孫利國(guó)

摘 要：隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和普及，隨之帶來的網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注。防火墻技術(shù)作為一種隔離不信任網(wǎng)絡(luò)的防御技術(shù)，成為了當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)中重要的組成部分。防火墻在抵御外來網(wǎng)絡(luò)攻擊上還存在著很大的缺陷，筆者結(jié)合自己多年對(duì)防火墻技術(shù)的研究經(jīng)驗(yàn)，對(duì)存在的問題提出了自己的看法，從而使防火墻更好的保護(hù)網(wǎng)絡(luò)的安全。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；技術(shù)

1 防火墻的概念

所謂的防火墻就是指由計(jì)算機(jī)軟硬件組合而成的、在專用網(wǎng)與公用網(wǎng)之間構(gòu)成的一道保護(hù)屏障，是一種保障網(wǎng)絡(luò)安全的形象說法，它是一種計(jì)算機(jī)軟硬件相結(jié)合，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶侵入。防火墻主要是由過濾網(wǎng)、網(wǎng)絡(luò)地址轉(zhuǎn)換、應(yīng)用代理和狀態(tài)檢測(cè)四個(gè)部分組成的，防火墻就是位于計(jì)算機(jī)與網(wǎng)絡(luò)之間的安全工具。

2 防火墻的技術(shù)研究

2.1 包過濾防火墻

包過濾防火墻是防火墻的初級(jí)類型，防火墻在實(shí)際的應(yīng)用過程中，依靠自身數(shù)據(jù)信息的安全保護(hù)機(jī)制來對(duì)網(wǎng)絡(luò)中的有關(guān)數(shù)據(jù)進(jìn)行控制。它一般情況下是由各條數(shù)據(jù)信息安全規(guī)則所組成的，防火墻的設(shè)置可基于源目的地址、端口、協(xié)議等幾部分。其技術(shù)的依據(jù)是互聯(lián)網(wǎng)中網(wǎng)絡(luò)的分包傳輸技術(shù)。網(wǎng)絡(luò)中的有關(guān)數(shù)據(jù)都是經(jīng)過打包之后再進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為大小不一的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包匯總都還有一些特定的信息數(shù)據(jù)，如數(shù)據(jù)的地址、端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判定這些信息的來源是否安全，一旦發(fā)現(xiàn)信息的來源不安全，存在風(fēng)險(xiǎn)，防火墻就會(huì)自動(dòng)的將這些信息拒之門外。網(wǎng)絡(luò)安全管理員也可以通過對(duì)這些數(shù)據(jù)進(jìn)行分析來靈活的制定路由策略。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻中互聯(lián)網(wǎng)的地址轉(zhuǎn)換是一種將網(wǎng)絡(luò)中內(nèi)部的IP地址轉(zhuǎn)換為已經(jīng)注冊(cè)的外部IP地址。防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有自己IP地址的私有網(wǎng)絡(luò)轉(zhuǎn)換為公有ip地址，用戶不僅需要對(duì)每一臺(tái)計(jì)算機(jī)都設(shè)立IP地址。全網(wǎng)卡在訪問外部網(wǎng)絡(luò)時(shí)，進(jìn)入防火墻將外出的地址及端口轉(zhuǎn)換為一個(gè)偽裝的地址和端口，讓每個(gè)偽裝的地址和端口通過非安全的網(wǎng)卡與外部網(wǎng)絡(luò)相連接，從而達(dá)到最佳的隱藏效果。使得有限的外網(wǎng)IP能夠滿足內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問，與此同時(shí)還能減少外部因素及其他的惡意攻擊。從而有效的緩解網(wǎng)絡(luò)地址空間的短缺問題，達(dá)到降低成本費(fèi)用的功效。在外部網(wǎng)絡(luò)中通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，并不知道當(dāng)前內(nèi)部網(wǎng)絡(luò)的連接狀況，而且僅僅只是開通了一個(gè)開放式的IP地址和端口來發(fā)出訪問請(qǐng)求。

