劉軍

摘要：防火墻通常被作為盾牌來保護計算機的安全運行。防火墻主要用于互聯(lián)網(wǎng)絡，防止非法系統(tǒng)不允許的情況下可破壞或竊取訪問者機器的私人信息。非法活動在網(wǎng)絡中出現(xiàn)的頻率越來越高，防火墻安全保護技術已經(jīng)成為現(xiàn)代社會必不可少的信息保護措施。防火墻會存在不同的問題，隨著發(fā)展階段的不同。文章對計算機防火墻的安全技術問題進行了討論。

關鍵詞：計算機防火墻；網(wǎng)絡安全保護；互聯(lián)網(wǎng)

計算機的網(wǎng)絡安全可以被定義為機密性、完整性和可用性。就保密性而言，只能訪問授權信息；可用性指不減少計算機系統(tǒng)應用內(nèi)存的情況下，仍然可以按照授權用戶的要求提供服務。防火墻系統(tǒng)可以決定哪些計算機可以請求訪問內(nèi)部服務。來自計算機網(wǎng)絡的信息必須通過防火墻，由防火墻判斷是否予以通行。數(shù)據(jù)通過防火墻，必須獲得授權碼或者是防火墻已經(jīng)授權的數(shù)據(jù)?！┓阑饓ο到y(tǒng)受到攻擊或被突破，其數(shù)據(jù)是迂回的，則不能提供任何防護。

1.計算機防火墻定義及作用

1.1計算機防火墻的定義

通俗來講，防火墻主要作用就是隔離開受保護的網(wǎng)絡與不受保護的網(wǎng)絡，通過類似于安檢點的一種單一集中的安全檢查點，審查并過濾所有從因特網(wǎng)到受保護網(wǎng)絡的連接（反之亦然）。一些防火墻偏重于阻塞傳輸流量，而另一些防火墻則是允許傳輸流。這兩種機制看起來似乎自相矛盾，但這種機制恰恰反映了防火墻的早期設計思路，也給后續(xù)防火墻的設計改良提供了方向?？偟膩碚f，防火墻可以被理解成簡單的兩種機制，一種機制是輸電線路阻塞環(huán)流，另一個機制是允許傳輸流。因為防護墻最初的設計理念總是信任內(nèi)部網(wǎng)絡和不信任外部網(wǎng)絡的，所以初始防火墻過濾的只是外部的交流信息，對于網(wǎng)絡用戶和內(nèi)部網(wǎng)絡的交流則不作要求。當前防火墻過濾機制的變化，不僅從外部網(wǎng)絡通信連接過濾，連接請求從內(nèi)部網(wǎng)絡的用戶還需要過濾數(shù)據(jù)包，防火墻保護仍然遵守安全政策需求的溝通。

1.2防火墻的作用

防火墻，字面意思是確保網(wǎng)絡的安全。防火墻內(nèi)部存儲著大量的數(shù)據(jù)，這些數(shù)據(jù)可以提供系統(tǒng)反饋信息、允許程序運行、需要返回的信息。防火墻只允許那些默認允許應用程序訪問，其本身也起到避免黑客對系統(tǒng)造成損害的作用。下面簡單介紹一些防火墻的功能。

（1）過濾風險服務和非法用戶，限制外來數(shù)據(jù)訪問進入內(nèi)部網(wǎng)絡；（2）防止內(nèi)部用戶入侵國防網(wǎng)絡設施；（3）只允許特定用戶訪問特定的網(wǎng)絡站點；（4）為網(wǎng)絡安全監(jiān)測提供了方便；（5）防火墻的位置可以用來記錄計算機程序?qū)W(wǎng)絡的訪問；（6）可以用作部署NAT網(wǎng)絡；（7）用于網(wǎng)絡地址的位置變換，使用NAT技術，將有限的動態(tài)或靜態(tài)IP地址與內(nèi)部IP地址相對應，以節(jié)省地址空間。

2.計算機防火墻的分類和結構

2.1計算機防火墻的分類

當今時代網(wǎng)絡通信取得了飛速發(fā)展，網(wǎng)絡訪問信息基礎設施得以不斷增加，防火墻技術也在不斷發(fā)展。目前防火墻的精細分類和基礎功能都已經(jīng)趨于完善。其中內(nèi)部網(wǎng)絡防火墻技術按照不同的方式和預防側(cè)重點可分為多種類型，包括過濾防火墻、應用代理防火墻和監(jiān)控狀態(tài)防火墻，雙主機主機防火墻和主機防火墻過濾類型等等。包過濾防火墻功能應用在網(wǎng)絡層，主要是檢查每個數(shù)據(jù)包的數(shù)據(jù)流，根據(jù)數(shù)據(jù)包的源地址、目的地址和端口來判斷是否允許數(shù)據(jù)包通過。

（1）應用程序在應用程序?qū)哟矸掌鳎涮攸c是完全“切斷”網(wǎng)絡流量，每個應用程序服務編制通過特殊的代理，實現(xiàn)監(jiān)控、過濾、記錄和報告的功能流的應用程序?qū)印?/p>

（2）狀態(tài)監(jiān)視器是使用一個網(wǎng)關來實現(xiàn)網(wǎng)絡安全戰(zhàn)略的軟件引擎，收集的數(shù)據(jù)在每一層要通過網(wǎng)絡通信實現(xiàn)監(jiān)控，一旦某次訪問違反安全規(guī)則，安全報警系統(tǒng)將拒絕此次訪問，錄入系統(tǒng)警報當前網(wǎng)絡狀態(tài)。

