杜爾升

?

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

杜爾升

廣東省科技創(chuàng)新監(jiān)測研究中心，廣東 廣州 510000

網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用是社會科學(xué)技術(shù)飛躍進(jìn)步的表現(xiàn)，促進(jìn)了現(xiàn)代化社會的建設(shè)進(jìn)程。人們的生活和工作都離不開計(jì)算機(jī)網(wǎng)絡(luò)，帶來了很高的時效性和便利性，但是另一方面，網(wǎng)絡(luò)技術(shù)是雙刃劍，它也帶來了不好的一面。目前網(wǎng)絡(luò)信息泄露，網(wǎng)絡(luò)破壞等安全問題給人們帶來了經(jīng)濟(jì)和精神損失，這是我們不得不采取措施應(yīng)對的問題。防火墻技術(shù)是目前最為流行的網(wǎng)絡(luò)安全防護(hù)技術(shù)，它能夠通過不同方式來保護(hù)信息安全?；诖耍瑢Ψ阑饓夹g(shù)的定義、功能、應(yīng)用等進(jìn)行簡要分析，為研究防火墻在網(wǎng)絡(luò)安全中的應(yīng)用提供參考。

防火墻；計(jì)算機(jī)；網(wǎng)絡(luò)安全；應(yīng)用

現(xiàn)如今網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展，人們生活工作學(xué)習(xí)時時刻刻都離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)資源成為人們信息獲得的主要渠道。與此同時，計(jì)算機(jī)技術(shù)也在日新月異的發(fā)展中，社會的方方面面都滲透著計(jì)算機(jī)技術(shù)。網(wǎng)絡(luò)資源是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)與計(jì)算機(jī)技術(shù)相結(jié)合的產(chǎn)物，21世紀(jì)以來“計(jì)算機(jī)就是網(wǎng)絡(luò)”的概念已經(jīng)成為人們心中的理所當(dāng)然，可見網(wǎng)絡(luò)資源與計(jì)算機(jī)技術(shù)在社會中的普及程度[1]。盡管網(wǎng)絡(luò)技術(shù)給人們的生活工作帶來了諸多便利，但是不可忽視的是頻發(fā)的網(wǎng)絡(luò)安全事件嚴(yán)重?fù)p害了網(wǎng)民的隱私以及財(cái)產(chǎn)安全等，防火墻技術(shù)作為網(wǎng)絡(luò)安全的防護(hù)技術(shù)得到了普遍應(yīng)用，本文將對其在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行簡要探討。

1 防火墻的基本概念

防火墻是應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的安全防御工具，它被用在內(nèi)部網(wǎng)和外部網(wǎng)之間，前者被認(rèn)定為安全網(wǎng)絡(luò)，后者被認(rèn)定為相對不太安全的網(wǎng)絡(luò)。防火墻的組成包括軟件和硬件，內(nèi)部網(wǎng)和外部網(wǎng)之間的聯(lián)通必須且只能通過防火墻。防火墻是保障網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)手段，本身擁有很強(qiáng)的防護(hù)功能，同時可以通過接收安全政策控制（允許、拒絕 、監(jiān)測）來對進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行放行和阻截等。防火墻是一個分析器，能夠?qū)νㄟ^的信息流進(jìn)行分析，同時是一個分離器，可以對分析后的信息流進(jìn)行篩選，也是一個限制器，對篩選為不安全的信息流進(jìn)行限制，拒絕其進(jìn)入內(nèi)部網(wǎng)，授權(quán)安全的信息流進(jìn)入內(nèi)部網(wǎng)。防火墻自身的防滲透性也很強(qiáng)，因此可以有效防護(hù)網(wǎng)絡(luò)安全，保障內(nèi)部網(wǎng)的安全性[2]。

