通過。隔離區(qū)中的公共信息服務器可以與防火墻外部網卡綁定的合法網絡地址相互對應，通過網絡地址轉換器進行轉換之后使處于互聯(lián)網中的計算機可以訪問內部網絡資源。由防護區(qū)與內部專用網絡的關系來看，防火墻的配置應該允許內部專用網絡的全部數據包通過，同時對流入內部專用網絡的數據包進行控制，允許由內部專用網絡流出的數據包重新流入到內部專用網絡中。由局域網隔離區(qū)與內部專用網絡的關系來看，防火墻的配置應該允許來自內部專用網絡的數據包進入局域網隔離區(qū)，但是對由局域網隔離區(qū)流入到內部專用網中的數據包進行控制。而且，防火墻要將代理服務器中的應用服務允許通過到內部專用網絡，只能允許內部專用網絡流入到局域網隔離區(qū)的數據包重新流入內部專用網絡。

4.2 屏蔽主機網關

屏蔽主機網技術是如今使用最廣泛的最容易實現(xiàn)網絡安全應用的技術，例如，將內部網絡上配備一個堡壘主機，然后通過數據包過濾路由器進行與外部網絡的連接，對路由器進行設置，這樣就能保證堡壘主機直接與外部網絡相連接時，內部網絡可以篩選掉那些未經授權的外部用戶的攻擊。

如果受保護的網絡是虛擬的、擴展的本地網絡，那么就不需要子網絡及路由器，那么堡壘主機和配置路由器就不會有任何威脅了。該軟件的主要策略是安裝在網關控制。如果攻擊者要登錄到主機的網絡，這將會對其本身的內部網絡產生嚴重的后果。

4.3 配置訪問策略

防火墻的核心在于訪問策略的安全，因此，在設置之前要經過非?？b密的信息統(tǒng)計才行。在這個過程中，需要對單元的內部和外部應用程序和相應的源地址，目的地址， TCP或UDP端口進行分析并掌握，以及不同應用使用的情況還有對每個策略在規(guī)則表中進行排列，之后才能執(zhí)行配置。其原因是當防火墻執(zhí)行規(guī)則查找時順序進行，所以為了提高效率，將使用頻率高的規(guī)則放在靠前的位置。

4.4 屏蔽子網

此方法的目的是建立一個子網，而子網的位子在內部網與外部網的通道之間，建立子網就需要使用兩個路由器，并將子網掩碼分開。

一個路由器可以實現(xiàn)屏蔽主機體系的結構為內部網絡提供了相連的主機服務。在這種結構系統(tǒng)中，包括過濾器（數據包過濾來主要是防止攻擊者繞過代理服務器和內部網絡的直接連接） ，而且還包含其他執(zhí)行措施：例如，配備倆個路由器，一個對互聯(lián)網的數據流進行監(jiān)督和控制，另外一個則是對數據的安全性進行監(jiān)管， Intranet和Internet接入互聯(lián)網進行訪問時，子網要做屏蔽處理，也是為了防止他們進入已經屏蔽子網。堡壘主機需要被設置上子網掩碼，子網所提供的代理服務只是對于其內部網絡和外部網絡的訪問，對其他網絡進行訪問時倆個路由器就會對其數據進行必要的檢查。

4.5 安全服務配置

安全服務隔離區(qū)（DMZ）就是劃分出服務器機群和系統(tǒng)管理機群，設置為隔離的安全服務，作為內部網絡的一部分，但也是一個獨立的局域網，一個單獨的部門，以更好地保護服務器上正常運行的數據和系統(tǒng)管理。推薦NAT（網絡地址轉換）技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網 IP 地址。這不僅會把內部網絡結構及IP地址屏蔽起來，保護內部網絡的安全性，而且還可以大大降低使用公網IP地址，節(jié)約投資成本。

如果本機已有邊界路由器，你可以充分利用現(xiàn)有設備，邊界路由器同樣有包過濾功能，設置相應的防火墻功能，使原有的路由器也具有防火墻功能。之后再將防火墻與內部網連接。對于DMZ區(qū)域公共服務器，可以不經過防火墻直接與邊界路由器連接。這種方法只是經過路由器，從而建立了兩道安全的屏障，并在兩者之間設置了一個DMZ區(qū)域，用來處理那些訪問公用服務器的用戶。

4.6 日志監(jiān)控

安全管理手段中最有效的方法是日志監(jiān)控。大多數的管理人員都認為只要日志有了信息就去采集。如：所有的報警或所有策略匹配或不匹配的流量等等，這么做雖然看上去很好，但每天進出防火墻的數據有上百萬甚至更多，因此，必須捕捉到有用的日志才是關鍵。系統(tǒng)的報警信息的記錄是十分必要的，流量信息則要有選擇性的保留，記錄那些影響網絡安全的流量信息。

總之，防火墻技術，在應對黑客的入侵及攻擊上是很好的網絡安全措施，同時也是解決此問題最有效的方法之一，網絡安全是一個全球性的問題，是對系統(tǒng)的考驗，因此，任何一個漏洞的存在都會對整個網絡的帶來隱患，解決此問題就需要通過系統(tǒng)工程的知識來處理，用簡單，快速，有效的方法對網絡的安全性進行分析并制作出具體的措施。采取的主要安全措施有：法律的保護，各項管理制度（人員審查，工作流程，維護，安全系統(tǒng)等）和技術設計（識別，控制采集模式，設置密碼，容錯性，病毒查殺控制，高安全性的產品，等等）。

參考文獻

[1] 劉玉莎.防火墻技術的研究與探討[J].計算機系統(tǒng)應用，2010（09）.

[2] 郭偉.數據包過濾技術與防火墻的設計[J].江漢大學學報，2011（03）.

[3] 朱艷琴，錢龍華，陳承勤.計算機組網技術教程[M].北京：北京電子希望出版社，2011

[4] 馬程.防火墻在網絡安全中的應用[J].甘肅科技，2007（4）.

[5] 洛桑旺堆.論計算機網絡的安全管理[J].信息與電腦（理論版），2010（02）.