王譯浠

湖南省師范大學附屬中學

淺談網(wǎng)絡防火墻的應用

王譯浠

湖南省師范大學附屬中學

隨著現(xiàn)代計算機技術的高速發(fā)展，計算機及計算機網(wǎng)絡為人們的生活提供便利的同時，計算機網(wǎng)絡安全問題越來越受到人們的重視。防火墻技術作為解決計算機安全問題的一項重要應用，在網(wǎng)絡安全防護方面起到特別關鍵的作用，通過網(wǎng)絡防火墻的配置，可以有效攔截外部非法用戶的入侵，將網(wǎng)絡威脅阻擋到本地網(wǎng)絡之外。本文將通過研究計算機網(wǎng)絡安全與防火墻技術，論述網(wǎng)絡防火墻安全技術的功能，主要技術，配置，安全措施和防火墻設計思路等內(nèi)容。

計算機 網(wǎng)絡 安全 防火墻

計算機信息技術的高速發(fā)展已經(jīng)把人們的生活帶入信息時代。計算機技術和網(wǎng)絡技術深入到社會的各個領域，通過網(wǎng)絡將全世界聯(lián)系到一起。近年來隨著網(wǎng)絡技術的飛速發(fā)展，人們對于網(wǎng)絡的依賴程度越來越大，日常生活已經(jīng)無法離開網(wǎng)絡。然而，凡事“有利必有一弊”，人們在受益于網(wǎng)絡技術帶來便捷的同時，也會面臨網(wǎng)絡安全問題的嚴峻考驗。網(wǎng)絡“黑客”通過非法手段對他人計算機帶來的侵害事件頻繁發(fā)生，因此做好個人計算機和網(wǎng)絡安全的防護越來越受到人們的重視，而防火墻技術則是我們做好網(wǎng)絡安全防護的重要手段。

1 什么是網(wǎng)絡防火墻

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。顧名思義，網(wǎng)絡防火墻就相當于實際生活中墻的作用。實際生活中的房屋、學校、工廠都會使用到墻，通過墻把私有區(qū)域與外界進行分隔，非授權用戶不能進入到私有房屋、學校、工廠中來，防止外來不法分子對私有區(qū)域進行破壞，造成私有區(qū)域的安全隱患。在網(wǎng)絡中的防火墻，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如因特網(wǎng)）分開的方法，它實際上是一種隔離技術。防火墻介于內(nèi)部網(wǎng)絡與公共網(wǎng)絡之間，將內(nèi)部網(wǎng)和公共網(wǎng)絡分開，經(jīng)防火墻“同意”的人和數(shù)據(jù)才能進入內(nèi)部網(wǎng)，將防火墻“不同意”的人和數(shù)據(jù)拒之防火墻之外，最大限度地阻止網(wǎng)絡中的非法用戶來訪問內(nèi)部網(wǎng)絡。同時通過防火墻也可以控制內(nèi)部網(wǎng)絡的用戶訪問外部網(wǎng)絡，內(nèi)部網(wǎng)絡用戶只有通過防火墻的認證才可以進入公共網(wǎng)絡與公共網(wǎng)絡上的用戶進行通信，有效的起到將內(nèi)網(wǎng)與外網(wǎng)分別管理的作用。

2 網(wǎng)絡防火墻原理

網(wǎng)絡防火墻的工作原理就是對不同的用戶或者不同的數(shù)據(jù)包進行合理區(qū)分并進行授權。經(jīng)過防火墻授權的可信用戶或者數(shù)據(jù)包才可以進入內(nèi)部網(wǎng)絡或者個人計算機，非授權用戶或者數(shù)據(jù)包則不能進入內(nèi)部網(wǎng)絡，將非授權的用戶或者數(shù)據(jù)包攔截在網(wǎng)絡防火墻之外。就好像我們在生活中只會歡迎我們熟悉的人或者經(jīng)我們同意的人才能進入我們的房間，網(wǎng)絡防火墻就是起到這種辨別作用，辨別哪些用戶或者數(shù)據(jù)包能夠進入我們的內(nèi)部網(wǎng)絡。同時網(wǎng)絡防火墻也可以對內(nèi)部網(wǎng)絡不同的區(qū)域進行劃分，對不同區(qū)域?qū)Σ煌脩暨M行開放，起到分區(qū)域攔截作用。

