摘要：防火墻是目前網(wǎng)絡安全領域廣泛使用的設備，其主要目的就是限制非法流量，以保護內(nèi)部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產(chǎn)品能否成功的一個關鍵問題。

關鍵詞：計算機 防火墻 Internet 安全 技術特征

1引言

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境之中，尤以Internet網(wǎng)絡為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)。

防火墻是一種網(wǎng)絡技術，最初它被定為一個實施某些安全策略保護一個可信網(wǎng)絡，用以防止來自一個不可信的網(wǎng)絡（如Internet）的攻擊的裝置。

防火墻就是一個或多組網(wǎng)絡設備，可用來在兩個或多個網(wǎng)絡間加強訪問控制。它的實現(xiàn)有好多種方式，有的實現(xiàn)還是很復雜的，但基本原理卻很簡單?？梢园阉胂蟪梢粋€開關，一個是用來阻止輸入，另一個用來允許輸入。防火墻可以設置在不同的網(wǎng)絡之間（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、檢測）出入網(wǎng)絡的信息流，且本身也具有較強的攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

2防火墻的概述

2.1防火墻的概述

人們常在寓所之間砌起一道磚墻，一旦火災發(fā)生，它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡上，如果一個網(wǎng)絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。為安全起見，可以在該網(wǎng)絡和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全和審計的唯一關卡，它的作用與建筑的防火磚墻有類似之處，因此我們把這個屏障就叫做"防火墻"。

防火墻就是一個位于電腦和它所連接的網(wǎng)絡之間的軟件。該電腦流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。

防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。

2.2防火墻的功能

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標電腦?？梢詫⒎阑饓ε渲贸稍S多不同保護級別。

防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標電腦上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

2.2.1訪問控制功能

通過防火墻的包內(nèi)容設置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應該有一個缺省處理方法；過濾規(guī)則應易于理解，易于編輯修改；同時應具備一致性檢測機制，防止沖突。

IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。

應用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態(tài)包過濾技術等。

在應用層提供代理支持：指防火墻是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等。

在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務。允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如HTTP、POP3 。

支持網(wǎng)絡地址轉(zhuǎn)換（NAT）：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，這是一種比較安全的身份認證技術。

2.2.2防御功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。

提供內(nèi)容過濾： 是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進行控制。

防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報警等。

過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防御的DoS攻擊類型：拒絕服務攻擊（DoS）就是攻擊者過多地占用共享資源，導致服務器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發(fā)現(xiàn)危險代碼時，向服務器報警。

3網(wǎng)絡安全

3.1網(wǎng)絡安全問題

安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是："計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行。"

3.2網(wǎng)絡安全措施

網(wǎng)絡信息安全涉及方方面面的問題，是一個復雜的系統(tǒng)。一個完整的網(wǎng)絡信息安全體系至少應包括三類措施：

一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。

二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡防毒等。

三是管理措施，包括技術與社會措施。

主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。

這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。

4結(jié)束語

隨著Internet/Intranet技術的飛速發(fā)展和應用，網(wǎng)絡安全越來越引起人們的關注。如何保護企業(yè)和個人在網(wǎng)絡上的敏感信息不受侵犯己成為當前擺在人們面前的一個重大問題。

防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權用戶的訪問，阻止未經(jīng)授權用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡資源。如果使用得當，可以在很大程度上提高網(wǎng)絡安全。算機網(wǎng)絡和計算機網(wǎng)絡安全就像矛和盾，自計算機誕生之日起就彼消此長。但是沒有一種技術可以百分之百地解決網(wǎng)絡上的所有問題，防火墻雖然能對來自外部網(wǎng)絡的攻擊進行有效的保護，但對于來自網(wǎng)絡內(nèi)部的攻擊卻無能為力。

參考文獻

1.石志國等編著.計算機網(wǎng)絡安全教程. 北京：清華大學出版社，2004.2

2.楚狂等編著.網(wǎng)絡安全與防火墻技術. 北京：人民郵電出版社，2000.4

3.劉衍衍等編著.計算機安全技術.吉林：吉林科技技術出版社.1997.8

4.高永強等.網(wǎng)絡安全技術與應用. 北京：人民郵電出版社，2003.3

作者簡介：

趙昆（1983-），男，湖北襄陽人，大學本科，主要從事計算機科學與基礎的教學工作。