2 防火墻的主要功能

（1）動態(tài)包過濾技術(shù)。也稱為狀態(tài)檢測技術(shù)，能夠?qū)νㄟ^防火墻的數(shù)據(jù)包進(jìn)行截獲分析，提取其應(yīng)用層信息，根據(jù)信息的安全程度決定拒絕還是允許，可以實(shí)現(xiàn)動態(tài)安全網(wǎng)絡(luò)控制目的。防火墻可以對通過其端口的信息流進(jìn)行動態(tài)管理，前提是需要進(jìn)行連接。

（2）控制不安全的服務(wù)。防火墻可以實(shí)現(xiàn)對不安全服務(wù)的有效控制，提前設(shè)置好信任域與不信任域之間數(shù)據(jù)出入的策略，就可以將不安全服務(wù)拒絕在內(nèi)部網(wǎng)外，也可以對規(guī)則計(jì)劃進(jìn)行定義，在需要啟動和關(guān)閉策略的時候自動進(jìn)行啟動和關(guān)閉，不僅大大增加了內(nèi)部網(wǎng)的安全性，而且具有靈活性[3]。

（3）集中的安全保護(hù)。防火墻可以集中內(nèi)部網(wǎng)的所有需要防護(hù)的軟件，包括需要改動和附加的所有軟件，例如電子口令、密碼和身份認(rèn)證等，這些安全問題可以集中由防火墻進(jìn)行管理，具有高效性。操作也十分簡便，只需要以防火墻為中心進(jìn)行安全方案配置即可實(shí)現(xiàn)集中安全保護(hù)。相比把安全問題分散在每個主機(jī)上而言，由防火墻進(jìn)行集中安全管理更為高效和經(jīng)濟(jì)。

（4）加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的訪問控制。防火墻可以設(shè)定外部網(wǎng)對內(nèi)部網(wǎng)的訪問服務(wù)，進(jìn)行訪問控制，例如關(guān)系重大網(wǎng)絡(luò)安全的特定服務(wù)可以對外部網(wǎng)進(jìn)行屏蔽，使其不能夠訪問。對于一些關(guān)系較小網(wǎng)絡(luò)安全的其他服務(wù)，比如WWW服務(wù)則允許外部網(wǎng)訪問。

以上幾點(diǎn)是防火墻所應(yīng)具備的一些主要防護(hù)功能，隨著技術(shù)的發(fā)展，防火墻防護(hù)功能也更加多元化，合理應(yīng)用和管理防火墻功能才能真正發(fā)揮防火墻的防護(hù)作用。

3 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

3.1 包過濾防火墻

一般只應(yīng)用于OSI七層模型中的網(wǎng)絡(luò)層數(shù)據(jù)。包過濾防火墻能夠?qū)B接狀態(tài)進(jìn)行檢測，預(yù)先設(shè)定邏輯策略后，凡是通過防火墻的數(shù)據(jù)包都要經(jīng)過分析，邏輯策略中包含端口、地址和源地址等，如果數(shù)據(jù)包中的信息和策略中的條例不相一致則數(shù)據(jù)包可以通過。如果能夠和策略中的條例匹配上，數(shù)據(jù)包就會被攔截下來。數(shù)據(jù)包在進(jìn)行傳送時，都被分割為無數(shù)個由目的地址和源地址組成的小數(shù)據(jù)包，在通過防火墻時它們被按照不同的傳輸路徑傳輸過去，但是最后會在同一個目的地會和。在到達(dá)目的地后，數(shù)據(jù)包仍然要接受防火墻的檢查，合格的方可最后通過。如果傳輸過程中數(shù)據(jù)包丟失地址或發(fā)生端口錯誤則會被丟棄[4]。

