摘 要：為了很好的保護(hù)服務(wù)器和計(jì)算機(jī)等一些網(wǎng)絡(luò)資源禁止遭受黑客的攻擊，本文通過對(duì)防火墻技術(shù)的工作原理、分類和優(yōu)勢(shì)等方面進(jìn)行較為系統(tǒng)和全面的論述，并且在論述的基礎(chǔ)上提出了防火墻技術(shù)是當(dāng)前社會(huì)環(huán)境中最為重要也是最為可行的一種網(wǎng)絡(luò)安全保護(hù)技術(shù)，并且對(duì)防火墻技術(shù)在實(shí)際應(yīng)用中做出了相關(guān)的分析。

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)應(yīng)用；數(shù)字化校園防御

中圖分類號(hào)：TP393.08

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展和應(yīng)用，加快了信息技術(shù)的變革和創(chuàng)新，尤其是在近幾年的發(fā)展過程中，計(jì)算機(jī)技術(shù)得到了全國(guó)性的普及，并且計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)資源已經(jīng)形成了非常有效的聯(lián)合。雖然說網(wǎng)絡(luò)技術(shù)的快速發(fā)展帶動(dòng)了人們生活模式和節(jié)奏的轉(zhuǎn)變，改善了數(shù)字化校園的環(huán)境，但是網(wǎng)絡(luò)資源在沒有防護(hù)和部分防護(hù)的情況下，還是會(huì)遭受到不同種類的黑客攻擊，因此就會(huì)造成網(wǎng)絡(luò)資源的破壞和丟失，經(jīng)常會(huì)造成一些不可挽回的經(jīng)濟(jì)損失和物質(zhì)損失。這個(gè)問題的出現(xiàn)加劇了現(xiàn)代網(wǎng)絡(luò)資源的保護(hù)。

1 技術(shù)的分類

防護(hù)墻技術(shù)使用網(wǎng)絡(luò)性質(zhì)的防護(hù)設(shè)備，具有抵御外部侵襲但是沒有辦法抵御內(nèi)部侵襲的一種防護(hù)手段，但是隨著新技術(shù)的發(fā)展和創(chuàng)新，現(xiàn)代化的防火墻技術(shù)已經(jīng)具備了防御外部不良網(wǎng)絡(luò)資源的同時(shí)，對(duì)于系統(tǒng)內(nèi)部的操作有一定的過濾行為，但是防火墻只能夠允許符合安全策略的通信。但是為了更高的提高防火墻的防御功能，必須具備過濾所有數(shù)據(jù)的能力。這也是世界網(wǎng)絡(luò)技術(shù)界對(duì)防火墻技術(shù)的創(chuàng)新，接下來筆者向大家介紹兩種最為常見的網(wǎng)絡(luò)防護(hù)技術(shù)。第一種是包過濾型防護(hù)墻技術(shù)，這種包過濾型防火墻技術(shù)工作原理是建立在OSI網(wǎng)絡(luò)參考模型中的網(wǎng)絡(luò)層和傳輸層之間，可以依據(jù)不同的數(shù)據(jù)包源頭地址和端口號(hào)數(shù)據(jù)等安全標(biāo)志判斷和分析是否通過。只有滿足了這種過濾條件的數(shù)據(jù)包資源才有可能被轉(zhuǎn)發(fā)到需要的目的地，那么其余沒有通過的數(shù)據(jù)包資源就會(huì)被擋在外部。第二種是應(yīng)用代理型防火墻技術(shù)，這種防火墻技術(shù)的工作原理是在OSI網(wǎng)絡(luò)層中的最高層，就是常說的應(yīng)用層。最大的特點(diǎn)就是完全阻斷了網(wǎng)絡(luò)通信流的數(shù)據(jù)，通過對(duì)每一種應(yīng)用服務(wù)專門編制的代理程序，實(shí)現(xiàn)監(jiān)督的作用和控制的作用。除了這兩種防火墻技術(shù)之外，還有很典型的邊界防火墻技術(shù)和混合防火墻技術(shù)等。

