劉晶

[摘要]在社會經(jīng)濟不斷發(fā)展的前提下，信息技術(shù)獲得了前所未有的發(fā)展環(huán)境，計算機網(wǎng)絡(luò)達(dá)到了很大的普及率，幾乎涉及到人們生活的方方面面，這也就隨之帶來了很多的安全隱患，尤其是黑客的入侵，嚴(yán)重威脅但網(wǎng)民的財產(chǎn)及其隱私安全，給計算機安全帶來很大的影響。這就使得網(wǎng)絡(luò)防火墻的研究與應(yīng)用必須更先進，更有效。本文就是闡述防火墻的技術(shù)分類，研究防火墻的優(yōu)勢與缺點，給防火墻的研究帶來新的能量。

[關(guān)鍵詞]計算機網(wǎng)絡(luò) 防火墻 研究和應(yīng)用

計算機技術(shù)的不斷發(fā)展，給我們帶來了前所未有的便捷，也帶來了改革發(fā)展的新力量，尤其是計算機在這些年的發(fā)展程度，在全世界范圍內(nèi)都得到了普及。在計算機應(yīng)用上，網(wǎng)絡(luò)資源和計算機技術(shù)的結(jié)合對我們生活造成了很大的變化。但是，在網(wǎng)絡(luò)技術(shù)的推動下我們的生活節(jié)奏加快的同時，也增加了我們以前所沒遇到的很多問題，包括對網(wǎng)絡(luò)資源的保護，以及個人信息的保障。這就讓我們對于網(wǎng)絡(luò)環(huán)境的凈化開始逐漸重視起來，在網(wǎng)絡(luò)資源沒有防護或者只是一部分防護的情況下，黑客的存在經(jīng)常會造成我們信息和資源的丟失，所以我們必須加強網(wǎng)絡(luò)防火墻的建設(shè)力度必不可少。

一、網(wǎng)絡(luò)防火墻技術(shù)的分類

防火墻技術(shù)是我們使用網(wǎng)絡(luò)性的防護設(shè)備，起到一個保護資源的作用。但是卻只能抵擋外部的侵入而不能有效的抵擋內(nèi)部的損傷的手段。但是隨著現(xiàn)代技術(shù)的發(fā)展，現(xiàn)代化的防火墻已經(jīng)具有一定的內(nèi)外皆備的特點，但是防火墻的作用依然是只能過濾掉自己認(rèn)為不安全的信息，不能夠達(dá)到所有信息都檢索的缺點，所以我們需要建立更高程度的防火墻，就得先從可以過濾所有數(shù)據(jù)的能力著手，這也是我們現(xiàn)在需要大力發(fā)展的方向。下面是兩種我們最常見的兩種防火墻：

（一）包過濾性防火墻技術(shù)

包過濾性防火墻的技術(shù)的工作原理是建立在OSI網(wǎng)絡(luò)參考模型中的網(wǎng)絡(luò)層面和傳輸層面之中，這種防火墻技術(shù)是根據(jù)不同數(shù)據(jù)的源頭地址和終端口的數(shù)據(jù)安全性之來自行判斷是否可以通過防火墻的技術(shù)，只有符合條件的資源才可以傳輸過來，不符合義上安全條件的都被擋在外部，不能自行進入。

（二）應(yīng)用代理型防火墻

應(yīng)用代理型防火墻技術(shù)的原理是建立在OSl網(wǎng)絡(luò)層面的頂層，也就是我們說的應(yīng)用層面，最顯著的特點就是全部阻截網(wǎng)絡(luò)通信留的數(shù)據(jù)，通過對所有應(yīng)用貼上專門的編制代理程序，達(dá)到一種監(jiān)督的作用。除了這兩種技術(shù)以外，還有很多的防火墻技術(shù)，具有突出特點的就是邊界防火墻和混合式防火墻技術(shù)等。

