摘要：隨著信息技術(shù)的發(fā)展和經(jīng)濟競爭的日益激烈，當今社會對計算機網(wǎng)絡(luò)的依賴越來越強，網(wǎng)絡(luò)對社會的影響也越來越大。計算機網(wǎng)絡(luò)是計算機與信息技術(shù)相結(jié)合的產(chǎn)物，網(wǎng)絡(luò)的安全與否已經(jīng)直接影響到社會安全。防火墻技術(shù)是目前最流行也是使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為網(wǎng)絡(luò)的第一道安全防線，正受到越來越多用戶的關(guān)注。該文針對防火墻技術(shù)在計算機中的應(yīng)用進行了分析和探究。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；防火墻；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）36-8618-02

隨著計算機技術(shù)的快速發(fā)展和應(yīng)用，不斷地促進了信息技術(shù)的變革。近年來隨著計算機網(wǎng)絡(luò)技術(shù)飛速發(fā)展，計算機和網(wǎng)絡(luò)資源已經(jīng)形成了非常有效的聯(lián)合，網(wǎng)絡(luò)技術(shù)在帶給我們便捷的同時，其安全性問題也日益突顯出來。連接到互聯(lián)網(wǎng)上的計算機在沒有安全防護的情況下，很多私密的信息會被泄露，輕則丟掉數(shù)據(jù)，重則系統(tǒng)平臺會被攻擊乃至系統(tǒng)癱瘓，經(jīng)常會造成一些不可挽回的物質(zhì)和經(jīng)濟損失。防火墻技術(shù)是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它可以看作是內(nèi)外網(wǎng)的一種網(wǎng)關(guān)，能將內(nèi)網(wǎng)與外網(wǎng)有效的分隔開，保障網(wǎng)絡(luò)的安全。

1 防火墻功能簡介

防火墻是聯(lián)接內(nèi)部網(wǎng)絡(luò)和外部不安全網(wǎng)絡(luò)的“橋梁”電腦。它們專門被用來過濾和攔截有害信息，只允許符合嚴格安全標準的信息通過，如圖1所示。防火墻的任務(wù)就是對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬等不安全程序。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信，從而達到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。防火墻可以在計算機網(wǎng)絡(luò)和計算機系統(tǒng)受到危害之前進行報警、攔截和響應(yīng)[1]。

在實際應(yīng)用中，某些特定主機需要對外提供服務(wù)，為了更好地提供服務(wù)，同時又要有效地保護內(nèi)部網(wǎng)絡(luò)的安全，需要將這些機與內(nèi)網(wǎng)設(shè)備分隔開來，根據(jù)不同的需要，有針對性地采取相應(yīng)的隔離措施，這樣便能在對外提供友好的服務(wù)的同時最大限度地保護了內(nèi)部網(wǎng)絡(luò)。這就需要構(gòu)建一個DMZ區(qū)，俗稱非軍事化區(qū)。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不能接觸到存放在內(nèi)網(wǎng)中的服務(wù)器，即使DMZ中服務(wù)器受到破壞，也不會對內(nèi)網(wǎng)中的機密信息造成影響。

圖1 防火墻部署圖

防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其具有抵御外部侵襲但是不能阻止內(nèi)部侵襲的一種防護手段，但是隨著新技術(shù)的發(fā)展和創(chuàng)新，現(xiàn)代化的防火墻技術(shù)不僅能夠?qū)ν獠烤W(wǎng)絡(luò)發(fā)出的通信連接進行過濾，同時對內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的部分連接請求和數(shù)據(jù)包同樣過濾，防火墻只能夠允許符合安全策略的連接通信[2]。為了達到網(wǎng)絡(luò)安全，必須使內(nèi)網(wǎng)和外網(wǎng)絡(luò)之間的所有數(shù)據(jù)通信都流經(jīng)防火墻。并且人為制訂一些安全規(guī)則，符合防火墻規(guī)則設(shè)置的數(shù)據(jù)流才能通過防火墻，使網(wǎng)絡(luò)環(huán)境變得更安全。而且要求防火墻本身要有非常強的抗攻擊能力。防火墻在完成配置后，都可以達到以下功能：