2 工作的原理

2.1 包過濾型防火墻技術(shù)的工作原理。包過濾型防火墻技術(shù)的工作原理是通過若干條規(guī)則組合而成，然后提供給用戶讓用戶進(jìn)行自主的選擇和設(shè)置，但是必須由網(wǎng)絡(luò)經(jīng)驗(yàn)非常豐富的網(wǎng)絡(luò)技術(shù)人員對(duì)其進(jìn)行操作和搜集最新的被攻擊信息，然后通過加載信息，比如說名稱、說明和協(xié)議等，包含了所有數(shù)據(jù)包出入防火墻的過濾方法。對(duì)于IP包過濾型技術(shù)工作的原理是根據(jù)IP數(shù)據(jù)包的信息，比如說IP地址和IP傳輸?shù)哪康牡氐冗M(jìn)行相應(yīng)的過濾，如果說在IP數(shù)據(jù)中加裝了封裝的TCP或者是ICMP協(xié)議的，需要根據(jù)這些特殊的協(xié)議進(jìn)行特殊的過濾。應(yīng)用層的協(xié)議主要包括了RPC應(yīng)用服務(wù)過濾和FTP過濾等，主要的操作過程是：防火墻可以根據(jù)不同文件的組成格式，判斷這個(gè)文件的初始地址、目的地地址和文件保存的具體時(shí)間、文件的特點(diǎn)和長(zhǎng)度等信息，然后根據(jù)每個(gè)文件不同樣的端口數(shù)據(jù)，對(duì)其進(jìn)行最終的檢測(cè)、截獲和掃描工作。

2.2 應(yīng)用代理型防火墻技術(shù)的工作原理。在應(yīng)用層提供代理服務(wù)：代理服務(wù)是在確定了用戶的連接請(qǐng)求之后，然后向代理服務(wù)器發(fā)出相關(guān)的代理請(qǐng)求，然后代理服務(wù)器根據(jù)服務(wù)器的要求，對(duì)用戶端提出的請(qǐng)求作出應(yīng)答。為了確定連接時(shí)的時(shí)效性和唯一性，在進(jìn)行代理工作的時(shí)候需要維護(hù)代理服務(wù)器的數(shù)據(jù)和連接表，為了更好的確定和提供代理授權(quán)，代理服務(wù)器會(huì)適當(dāng)?shù)木S護(hù)一個(gè)擴(kuò)展代理字段的集合。在傳輸層提供代理服務(wù)：說的是防火墻技術(shù)會(huì)允許FTP的指令對(duì)某些指定的文件允許通過。用過戶代理類型技術(shù)就是應(yīng)用層在這個(gè)時(shí)候具有高級(jí)代理的能力，比如說POP3和HTTP等。支持網(wǎng)絡(luò)地址的相互轉(zhuǎn)換，簡(jiǎn)稱NAT，意思就是可以將一個(gè)IP地址反映到另一個(gè)IP地址中，然后為終端的服務(wù)器提供路由的服務(wù)。NAT方法經(jīng)常用在辦公區(qū)域或者是私有區(qū)域，目的是更好的解決IP地址不夠用的問題。

3 優(yōu)勢(shì)和不足

3.1 包過濾型的優(yōu)勢(shì)：通過一個(gè)過濾路由器就可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)形成保護(hù)，數(shù)據(jù)包在過濾的時(shí)候完全對(duì)用戶透明，并且過濾路由器的工作效率非常高，過濾速度非常快。不足：沒有辦法徹底的防御地址欺騙的問題，并且有些應(yīng)用協(xié)議并不適合利用數(shù)據(jù)包的方式進(jìn)行過濾。沒有非常有效的方法應(yīng)對(duì)黑客的攻擊和侵襲，完全不支持應(yīng)用層協(xié)議。

3.2 應(yīng)用代理型的優(yōu)勢(shì)：代理網(wǎng)關(guān)可以直接隔斷內(nèi)網(wǎng)和外網(wǎng)之間的聯(lián)系，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)進(jìn)行訪問的時(shí)候直接轉(zhuǎn)換成防火墻對(duì)外網(wǎng)的訪問，然后防火墻通過技術(shù)的判定之后會(huì)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有的通信數(shù)據(jù)都必須通過應(yīng)用層的專業(yè)代理軟件完成，訪問者任何時(shí)候都沒有辦法和服務(wù)器建立直接的TCP關(guān)系，并且整個(gè)應(yīng)用層的協(xié)議會(huì)話都是完全符合安全策略規(guī)定的。而且在檢查傳輸層、應(yīng)用層和網(wǎng)絡(luò)層之間的協(xié)議特征，對(duì)于數(shù)據(jù)包的檢測(cè)能力非常強(qiáng)。代理服務(wù)的時(shí)候會(huì)對(duì)每一項(xiàng)數(shù)據(jù)信息及時(shí)記錄，代理工作的靈活性和全面性可以有效的控制進(jìn)出應(yīng)用層的內(nèi)容和流量。不足：代理工作的速度相對(duì)于路由器工作速度慢，代理的過程對(duì)于用戶是完全隱蔽的，對(duì)于不同的服務(wù)代理會(huì)要求使用不同的服務(wù)器，代理服務(wù)沒有辦法改進(jìn)底層協(xié)議的安全性，適應(yīng)能力比較弱。

