摘 要：隨著計(jì)算機(jī)信息技術(shù)不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在各個(gè)行業(yè)得到了廣發(fā)應(yīng)用，并影響和改變著人們的生活方式。計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)便利的同時(shí)其網(wǎng)絡(luò)安全性問(wèn)題值得關(guān)注，防火墻技術(shù)作為重要的網(wǎng)絡(luò)安全防護(hù)手段，能夠有效的防御網(wǎng)絡(luò)威脅和惡意攻擊，確保網(wǎng)絡(luò)安全。本文首先介紹防火墻技術(shù)相關(guān)概念，然后對(duì)防火墻技術(shù)策略及主要功能進(jìn)行了分析，最后防火墻技術(shù)發(fā)展做出了展望。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；防火墻；網(wǎng)絡(luò)安全；防護(hù)認(rèn)識(shí)

中圖分類號(hào)：TP393

隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展，信息網(wǎng)絡(luò)的不斷成熟和完善，計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)發(fā)展和人們生活中越來(lái)越發(fā)揮著重要的作用，它正深刻的改變著人們信息交流方式，實(shí)現(xiàn)了真正地資源共享。計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)便利的同時(shí)其網(wǎng)絡(luò)安全性問(wèn)題值得關(guān)注，為此，為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，為了確保信息共享通暢，很多網(wǎng)絡(luò)安全維護(hù)技術(shù)相繼提出，其中防火墻技術(shù)是其中最有效、最主要、最容易實(shí)施的方法之一，防火墻技術(shù)具有很強(qiáng)的網(wǎng)絡(luò)防御能力和廣泛的適用領(lǐng)域。作為計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)重要組成，防火墻通過(guò)監(jiān)測(cè)和控制內(nèi)網(wǎng)與外網(wǎng)之間的信息交換活動(dòng)，從而實(shí)現(xiàn)了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效管理。本文首先介紹防火墻技術(shù)相關(guān)概念，然后對(duì)防火墻技術(shù)策略及主要功能進(jìn)行了分析，最后防火墻技術(shù)發(fā)展做出了展望。

1 防火墻技術(shù)概述

一般講，防火墻是指利用一組設(shè)備，將受信任的內(nèi)網(wǎng)與不受信任的外網(wǎng)以及專用網(wǎng)與公共網(wǎng)進(jìn)行隔離。防火墻的主要目的是依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)用戶的安全防護(hù)策略，對(duì)流通于網(wǎng)絡(luò)之間的數(shù)據(jù)信息實(shí)施安全監(jiān)控，以防御未知的、具有破壞性的侵入。使用防火墻可以保護(hù)個(gè)人或企業(yè)專用網(wǎng)不容易遭受“壞家伙”入侵，同時(shí)也保證了內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)用戶交流信息安全。

1.1 防火墻分類

按防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的位置劃分可以分為分布式防火墻和邊界防火墻。其中分布式防火墻又可以劃分為網(wǎng)絡(luò)防火墻、主機(jī)防火墻；按防火墻實(shí)現(xiàn)手段可以劃分為軟件防火墻、硬件防火墻及軟硬結(jié)合防火墻。

1.2 防火墻工作原理

一般來(lái)說(shuō)，防火墻主要用來(lái)監(jiān)控內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)信息。防火墻技術(shù)對(duì)確保計(jì)算機(jī)網(wǎng)絡(luò)安全起到了很重要的作用，在網(wǎng)絡(luò)數(shù)據(jù)交流中，只有得到授權(quán)數(shù)據(jù)才能進(jìn)行流通。防火墻主要由內(nèi)網(wǎng)與外網(wǎng)之間的部件組合而成，在安裝有防火墻的計(jì)算機(jī)網(wǎng)絡(luò)中，內(nèi)網(wǎng)和外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)信息通信必須經(jīng)過(guò)防火墻監(jiān)控，并且只有符合安全防護(hù)策略的數(shù)據(jù)信息才能經(jīng)過(guò)防火墻，完成于內(nèi)部計(jì)算機(jī)的信息通信。通常，防火墻具有十分頑強(qiáng)的防御能力和抗入侵能力，一般講一個(gè)安全性能良好的防火墻通常具有下列性質(zhì)：一是內(nèi)網(wǎng)與外網(wǎng)之間的所有數(shù)據(jù)信息必須經(jīng)過(guò)防火墻；二是只有符合受保護(hù)網(wǎng)絡(luò)的安全防護(hù)策略并得到授權(quán)的數(shù)據(jù)通信才能夠可以經(jīng)過(guò)防火墻；三是防火墻對(duì)經(jīng)過(guò)防火墻的所有數(shù)據(jù)信息、行為活動(dòng)以及網(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)控、記錄和報(bào)警，進(jìn)一步的提高了防火墻防御各種惡意攻擊的能力。