1） 網(wǎng)絡(luò)管理員通過設(shè)置一定的訪問規(guī)則，規(guī)范網(wǎng)絡(luò)使用。對于不同的服務(wù)面向其相應(yīng)的用戶開放，這樣可以靈活地設(shè)置用戶的訪問權(quán)限，保障內(nèi)網(wǎng)數(shù)據(jù)的安全。通過防火墻過濾不安全信息，限制其他人員及計算機進入內(nèi)部網(wǎng)絡(luò)；對于符合防火墻規(guī)則的安全數(shù)據(jù)，可以自由通過防火墻。這樣既可以防止危險數(shù)據(jù)對內(nèi)網(wǎng)的侵襲，又能保證外網(wǎng)用戶可以安全的使用內(nèi)網(wǎng)數(shù)據(jù)，同時使內(nèi)網(wǎng)計算機安全正常運行。

2） 解決IP地址不足。防火墻可以利用自身的NAT等技術(shù)，將內(nèi)、外網(wǎng)IP地址對應(yīng)起來，解決網(wǎng)絡(luò)IP地址不足問題。

3） 有效地審核、記錄內(nèi)外網(wǎng)訪問信息。防火墻作為連接內(nèi)網(wǎng)與外網(wǎng)的網(wǎng)關(guān)，可以通過防火墻自身的過濾功能，對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，記錄下這些訪問并進行日志記錄，利用防火墻的這一特性，我們可以有效的記錄計算機訪問內(nèi)網(wǎng)資源的情況，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，這也為日后的安全技術(shù)分析提供依據(jù)。

2 防火墻安全策略

防火墻的安全策略是防火墻系統(tǒng)中的重要組成部分，安全策略決定了保護網(wǎng)絡(luò)的安全性，一個好的防火墻首先應(yīng)該有一個行之有效的安全策略，它必須滿足用戶的安全需求，在安全和方便直接找到一個平衡點。防火墻安全策略包括防火墻設(shè)計策略和服務(wù)訪問策略。

防火墻設(shè)計策略，是防火墻底層的策略，它描述防火墻如何根據(jù)定義的服務(wù)策略來具體限制訪問和過濾服務(wù)的。防火墻的兩個基本設(shè)計策略是“允許所有除明確拒絕之外的通訊或服務(wù)進行，拒絕所有除明確允許之外的通訊或服務(wù)進行”[3]。防火墻服務(wù)訪問策略是防火墻的高層策略，它明確定義了受保護的網(wǎng)絡(luò)應(yīng)該允許和拒絕的網(wǎng)絡(luò)服務(wù)和其使用的范圍。

3 防火墻技術(shù)

為了更好的提高防火墻的防御功能，必須具備過濾所有數(shù)據(jù)的能力。防火墻能夠根據(jù)預(yù)先定義的安全策略，允許合法連接進入內(nèi)部網(wǎng)絡(luò)，阻止非法連接，保護內(nèi)部網(wǎng)的安全。防火墻通常用于保護公司的內(nèi)部網(wǎng)絡(luò)，也可用于不同部門之間的網(wǎng)絡(luò)分離。

開放系統(tǒng)互連模型（OSI）分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。根據(jù)防火墻技術(shù)主要工作在該模型的哪些層面上，可以將防火墻技術(shù)分為“包過濾型防火墻”和“應(yīng)用代理型防火墻”兩大類。

包過濾型防護墻是建立在網(wǎng)絡(luò)層和傳輸層，它可以根據(jù)不同的源地址、端口號和網(wǎng)絡(luò)協(xié)議等安全標識判斷并根據(jù)已定規(guī)則分析是都允許通過。包過濾防火墻是一種通用、安全有效的技術(shù)手段。傳統(tǒng)包過濾技術(shù)不斷發(fā)展進化，目前包過濾技術(shù)向兩種過濾方式：靜態(tài)包過濾與動態(tài)包過濾。靜態(tài)包過濾防火墻根據(jù)數(shù)據(jù)中提取出來的IP地址來決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)，它的優(yōu)點是簡單方便、速度快，對網(wǎng)絡(luò)性能影響不大。但對于一些具有欺騙性的數(shù)據(jù)包，這類防火墻很難將其分辨出來。動態(tài)包過濾防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，這些規(guī)則只是在原來靜態(tài)包過濾的基礎(chǔ)上加了一些連接信息表，根據(jù)該信息表對每一個連接進行跟蹤。