4 最新的防護(hù)技術(shù)

（1）數(shù)據(jù)連接路層是TCP/IP協(xié)議的最低層，這個(gè)層面的常規(guī)功能是對(duì)于上層數(shù)據(jù)進(jìn)行物理幀的拆封和密封，還有對(duì)硬件信息的搜尋和管理。在新型的防火墻技術(shù)中，數(shù)據(jù)連接路層除了上述簡(jiǎn)單的功能之外，還加設(shè)了監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)和直接讀卡的功能。（2）對(duì)于IP層的處理相對(duì)來說很復(fù)雜，而且需要進(jìn)行非常多的安全工作。假如說在非常極端的情況下，可以修改IP地址的報(bào)頭，增設(shè)安全機(jī)制的數(shù)量，但是考慮到系統(tǒng)的兼容性能，不能選擇這樣的方法，而是轉(zhuǎn)而利用了包過濾型防火墻技術(shù)和ICMP所提供的相關(guān)功能。但是隨著安全技術(shù)的不斷發(fā)展，我們選擇第一種方法，前提是必須有路由器的支持。IP層面臨的最大問題就是IP地址的欺騙，并且很多上層結(jié)構(gòu)中存在很多的IP欺騙隱患，比如說常見的就是DNS地址的欺騙。在IP層的安全防護(hù)工作依據(jù)就是根據(jù)地址的信息和目的地址的過濾，這個(gè)作用在大多數(shù)的路由器當(dāng)中已經(jīng)得到了實(shí)現(xiàn)，但是本系統(tǒng)中的IP層的主要任務(wù)就是：地址的過濾、地址和MAC之間的綁定和禁止地址的欺騙。

ICMP在網(wǎng)絡(luò)防火墻技術(shù)當(dāng)中的主要作用是：對(duì)于隱藏在子網(wǎng)內(nèi)的主機(jī)信息進(jìn)行有效的控制。ICMP雖然說在這個(gè)方面有一定的作用，比如說差錯(cuò)報(bào)告等，但是也存在很大的安全隱患。一般對(duì)外部環(huán)境來說，ICMP都應(yīng)該禁止，因此對(duì)于隱藏子網(wǎng)內(nèi)的主機(jī)信息采取了三種不同的策略：第一種是對(duì)主機(jī)內(nèi)部的ICMP包可以轉(zhuǎn)發(fā)，在轉(zhuǎn)發(fā)的時(shí)候已經(jīng)改寫了IP源地址，使得外部訪問者沒有辦法看到真正的內(nèi)部IP地址。第二種是對(duì)ICMP請(qǐng)求包全部拋棄。第三種是當(dāng)內(nèi)部有請(qǐng)求指令的時(shí)候，才可以動(dòng)態(tài)的和外部主機(jī)進(jìn)行連接，并且一些ICMP的威脅安全相應(yīng)也應(yīng)該拋棄，比如說路由器的ICMP包。

5 總結(jié)

通過上述材料的分析，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，使得現(xiàn)代的人們對(duì)于信息資源的依賴性過于緊密，這是影響了防火墻技術(shù)的高速高效的發(fā)展，這就要求現(xiàn)在的防火墻技術(shù)必須將計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)聯(lián)合在一起，才可以在硬件和軟件方面同時(shí)抵御和保護(hù)計(jì)算機(jī)資源。

參考文獻(xiàn)：

[1]王琦.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)管理探析[J].科技傳播，2010（17）：100-103.

[2]劉璇.互聯(lián)網(wǎng)通訊網(wǎng)絡(luò)安全防護(hù)[J].煤炭技術(shù)，2011（26）：200-205.

[3]占科.計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)淺析[J].企業(yè)導(dǎo)報(bào)，2011（11）：150-160.

[4]吳曉東.計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)探析[J].現(xiàn)代商業(yè)，2010（27）：180-183.

[5]洛桑旺堆.論計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].信息與電腦（理論版），2010（12）：240-243.

作者簡(jiǎn)介：秦燕（1983.3-），女，江蘇南通人，本科，講師，主要研究方向：數(shù)據(jù)庫(kù)。

作者單位：南通高等師范學(xué)校，江蘇南通 226006