2.3 應(yīng)用代理

防火墻中應(yīng)用代理技術(shù)的特點(diǎn)就是安全性能較高。應(yīng)用代理技術(shù)完全的接管了互聯(lián)網(wǎng)用戶與服務(wù)器之間的聯(lián)系，將用戶與服務(wù)器之間的數(shù)據(jù)包交換通道加以隔離。應(yīng)用代理不允許將外界的互聯(lián)網(wǎng)連接到內(nèi)部的網(wǎng)絡(luò)中，僅僅允許內(nèi)部的主機(jī)使用代理服務(wù)器來訪問互聯(lián)網(wǎng)的主機(jī)，同時(shí)只有通過認(rèn)可的服務(wù)器才能夠進(jìn)行代理。在實(shí)際的應(yīng)用中，防火墻應(yīng)用代理的功能是由代理服務(wù)器來完成所有工作的。

2.4 狀態(tài)檢測(cè)

防火墻的狀態(tài)檢測(cè)是新時(shí)期防火墻的一項(xiàng)最新技術(shù)，該技術(shù)是由Check Point引入的。它的作用就是監(jiān)視網(wǎng)絡(luò)中每一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息內(nèi)容來決定這些數(shù)據(jù)內(nèi)容能夠得到防火墻的認(rèn)可。通過防火墻的狀態(tài)檢測(cè)技術(shù)，對(duì)每個(gè)連接的協(xié)議狀態(tài)進(jìn)行維護(hù)。狀態(tài)檢測(cè)在包過濾的同時(shí)，也檢測(cè)數(shù)據(jù)包之間的變化。

3 防火墻技術(shù)的未來發(fā)展方向

3.1 防火墻的性能將逐漸的被突破

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的不斷豐富，網(wǎng)絡(luò)使用人群的不斷增加，網(wǎng)絡(luò)技術(shù)的不斷普及，對(duì)防火墻的性能也提出了更高的要求，滿足廣大網(wǎng)民對(duì)更高寬帶的需求成為了今后防火墻的發(fā)展方向。

3.2 防火墻將不斷的深入到應(yīng)用防護(hù)領(lǐng)域中

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)漏洞及操作系統(tǒng)方面的漏洞將越來越少，但應(yīng)用層的安全問題也逐一現(xiàn)象的更加突出，防火墻在這個(gè)時(shí)候?qū)?huì)將工作重心放在防護(hù)流域中去，從而來不斷的挖掘防火墻防護(hù)的深度與廣度。

3.3 防火墻將給更多的應(yīng)用層協(xié)議提供幫助

防火墻在今后對(duì)應(yīng)用層面上發(fā)揮的作用，也是防火墻發(fā)展的必然趨勢(shì)，它將為網(wǎng)絡(luò)提供更多的應(yīng)用協(xié)議，使更多的應(yīng)用程序和防火墻共同發(fā)展。

3.4 防火墻作為網(wǎng)絡(luò)安全管理的一個(gè)重要組件

隨著網(wǎng)絡(luò)安全管理平臺(tái)的發(fā)展，未來網(wǎng)絡(luò)安全方面的設(shè)備將由管理平臺(tái)統(tǒng)一進(jìn)行管理，這時(shí)候防火墻就需要向安全管理平臺(tái)提供安全管理的有關(guān)端口。

3.5 防火墻將呈現(xiàn)智能化發(fā)展的趨勢(shì)

一方面，防火墻將呈現(xiàn)穩(wěn)定發(fā)展的趨勢(shì)，同時(shí)也更趨于智能化與信息化，并將解決日后有關(guān)的安全問題。

4 總結(jié)

隨著防火墻技術(shù)的不斷發(fā)展，在網(wǎng)絡(luò)安全方面的運(yùn)用也越來越重要，將防火墻與其他的網(wǎng)絡(luò)安全技術(shù)相結(jié)合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，這也是防火墻技術(shù)需要做深入研究的重要課題。將防火墻的安全技術(shù)跟入侵檢測(cè)系統(tǒng)相結(jié)合，實(shí)行防火墻技術(shù)不但能夠獲得入侵檢測(cè)系統(tǒng)反應(yīng)出的網(wǎng)絡(luò)安全系統(tǒng)。未來，防火墻成為了當(dāng)前網(wǎng)絡(luò)安全技術(shù)中不可缺少的重要部分。

[參考文獻(xiàn)]

[1]張華.《防火墻技術(shù)的研究與探討》[J].計(jì)算機(jī)應(yīng)用研究，2010.

[2]蔣弦.《防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究》[J].電腦知識(shí)與技術(shù)，2012.

[3]王天宜，李曉英.《淺析防火墻技術(shù)及相關(guān)問題》[J].城市建設(shè)理論研究，2012.