包過濾防火墻技術(shù)有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務(wù)，即包過濾路由器對用戶和應(yīng)用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術(shù)來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應(yīng)用協(xié)議不適用于包過濾技術(shù)，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議。

應(yīng)用代理型防火墻技術(shù)的工作原理是在OSI網(wǎng)絡(luò)層中的第七層，就是常說的應(yīng)用層，直接對特定的應(yīng)用層進行服務(wù)。最大的特點就是完全阻斷了網(wǎng)絡(luò)通信流的數(shù)據(jù)，也被稱為應(yīng)用層的網(wǎng)關(guān)級防火墻。它通過對FTP，Telnet等不同應(yīng)用服務(wù)分別提供相應(yīng)的代理程序，使內(nèi)外網(wǎng)通信都能經(jīng)過代理服務(wù)器的中間轉(zhuǎn)換，實現(xiàn)網(wǎng)絡(luò)的安全訪問，起到了監(jiān)督的作用和控制的作用。應(yīng)用代理技術(shù)就是應(yīng)用層在這個時候具有高級代理的能力，同時這種防火墻技術(shù)支持網(wǎng)絡(luò)地址的相互轉(zhuǎn)換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務(wù)器提供路由的服務(wù)。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應(yīng)用代理技術(shù)防火墻的特點。應(yīng)用代理防火墻直接阻斷內(nèi)外網(wǎng)之間的直接通信。內(nèi)外網(wǎng)絡(luò)之間的通信不是直接的，而外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉(zhuǎn)發(fā)，避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內(nèi)容，對數(shù)據(jù)包有較強的鑒別能力。

4 結(jié)束語

隨著計算機技術(shù)的不斷發(fā)展，人們越來越依賴于網(wǎng)絡(luò)，對于信息資源的依賴也過于緊密，網(wǎng)絡(luò)安全問題也不可避免，這直接影響著防火墻技術(shù)的發(fā)展。為了保障網(wǎng)絡(luò)的安全運行，防火墻技術(shù)越來越重要。我們需要選擇適合實際應(yīng)用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術(shù)是不夠的，需要使現(xiàn)在的防火墻技術(shù)將計算機技術(shù)和網(wǎng)絡(luò)技術(shù)結(jié)合在一起，才能真正解決計算機的網(wǎng)絡(luò)安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術(shù)的網(wǎng)絡(luò)安全機制研究[D].電子科技大學(xué)，2007.

[2] 秦燕.防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2013（10）.

[3] 丁方.基于策略的防火墻技術(shù)的研究與實現(xiàn)[D].西北工業(yè)大學(xué)，2007.endprint

包過濾防火墻技術(shù)有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務(wù)，即包過濾路由器對用戶和應(yīng)用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術(shù)來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應(yīng)用協(xié)議不適用于包過濾技術(shù)，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議。

應(yīng)用代理型防火墻技術(shù)的工作原理是在OSI網(wǎng)絡(luò)層中的第七層，就是常說的應(yīng)用層，直接對特定的應(yīng)用層進行服務(wù)。最大的特點就是完全阻斷了網(wǎng)絡(luò)通信流的數(shù)據(jù)，也被稱為應(yīng)用層的網(wǎng)關(guān)級防火墻。它通過對FTP，Telnet等不同應(yīng)用服務(wù)分別提供相應(yīng)的代理程序，使內(nèi)外網(wǎng)通信都能經(jīng)過代理服務(wù)器的中間轉(zhuǎn)換，實現(xiàn)網(wǎng)絡(luò)的安全訪問，起到了監(jiān)督的作用和控制的作用。應(yīng)用代理技術(shù)就是應(yīng)用層在這個時候具有高級代理的能力，同時這種防火墻技術(shù)支持網(wǎng)絡(luò)地址的相互轉(zhuǎn)換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務(wù)器提供路由的服務(wù)。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應(yīng)用代理技術(shù)防火墻的特點。應(yīng)用代理防火墻直接阻斷內(nèi)外網(wǎng)之間的直接通信。內(nèi)外網(wǎng)絡(luò)之間的通信不是直接的，而外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉(zhuǎn)發(fā)，避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內(nèi)容，對數(shù)據(jù)包有較強的鑒別能力。