二、防火墻的工作原理

（一）包過濾性防火墻的工作原理

包過濾性防火墻的工作原理就是對許多規(guī)則作出一種組合形式，之后再讓用戶進行選擇和設(shè)置自己想要過濾掉的資源以及留下資源的程度。但是這也需要經(jīng)驗老到的防火墻技術(shù)人員對防火墻進行操作以及對當(dāng)前最新的被攻擊資源進行集中，然后再進行加載信息。比如信息的名稱、說明和協(xié)議等，包括著所有數(shù)據(jù)包進出防火墻的方法。對于IP包過濾性防火墻技術(shù)的工作原理就是根據(jù)IP數(shù)據(jù)包的各種信息，對其進行相應(yīng)的過濾，如果這種IP包是攜帶著封裝的TCP或者是ICMP協(xié)議一起進入防火墻的，就需要對這種情況進行特殊處理，不能讓之隨意出入。應(yīng)用層面的協(xié)議主要是RPC應(yīng)用服務(wù)的過濾以及FTP過濾等，主要的工作過程就是，防火墻可以在不同文件的組成上面，判斷出該文件的初發(fā)地址、目的地址以及文件的保存時間和特點，然后再根據(jù)這些信息對其進行最后的檢測和掃描，確認(rèn)該文件的安全性以及可使用性。

（二）應(yīng)用代理型網(wǎng)絡(luò)防火墻的原理

應(yīng)用代理型防火墻，顧名思義是在應(yīng)用層面提供代理服務(wù)的一種防護手段。代理服務(wù)是在接收到用戶的連接請求是，向代理服務(wù)器發(fā)出與請求有關(guān)的代理訴求，之后在這樣的情況下，代理服務(wù)器根據(jù)服務(wù)器的要求，對用戶的請求做出一個回答。為了能夠更好的確定鏈接中的效率，在進行工作的時候需要維護代理服務(wù)器的數(shù)據(jù)信息和連接表，代理服務(wù)器還在一定情況下維護一個擴展代理字段的集合，達(dá)到一種更好的提供代理授權(quán)的效果。

三、兩種防火墻的優(yōu)點和缺點

（一）包過濾性防火墻

優(yōu)點：操作簡單。包過濾性防火墻可以通過一個過濾路由器就可以對整個網(wǎng)絡(luò)系統(tǒng)完成保護作用，數(shù)據(jù)包在過濾的過程當(dāng)中完全對用戶透明，保證了用戶的安全性，而且這種方式的工作效率比較高，過濾速度相當(dāng)快，可以很大程度上解決用戶的速度需要。

缺點：不能徹底的防御因為地址欺騙的問題，內(nèi)有一個只能的識別黑客的攻擊，完全不支持應(yīng)用層面的協(xié)議。

（二）應(yīng)用代理型防火墻

優(yōu)點：代理型防火墻最大的優(yōu)點就是網(wǎng)關(guān)可以直接隔開內(nèi)網(wǎng)和外網(wǎng)的聯(lián)系，用戶對外網(wǎng)進行使用的時候自動轉(zhuǎn)換成防火墻對外網(wǎng)的訪問，然后防火墻自動判定之后再轉(zhuǎn)給用戶，使得安全性大大的提高。而且代理型防火墻所有的通信數(shù)據(jù)都是通過應(yīng)用層的代理軟件完成防護，用用不可以直接和服務(wù)器建立連接，對于數(shù)據(jù)包的檢測性非常好。

缺點：代理型防火墻因為其工作性質(zhì)，導(dǎo)致速度比較慢，對于用戶是完全屏蔽的，對不同的需要需要用不同的服務(wù)器來完成，適應(yīng)能力比較弱。

四、防火墻的研究開發(fā)

在防火墻的研究與開發(fā)中，需要對數(shù)據(jù)層安裝一定程度的監(jiān)聽功能以及讀卡能力，著重研究對于上層數(shù)據(jù)進行物理幀的拆封和密封，保證數(shù)據(jù)的安全性。對于有時候會出現(xiàn)很極端的情況，防火墻需要修改IP地址的報頭才能解決問題，這對于IP層的處理來說是非常復(fù)雜的一個環(huán)節(jié)，而且需要進行大量的安全性工作，所以一般情況下是不可以使用修改IP報頭的方法，只能是包過濾性防火墻和ICMP的相關(guān)功能結(jié)合。隨著技術(shù)的不斷發(fā)展，包過濾性防火墻必須室友路由器的支持才能完成，而現(xiàn)在的IP層面遇到的對打的問題是IP地址的騙術(shù)，并且在許多的上層結(jié)構(gòu)存在著相當(dāng)多的IP地址欺騙問題，這就需要我們進一步來研發(fā)更準(zhǔn)確更方便的防火墻來解決問題，讓我們能夠減少網(wǎng)絡(luò)的安全隱患。

五、小結(jié)

隨著計算機的普及度提升，我們對于計算機的依賴不斷的增加，這也是推動網(wǎng)絡(luò)防火墻更準(zhǔn)確更有效控制網(wǎng)絡(luò)問題的動力，讓我們能更有安全的環(huán)境下進行計算機的操作。