3.2 應(yīng)用網(wǎng)關(guān)防火墻

也叫做代理防火墻，它作用于OSI模型中的網(wǎng)絡(luò)層、應(yīng)用層和傳輸層。應(yīng)用網(wǎng)關(guān)防火墻認(rèn)證的是個人而非設(shè)備，這一點(diǎn)和包過濾防火墻有所不同，在發(fā)送數(shù)據(jù)前進(jìn)行驗(yàn)證，驗(yàn)證成功后允許訪問網(wǎng)絡(luò)資源，認(rèn)證包括口令，密碼，用戶名等，因此沒有預(yù)留時間為黑客提供DOS攻擊。應(yīng)用網(wǎng)關(guān)防火墻分為直通式網(wǎng)絡(luò)防火墻和連接網(wǎng)關(guān)防火墻。后者有更多的認(rèn)證機(jī)制，可以通過截獲數(shù)據(jù)流量進(jìn)行認(rèn)證，認(rèn)證成功后連接網(wǎng)關(guān)防火墻才允許服務(wù)訪問。連接網(wǎng)關(guān)防火墻還能夠?qū)?yīng)用層進(jìn)行防護(hù)，提高應(yīng)用層安全性，而直通式防火墻則不具備這一功能。

3.3 深層檢測防火墻

這是防火墻目前的發(fā)展趨勢，該技術(shù)首先對網(wǎng)絡(luò)信息進(jìn)行檢測，然后跟蹤流量的走向，在此過程中繼續(xù)進(jìn)行檢測。深層檢測防火墻的防護(hù)功能不僅僅停留在網(wǎng)絡(luò)層上，更加注重防護(hù)對于應(yīng)用層的網(wǎng)絡(luò)攻擊，具有更高的安全性和實(shí)用性。

3.4 分布防火墻

這種防火墻主要針對的是企業(yè)和單位局域網(wǎng)內(nèi)部，其運(yùn)行依靠的是網(wǎng)絡(luò)安全防護(hù)軟件，包括網(wǎng)絡(luò)防火墻和主機(jī)防火墻兩種。前者存在于內(nèi)部網(wǎng)和外部網(wǎng)之間，后者存在于局域網(wǎng)內(nèi)部。分布式防火墻主要防護(hù)內(nèi)部缺陷，同時也可以避免外部攻擊，有效提高了局域網(wǎng)安全性[5]。

總而言之，網(wǎng)絡(luò)是開放和共享的，給人們帶來巨大便利的同時，也面臨很多的安全問題。從Internet到單位內(nèi)網(wǎng)再到個人電腦，網(wǎng)絡(luò)安全都存在隱患，在經(jīng)歷過諸多網(wǎng)絡(luò)安全問題后人們更加重視網(wǎng)絡(luò)安全的防護(hù)問題，越來越多的家庭和單位安裝了計(jì)算機(jī)網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)資源具有巨大優(yōu)勢。如何充分利用網(wǎng)絡(luò)資源的特點(diǎn)，充分發(fā)揮網(wǎng)絡(luò)資源的優(yōu)勢，如何解決網(wǎng)絡(luò)安全中遇到的問題，是擺在從業(yè)者面前的重要問題，需要廣大計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)同行不斷探索，以適應(yīng)新時代計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的需要.

[1]徐林熠.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用剖析[J].數(shù)字通信世界，2015，24（8）：96.

[2]覃英瓊.淺析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的具體應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，14（11）：53.

[3]許東，操文元，孫茜.基于CC2530的環(huán)境監(jiān)測無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用，2013，33（S2）：17-20.

[4]姜可.淺談防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（4）：178-179.

[5]馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識與技術(shù)，2014（16）：3743-3745.

The Application of Firewall Technology in Computer Network Security

Du Er Sheng

Guangdong province science and technology innovation monitoring research center，Guangdong Guangzhou 510000

Widespread application of network technology is a sign of social progress of science and technology，promote the construction of the modern society.Cannot leave computer network，people's life and work brings high efficiency and convenience，but on the other hand，the network technology is a double-edged sword，it also brought the downside，the current network information，network failure brings security problems such as the economic and spiritual loss，this is the problem we have to take measures to deal with.The firewall technology is one of the most popular network security protection technology，it can be in different ways to protect information security.In this paper，the definition of firewall technology，function，the paper analyzed the application of provide a reference for research in the application of network security firewall.

Firewall；The computer；Network security；application

TP393.08

A

1009-6434(2016)07-0097-02