1.3 防火墻功能

（1）保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻能夠增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全性，使得內(nèi)部網(wǎng)絡(luò)處于風(fēng)險(xiǎn)較小的環(huán)境中。對(duì)于內(nèi)網(wǎng)中必要的服務(wù)例如NIS或NFS，防火墻通過(guò)采用公用的方式進(jìn)行使用，有效地減輕了內(nèi)網(wǎng)管理系統(tǒng)負(fù)擔(dān)。（2）監(jiān)控訪問(wèn)內(nèi)網(wǎng)系統(tǒng)行為。防火墻具有監(jiān)控外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)行為的能力。排除郵件服務(wù)或信息服務(wù)等少數(shù)特殊情況，防火墻通過(guò)過(guò)濾掉不需要的外部訪問(wèn)，能夠有效的阻止外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問(wèn)，起到保護(hù)內(nèi)網(wǎng)安全的作用。（3）防止內(nèi)網(wǎng)信息外泄。防火墻完成了內(nèi)部網(wǎng)絡(luò)的合理劃分，實(shí)現(xiàn)了內(nèi)網(wǎng)內(nèi)部重點(diǎn)網(wǎng)絡(luò)的隔離，從而限制了內(nèi)網(wǎng)中不同網(wǎng)絡(luò)之間的訪問(wèn)，確保了內(nèi)網(wǎng)重要數(shù)據(jù)的安全。（4）監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)訪問(wèn)行為。由于內(nèi)網(wǎng)與外網(wǎng)之間的所有數(shù)據(jù)訪問(wèn)行為都要經(jīng)過(guò)防火墻，因此防火墻能夠記錄訪問(wèn)行為日志，提供網(wǎng)絡(luò)使用情況統(tǒng)計(jì)數(shù)據(jù)。當(dāng)察覺(jué)疑似入侵行為時(shí)，防火墻做出報(bào)警，從而實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效監(jiān)控。（5）網(wǎng)絡(luò)地址轉(zhuǎn)換。在全部IP地址中，一些特殊的IP地址被指定為“專用地址”，比如IP地址為192.168.0.0，其被指定為局域網(wǎng)專用的網(wǎng)段IP地址，這些IP地址應(yīng)用于企業(yè)網(wǎng)絡(luò)內(nèi)部，但是在互聯(lián)網(wǎng)中毫無(wú)意義。由于這些“專用地址”無(wú)法通過(guò)互聯(lián)網(wǎng)路由，使得內(nèi)部設(shè)備得到了一定程度的防入侵保護(hù)。當(dāng)這些內(nèi)部設(shè)備需要訪問(wèn)互聯(lián)網(wǎng)時(shí)，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）可以將“專用地址”轉(zhuǎn)換成互聯(lián)網(wǎng)地址。防火墻技術(shù)起到了完成網(wǎng)絡(luò)地址轉(zhuǎn)換的功能，其隱藏了服務(wù)器的真IP地址，有效地防止惡意攻擊對(duì)服務(wù)器或內(nèi)網(wǎng)的主機(jī)的攻擊。

2 防火墻技術(shù)策略及未來(lái)發(fā)展趨勢(shì)

2.1 防火墻技術(shù)策略

由于防火墻具有多種類型，因此不同的防火墻采用了不同的防火墻技術(shù)，常見(jiàn)的防火墻技術(shù)策略主要有以下幾種：

（1）屏蔽路由技術(shù)。目前最為簡(jiǎn)單和流行的防火墻技術(shù)是屏蔽路由器。屏蔽路由器主要工作在網(wǎng)絡(luò)層（有的包括傳輸層），其主要利用包過(guò)濾技術(shù)或虛電路技術(shù)。其中，包過(guò)濾技術(shù)通過(guò)檢查IP網(wǎng)絡(luò)包，獲得IP頭信息，并根據(jù)這些信息，做出禁止或允許動(dòng)作指令。比照相關(guān)的信息過(guò)濾規(guī)則，包過(guò)濾技術(shù)限制與內(nèi)部網(wǎng)絡(luò)進(jìn)行通信的數(shù)據(jù)流，只有得到授權(quán)的數(shù)據(jù)信息才能通過(guò)，并且阻止沒(méi)有獲得授權(quán)的數(shù)據(jù)信息通過(guò)。采用包過(guò)濾技術(shù)的防火墻主要工作在網(wǎng)絡(luò)層和邏輯鏈路層之間，其通過(guò)截取所有IP網(wǎng)絡(luò)包獲取過(guò)濾所需的有關(guān)信息，并與訪問(wèn)監(jiān)控規(guī)則進(jìn)行匹配和比較，然后執(zhí)行有關(guān)的動(dòng)作指令。