4 結(jié)束語

隨著計算機技術(shù)的不斷發(fā)展，人們越來越依賴于網(wǎng)絡(luò)，對于信息資源的依賴也過于緊密，網(wǎng)絡(luò)安全問題也不可避免，這直接影響著防火墻技術(shù)的發(fā)展。為了保障網(wǎng)絡(luò)的安全運行，防火墻技術(shù)越來越重要。我們需要選擇適合實際應(yīng)用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術(shù)是不夠的，需要使現(xiàn)在的防火墻技術(shù)將計算機技術(shù)和網(wǎng)絡(luò)技術(shù)結(jié)合在一起，才能真正解決計算機的網(wǎng)絡(luò)安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術(shù)的網(wǎng)絡(luò)安全機制研究[D].電子科技大學(xué)，2007.

[2] 秦燕.防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2013（10）.

[3] 丁方.基于策略的防火墻技術(shù)的研究與實現(xiàn)[D].西北工業(yè)大學(xué)，2007.endprint

包過濾防火墻技術(shù)有如下特點。處理包的速度比較快，效率高，通過使用過濾路由器能為用戶提供了一種透明的服務(wù)，即包過濾路由器對用戶和應(yīng)用來講是透明的，用戶不用改變客戶端程序或改變自己的行為。但其自身也存在著不足，一個包過濾規(guī)則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術(shù)來加強安全性。包過濾防火墻不能徹底防止地址欺騙，某些應(yīng)用協(xié)議不適用于包過濾技術(shù)，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議。

應(yīng)用代理型防火墻技術(shù)的工作原理是在OSI網(wǎng)絡(luò)層中的第七層，就是常說的應(yīng)用層，直接對特定的應(yīng)用層進行服務(wù)。最大的特點就是完全阻斷了網(wǎng)絡(luò)通信流的數(shù)據(jù)，也被稱為應(yīng)用層的網(wǎng)關(guān)級防火墻。它通過對FTP，Telnet等不同應(yīng)用服務(wù)分別提供相應(yīng)的代理程序，使內(nèi)外網(wǎng)通信都能經(jīng)過代理服務(wù)器的中間轉(zhuǎn)換，實現(xiàn)網(wǎng)絡(luò)的安全訪問，起到了監(jiān)督的作用和控制的作用。應(yīng)用代理技術(shù)就是應(yīng)用層在這個時候具有高級代理的能力，同時這種防火墻技術(shù)支持網(wǎng)絡(luò)地址的相互轉(zhuǎn)換（NAT），它可以將一個私有IP地址映射成一個IP公有的地址，然后為終端的服務(wù)器提供路由的服務(wù)。NAT方法經(jīng)常用在辦公區(qū)或私有區(qū)域，可以更好的解決IP地址不夠分配的問題。

應(yīng)用代理技術(shù)防火墻的特點。應(yīng)用代理防火墻直接阻斷內(nèi)外網(wǎng)之間的直接通信。內(nèi)外網(wǎng)絡(luò)之間的通信不是直接的，而外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，這樣所有符合規(guī)則的通信都必須經(jīng)由防火墻轉(zhuǎn)發(fā)，避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。同時，代理能生成各項記錄，靈活地控制進出的流量及內(nèi)容，對數(shù)據(jù)包有較強的鑒別能力。

4 結(jié)束語

隨著計算機技術(shù)的不斷發(fā)展，人們越來越依賴于網(wǎng)絡(luò)，對于信息資源的依賴也過于緊密，網(wǎng)絡(luò)安全問題也不可避免，這直接影響著防火墻技術(shù)的發(fā)展。為了保障網(wǎng)絡(luò)的安全運行，防火墻技術(shù)越來越重要。我們需要選擇適合實際應(yīng)用的防火墻來抵御有害信息入侵計算機系統(tǒng)，但僅依靠防火墻技術(shù)是不夠的，需要使現(xiàn)在的防火墻技術(shù)將計算機技術(shù)和網(wǎng)絡(luò)技術(shù)結(jié)合在一起，才能真正解決計算機的網(wǎng)絡(luò)安全問題。

參考文獻：

[1] 曹莉蘭.基于防火墻技術(shù)的網(wǎng)絡(luò)安全機制研究[D].電子科技大學(xué)，2007.

[2] 秦燕.防火墻技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2013（10）.

[3] 丁方.基于策略的防火墻技術(shù)的研究與實現(xiàn)[D].西北工業(yè)大學(xué)，2007.endprint