3 網(wǎng)絡防火墻設置

網(wǎng)絡防火墻通常有三個接口，分別連接到我們劃分的三個網(wǎng)絡。一是內(nèi)部區(qū)域即內(nèi)網(wǎng)，內(nèi)部區(qū)域通常就是指局域網(wǎng)內(nèi)部網(wǎng)絡或者是局域網(wǎng)內(nèi)部網(wǎng)絡的一部分。它是互連網(wǎng)絡中的可信任區(qū)域，即受到了防火墻的保護。二是外部區(qū)域即外網(wǎng)，外部區(qū)域訪問內(nèi)部區(qū)域的主機和服務，通過防火墻，就可以實現(xiàn)有限的訪問。三是非軍事化區(qū)（DMZ），非軍事劃區(qū)是一個或者多個隔離的網(wǎng)絡。位于非軍事化區(qū)中的主機或服務器被稱為為堡壘主機。一般在非軍事化區(qū)內(nèi)可以放置Web服務器，Mail服務器等。非軍事化區(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問我們設置的公開信息，但卻不允許他們訪問內(nèi)部網(wǎng)絡。通過這種設置方式既可以保護內(nèi)網(wǎng)中的私有信息不受外部非法用戶的攻擊，又可以不影響外部用戶對非軍事化區(qū)內(nèi)信息或服務的訪問，有效的對不同的內(nèi)容進行分類分級設置。在防火墻的設置中，可以通過訪問權限的設置基于IP地址或者MAC地址對用戶的訪問權限進行設置，限定特定范圍IP地址或者MAC地址可以進行內(nèi)網(wǎng)訪問，限制范圍外的IP地址或者MAC地址的權限，對內(nèi)部網(wǎng)絡進行保護。

4 網(wǎng)絡防火墻的使用技巧

在我們進行網(wǎng)絡防火墻配置時時往往只有一個網(wǎng)絡防火墻管理員，如果當內(nèi)網(wǎng)用戶增加或者臨時變更訪問權限時恰巧遇到這個網(wǎng)絡防火墻管理員因為一些特殊原因不能及時對防火墻進行配置變更，這樣就會影響到網(wǎng)絡使用效率，因此我們可以指定多個區(qū)域防火墻管理員，這樣就會對主管理員的工作進行一定補充。另外我們要根據(jù)不同環(huán)境的需要及時進行網(wǎng)絡防火墻配置的更改，例如在一個網(wǎng)絡中需要臨時對打印機進行共享，這樣就需要暫時把防火墻設置成允許這臺連接打印機的計算機對局域網(wǎng)內(nèi)開放，當不需要進行打印機共享時要及時恢復原防火墻設置，保證網(wǎng)絡的因時而需。

隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡安全問題已經(jīng)顯得越來越重要，網(wǎng)絡病毒對社會和個人的危害越來越大，病毒防范技術也相應的發(fā)展到了網(wǎng)絡層面，網(wǎng)絡防火墻的應用越來越受到人們的重視。防火墻目的在于為用戶提供信息的保密，認證和完整性防護機制，使內(nèi)部網(wǎng)絡區(qū)域中的系統(tǒng)和數(shù)據(jù)不受外部非法用戶的侵擾和破壞。希望通過本文可以使我們對網(wǎng)絡防火墻有個更加深刻的印象，保護我們的計算機網(wǎng)絡信息安全。

[1]顧巧論,高鐵紅,賈春福.計算機網(wǎng)絡安全清華大學出版社,2008

[2]寧紅.計算機安全技術.中國鐵道出版社,2009

[3]李軍,防火墻上臺階,信息網(wǎng)絡安全,2004

[4]老聃,安全網(wǎng)關—網(wǎng)絡邊界防護的利器,信息安全與通信保密,2004