（2）基于代理防火墻技術(shù)?；诖矸阑饓夹g(shù)一般配置為“雙宿主網(wǎng)關(guān)”，其主要包括兩個(gè)網(wǎng)絡(luò)接口卡，并且同時(shí)連接內(nèi)網(wǎng)和外網(wǎng)。網(wǎng)關(guān)的特殊安裝位置使得其能夠與兩個(gè)網(wǎng)絡(luò)通信，并且是安裝數(shù)據(jù)交換軟件（這種軟件被稱為“代理”）的最佳位置。代理服務(wù)規(guī)定外網(wǎng)與內(nèi)網(wǎng)不直接進(jìn)行通信，而是通過(guò)代理服務(wù)器進(jìn)行數(shù)據(jù)交換。代理服務(wù)完成用戶和服務(wù)器之間的所有數(shù)據(jù)流交換，并且能夠?qū)徲?jì)追蹤所有的數(shù)據(jù)流。目前，多數(shù)專家普遍認(rèn)為基于代理防火墻更加安全，這是由于代理軟件能夠根據(jù)內(nèi)部網(wǎng)絡(luò)中主機(jī)的性能制定相應(yīng)的監(jiān)控策略，從而達(dá)到防御已知攻擊的目的。

（3）動(dòng)態(tài)防火墻技術(shù)。動(dòng)態(tài)防火墻技術(shù)是相對(duì)靜態(tài)包過(guò)濾技術(shù)提出的一種全新的防火墻技術(shù)。動(dòng)態(tài)防火墻技術(shù)能夠動(dòng)態(tài)的創(chuàng)建相關(guān)規(guī)則，且能夠很好的適應(yīng)不斷變化的計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)服務(wù)。動(dòng)態(tài)防火墻對(duì)所有經(jīng)過(guò)防火墻的數(shù)據(jù)流進(jìn)行分析，獲取相關(guān)的通訊及狀態(tài)信息，并根據(jù)這些信息區(qū)分每次連接，并在此基礎(chǔ)上創(chuàng)建動(dòng)態(tài)連接表。與此同時(shí)，動(dòng)態(tài)防火墻還要完成后續(xù)通訊檢查工作，并應(yīng)及時(shí)更新這些信息。當(dāng)一次連接結(jié)束后，動(dòng)態(tài)防火墻及時(shí)的將相應(yīng)信息從連接表中進(jìn)行刪除。

2.2 防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)

計(jì)算機(jī)網(wǎng)絡(luò)安全不是絕對(duì)的而是相對(duì)的，防火墻技術(shù)不斷發(fā)展和升級(jí)的同時(shí)，惡意攻擊等行為也在不斷升級(jí)，因此，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全工作是永無(wú)止境的。隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全性需求也在不斷提高，這也對(duì)防火墻技術(shù)提出了更高要求。未來(lái)防火墻技術(shù)發(fā)展趨勢(shì)為：（1）防火墻將重點(diǎn)研發(fā)對(duì)網(wǎng)絡(luò)攻擊行為的監(jiān)控和報(bào)警。（2）疑似入侵行為活動(dòng)日志分析工具將發(fā)展為防火墻中重要的組成部分。（3）不斷提高過(guò)濾深度，并開發(fā)病毒掃除功能。（4）安全協(xié)議開發(fā)將是防火墻技術(shù)研發(fā)的一大熱點(diǎn)。

4 結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，防火墻技術(shù)也在不斷升級(jí)，隨著IP協(xié)議經(jīng)歷IPv4到IPv6發(fā)展歷程，防火墻技術(shù)將會(huì)發(fā)生重大變革。我們有理由相信，未來(lái)的防火墻技術(shù)會(huì)與病毒檢查、入侵監(jiān)控檢測(cè)等網(wǎng)絡(luò)安全防護(hù)技術(shù)相結(jié)合，共同創(chuàng)建安全、合理、有效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系。

參考文獻(xiàn)：

[1]韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J].科技資訊，2010，1.

[2]周熠.防火墻及其安全技術(shù)的發(fā)展[J].安全技術(shù)，2010，4.

[3]章楚.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：人民郵電出版社，2007.

[4]勞幗齡.網(wǎng)絡(luò)安全與管理[J].北京：高等教育出版社，2008.

作者單位：91635部隊(duì)，北京 102249