曾柯

綿陽中學實驗學校2014級21班

?

關于防火墻技術在計算機安全構建中的應用研究

曾柯

綿陽中學實驗學校2014級21班

近些年，計算機越來越普及，其應用價值不斷提升，在現(xiàn)代社會發(fā)展進程中發(fā)揮了舉足輕重的作用。然而，頻頻發(fā)生的計算機安全問題嚴重制約了計算機的發(fā)展與應用價值的發(fā)揮。本文簡要闡述了防火墻的概念、分類及其在計算機安全構建中的應用，并在此基礎上探討了如何部署防火墻，以期為相關領域的研究提供理論參考。

防火墻技術 計算機安全 構建策略

1　防火墻概述

1.1防火墻定義

防火墻是計算機安全體系中十分重要的防護設備之一，其可將外界網絡與本地網絡隔離開來，可在一定安全策略下檢查兩個及兩個以上的網絡之間所傳輸?shù)倪B接方式和數(shù)據(jù)包，進而可依據(jù)網絡之間數(shù)據(jù)傳輸安全性的判定結果來決定一些通信是否允許進行傳輸。經過防火墻同意的信息和數(shù)據(jù)將會進入乙方網絡，未經防火墻同意的信息和數(shù)據(jù)則會被拒之門外。受防火墻保護的網絡稱之為私有網絡或內部網絡。合格的防火墻應具備以下五個方面的特點：其一是防火墻自身不會受到各類病毒、木馬程序的影響；其二是防火墻便于用戶管理；其三是外部網絡傳送數(shù)據(jù)至內部網絡時需通過防火墻；其四是只有合法的授權數(shù)據(jù)才能通過防火墻；其五是防火墻技術對高新科技的運用。

1.2防火墻的分類

目前，防火墻的類型主要有代理服務型防火墻、包過濾防火墻與復合型防火墻。

1.2.1代理服務型防火墻

代理服務型防火墻主要由客戶程序段、服務器端程序等構成，其中間節(jié)點與客戶端程序及外部服務器均處于相連狀態(tài)，內外網之間的直接連接并不存在。代理服務型防火墻可向用戶提供審計、日記等服務功能。

1.2.2包過濾防火墻

包過濾防火墻通常安置于路由器中，其在篩選目標地址、IP源地址時需以IP信息包為基礎，在數(shù)據(jù)過濾中可確保計算機安全。包過濾防火墻具有簡單易行、靈活有效等優(yōu)勢，但同時也存在有難以有效防控“假冒IP”、防御作用僅能在網絡層與傳輸層實現(xiàn)、無法防御網絡內部攻擊威脅等缺陷。

1.2.3復合型防火墻

作為新一代防火墻技術，復合型防火墻集和了智能IP識別技術，高效分組識別應用、協(xié)議等目的可得到實現(xiàn)，對應用的訪問控制也可得到進一步強化。智能IP識別技術的運用不僅摒棄了傳統(tǒng)復合型防火墻技術，還創(chuàng)新性地采用了特有快速搜索算法、零拷貝流分析等新技術。復合型防火墻在計算機安全構建中的運用有助于實現(xiàn)內容過濾、病毒防御的整合，更可對隱蔽的網絡信息安全實現(xiàn)有效防控。

2　防火墻技術在計算機安全構建中的應用

2.1防火墻技術的作用

2.1.1為計算機網絡安全提供屏障

防火墻的應用對計算機內部網絡安全性的提升及計算機與網絡所面臨風險的降低有著重要作用。只有經過嚴格選擇的應用協(xié)議才能被防火墻允許通過，這一特性保障了計算機的網絡環(huán)境安全。此外，防火墻在網絡連接狀態(tài)下可有效避免網絡受到基于路由的各類攻擊，且其在發(fā)現(xiàn)攻擊或拒絕攻擊等狀況下均會及時通知防火墻的管理員。

2.1.2強化網絡安全策略

防火墻技術還可配置一些加密、口令、身份驗證等安全應用，以防火墻為主、集中安全管理的配置方案可得到實現(xiàn)。較之其他將安全問題分散在各個主機上的網絡安全策略相比，防火墻技術更加堅固與經濟。