（3）雙主機主機防火墻和主機過濾防火墻所提供的是堡壘主機相應的代理服務。雙主機主機防火墻通常是通過堡壘主機作為網(wǎng)關，網(wǎng)關防火墻軟件并運行，保證網(wǎng)絡通信，必須通過堡壘主機。防火墻和主機過濾器將連接路由器和外聯(lián)網(wǎng)，并安裝堡壘內(nèi)部，使堡壘機外部網(wǎng)只有節(jié)點，確保內(nèi)部網(wǎng)絡從未經(jīng)授權的用戶。

（4）復合防火墻，將信息包過濾和代理服務有效地結合在一起，形成新的防火墻，主機名為堡壘主機，負責提供代理服務。

2.2計算機防火墻的結構

目前計算機常用的幾種典型的防火墻系統(tǒng)通常采用以下結構：

（1）包過濾網(wǎng)關式防火墻。內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的信息過濾器，它有兩個網(wǎng)絡接口，分別連接內(nèi)部和外部網(wǎng)絡，內(nèi)部局域網(wǎng)（Local Area Network，LAN）和外部互聯(lián)網(wǎng)直接通信，并能夠完成兩個網(wǎng)卡之間的IP數(shù)據(jù)包轉(zhuǎn)發(fā)常見的路由功能，包過濾的過濾函數(shù)根據(jù)本地安全策略，確定哪些是可以通過網(wǎng)絡接口的數(shù)據(jù)包，哪些數(shù)據(jù)包將被禁止，也就是說，信息包過濾網(wǎng)關相當于一個靜態(tài)流量監(jiān)控功能的路由器。這是包過濾防火墻的基本結構，包過濾防火墻價格低廉，人氣很高，使用方便，但配置不當可能會導致防火墻網(wǎng)關機器和攻擊數(shù)據(jù)包在允許范圍內(nèi)的服務和系統(tǒng)出現(xiàn)故障，等等。

（2）雙孔式網(wǎng)關防火墻。它是一種替換式的網(wǎng)關防火墻過濾裝置，它與包過濾式網(wǎng)關防火墻都是防火墻網(wǎng)絡和內(nèi)部網(wǎng)絡之間的防護裝置。同樣有兩個網(wǎng)絡接口，連接到內(nèi)部和外部的網(wǎng)絡。不同的是，雙孔式網(wǎng)關防火墻禁止IP轉(zhuǎn)發(fā)功能，使內(nèi)部和外部網(wǎng)絡IP數(shù)據(jù)流完全阻塞，通過提供代理服務網(wǎng)關功能的實現(xiàn)。因為只有一個特定類型的協(xié)議可以請求代理服務處理，所以雙孔式網(wǎng)關防火墻意識到“默認拒絕”的安全策略，具有很高的安全性。雙孔式網(wǎng)關防火墻是一個典型的應用代理防火墻，它完全“切斷”內(nèi)部和外部的網(wǎng)絡流量，達到更高層次的安全控制，這是類型應用代理防火墻的特點類型的包過濾防火墻。

這兩個防火墻有一個共同點：都是通過防火墻與主機防火墻。如果突破防火墻主機，局域網(wǎng)絡安全防御就被攻破了o

3.計算機防火墻技術應用

對于軟件防火墻，公司經(jīng)常使用微軟IsAserVer軟件。防火墻市場使用反響是很好的，但通過狀態(tài)包過濾和鏈接，會讓企業(yè)遭受新的攻擊。信息包過濾允許保護網(wǎng)絡數(shù)據(jù)和應用程序和電路為其服務，如果狀態(tài)濾波器動態(tài)端口需要打開，與這些端口通信的數(shù)據(jù)端口最終將被關閉，需要將鏈路層安全動態(tài)信息包過濾，以保證安全性和易用性。同時通過防火墻還可以了解到其主要是記錄和報告活動。使用這個記錄和報告不僅可以簡化用戶，搜索用戶組，也可以簡化服務器，簡化網(wǎng)絡信息搜索，其通過使用接口、向?qū)?、模板和相應的管理工具可以直接為用戶提供服務?/p>

4.計算機防火墻的發(fā)展趨勢分析

未來階段的計算機系統(tǒng)有集中管理的發(fā)展趨勢，其中最常用的是分層分布式安全管理的安全體系結構，它具有以下優(yōu)點：管理結構可以降低管理成本，提高網(wǎng)絡的安全性；集中管理系統(tǒng)對傳統(tǒng)電腦的反應速度要求更高。這種類型的管理系統(tǒng)，可以提供一個良好的日志分析功能和審計功能，可以調(diào)整安全策略，合理降低網(wǎng)絡安全威脅。

5.結語

防火墻技術是網(wǎng)絡安全的關鍵，在互聯(lián)網(wǎng)的發(fā)展和內(nèi)部網(wǎng)絡中，扮演著關鍵的角色。防火墻技術的發(fā)展是網(wǎng)絡安全的重要組成部分，用戶可以根據(jù)內(nèi)部網(wǎng)絡需求建立自己的內(nèi)部計算機網(wǎng)絡防火墻系統(tǒng)，從而實現(xiàn)對經(jīng)濟的防護功能。