2.1.3對網絡訪問與存取進行審計監(jiān)控

防火墻往往會以日志記錄的形式記錄下防火墻的數(shù)據(jù)，同時還可將網絡使用的統(tǒng)計數(shù)據(jù)提供給用戶。一旦有危險性的數(shù)據(jù)通過防火墻，防火墻可發(fā)出警報并向管理員提供網絡是否受到了攻擊和檢測的詳細情況，這對分析計算機和網絡所面臨的威脅具有十分重要的參考價值。此外，防火墻還可通過劃分內部網絡實現(xiàn)內部網絡中的重點網段隔離，網絡攻擊對整個網絡所造成的影響可大大降低。

2.2防火墻的部署措施

針對各類網絡攻擊與威脅，防火墻可及時作出防御與相應，攻擊行為可被隔絕在計算機網，計算機所面臨的風險隨之可得到降低。因此，防火墻需放置在不可信任與可信任網絡之間，其是計算機與不可信任網絡連接的唯一紐帶?？茖W合理地部署防火墻可有效實現(xiàn)對內部網絡安全性的保護。

2.2.1防火墻的選用

除前文所述三種防火墻類型外，目前還出現(xiàn)了一種狀態(tài)監(jiān)測型防火墻，其安全性能顯著高于代理服務型防火墻與包過濾性防火墻，但其耗費成本較高，管理也具有較大難度，因而只有對安全性要求特別高的單位或個人才會使用監(jiān)測型防火墻。在選用防火墻時，我們需從用戶需求、安全技術成本及系統(tǒng)成本等因素加以綜合考慮。

2.2.2防火墻的部署

為了有效阻止外部網絡的入侵，技術人員首先需在外部網絡與內部網絡接口處進行防火墻安裝；有些單位具有較大的內部網絡規(guī)模，且具有VLAN（虛擬局域網），此時需在每個虛擬局域網之間設置防火墻；通過公網進行連接的各個分支機構與總部之間也需設置防火墻。

2.2.3防火墻的部署原則

在部署防火墻時需堅持無論是外部網絡還是內部網絡的連接處，只要具有出現(xiàn)惡意入侵與攻擊的可能性就應進行防火墻安裝的原則。負責整個內部網絡中數(shù)據(jù)轉發(fā)以及與DMZ區(qū)域內的關鍵應用連接的核心路由器或核心交換機屬于網絡的重要核心區(qū)域。作為網絡風險最為集中的區(qū)域，DMZ區(qū)域是網絡安全維護中最為關鍵的區(qū)域，因而在設置防火墻過程中既需保證對訪問的審核與安全性，還需保證DMZ區(qū)內關鍵應用的友好性與可用性。換言之，在部署防火墻時，我們不僅需重視網絡的邊界，還需重視諸如DMZ的關鍵區(qū)域。關鍵區(qū)域的防火墻面對內部網絡用戶，保護重要資源與服務的訪問控制、完善安全日志的收集是在關鍵區(qū)域部署防火墻的根本目的。對于邊界防火墻，其不僅需提供出戰(zhàn)控制、NAT服務的授權，同時還需防御諸如入侵、滲透等在內的外來威脅。在部署防火墻時，技術人員需將各類防御職能分派給兩種防火墻，分派依據(jù)為防火墻所提供的應用以及網絡的結構，前文所提及的DMZ區(qū)域是內部防火墻的保護重點，提供監(jiān)測與警告是其主要作用。

3　結束語

防火墻技術可為計算機網絡安全提供保障，可強化網絡安全策略，同時還可對網絡訪問與存取進行審計監(jiān)控，因而其部署在計算機安全構建中十分有必要。技術人員在部署防火墻技術時，不僅需考慮不同防火墻類型的性能，還需考慮部署的成本與經濟效益。

［1］ 杭同喜.淺談計算機網絡安全及防火墻技術［J］.電腦知識與技術，2016，16：54-55

［2］ 張雯，李婧.防火墻技術及其在校園網絡安全中的應用［J］.科技展望，2016，24：4

［3］ 馬利，梁紅杰.計算機網絡安全中的防火墻技術應用研究［J］.電腦知識與技術，2014，16：3743-3745