郭彪 李瑩軒

摘要：近年來隨著信息技術(shù)的發(fā)展，也推動了各個領(lǐng)域的發(fā)展，同時網(wǎng)路技術(shù)應(yīng)用極大的方便了用戶，為用戶搜集信息、儲存信息以及應(yīng)用信息等提供了有效途徑，與此同時網(wǎng)絡(luò)中也存在一些不法分子以及網(wǎng)絡(luò)黑客，這些網(wǎng)絡(luò)不法分子利用各種手段獲取網(wǎng)絡(luò)用戶的信息，對用戶信息安全構(gòu)成威脅，而防火墻技術(shù)的應(yīng)用極大的提高了網(wǎng)絡(luò)安全性，為用戶信息安全提供了保障。

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用

1 防火墻的概念及功能

防火墻是指隔離在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道網(wǎng)絡(luò)控制防御系統(tǒng)。它對網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸具有一定的過濾作用，對于屏蔽內(nèi)部信息結(jié)構(gòu)和運行狀況提供安全和審計的控制，從而到達保護內(nèi)部信息的目的。防火墻的實質(zhì)是一種隔離技術(shù)，其核心思想在于構(gòu)建相對的內(nèi)部網(wǎng)絡(luò)環(huán)境，并將其進行邏輯分離。防火墻的主要功能在于控制不安全的服務(wù)，過濾非法用戶，使得網(wǎng)絡(luò)內(nèi)部免受外界攻擊；對網(wǎng)絡(luò)特殊站點的訪問進行限制，禁止訪問某些主機；集中安全保護，簡化網(wǎng)絡(luò)管理，將網(wǎng)絡(luò)設(shè)置的密碼口令或其他身份證明放于防火墻更優(yōu)于訪問主機上；防火墻通過封鎖域名服務(wù)，防止網(wǎng)絡(luò)攻擊獲取有用信息；通過對所經(jīng)過的防火墻訪問進行統(tǒng)計分析，能夠更好的使用網(wǎng)絡(luò)資源；各組織機構(gòu)可以根據(jù)本單位的特殊要求配置防火墻系統(tǒng)，實現(xiàn)安全控制。

2 防火墻的技術(shù)分類

（1）包過濾型技術(shù)。包過濾模塊的工作主要集中在網(wǎng)絡(luò)層，它能準確的在傳統(tǒng)的鏈路層上通過檢查每個代碼的源地址、傳輸協(xié)議和端口信息與預先設(shè)定的安全策略匹配情況，決定是否報文通過，根據(jù)序列號和握手序列的邏輯分析進行有效判斷，能夠較為有效的抵御相關(guān)病毒的攻擊。包過濾技術(shù)能夠?qū)藴实穆酚绍浖純?nèi)置在其中，無需額外的花費，同時對于用戶和應(yīng)用是透明的，不需要用戶和密碼登錄，運行速度較快。但配置訪問的控制列表在前期比較復雜，需要網(wǎng)管對于網(wǎng)絡(luò)服務(wù)有著深入的了解。與此同時包過濾技術(shù)缺乏跟蹤記錄能力，不能從電腦的日志記錄中發(fā)現(xiàn)黑客的攻擊記錄，只能簡單的檢查地址和端口，對應(yīng)用鏈路層的協(xié)議無法防范，不能理解特定服務(wù)的上下文環(huán)境和數(shù)據(jù)。

（2）代理服務(wù)技術(shù)。代理服務(wù)是一種特殊的應(yīng)用代碼層，是在網(wǎng)管地允許下或者拒絕特定的應(yīng)用和服務(wù)的情況下，實施數(shù)據(jù)流量監(jiān)控、過濾和報告功能。代理工作原理比較簡單，用戶只要簡單的與代理服務(wù)器建立連接，然后將目的站點告知代理，對符合的請求，代理以自己的身份與目的站點建立連接，然后代理在這兩個連接中轉(zhuǎn)發(fā)數(shù)據(jù)。代理服務(wù)技術(shù)能有效的實現(xiàn)網(wǎng)絡(luò)應(yīng)用相關(guān)狀態(tài)和部分傳輸方面的有效信息，提供全面的審計和日志功能，針對每個特定應(yīng)用都有相應(yīng)的代理模塊，保證防火墻的有效安全。代理防火墻最突出的優(yōu)點即為安全，每個內(nèi)外網(wǎng)都需要特定的服務(wù)接入，由防火墻本身提交請求和應(yīng)答，不給內(nèi)外網(wǎng)絡(luò)計算機任何的會話機會，安全性極高。但代理技術(shù)速度相對較慢，用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求較高時就容易出現(xiàn)網(wǎng)絡(luò)問題，某些代理需要修改客戶軟件，對客戶帶來了極大不便。

3 防火墻技術(shù)的網(wǎng)絡(luò)運用

（1）內(nèi)部網(wǎng)絡(luò)應(yīng)用。單位的內(nèi)部網(wǎng)一般情況下是禁止所有互聯(lián)網(wǎng)用戶的訪問，如果出現(xiàn)需要聯(lián)網(wǎng)的情況，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡(luò)主機上。通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)的主機地址映射于防火墻的有效網(wǎng)關(guān)，不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和公共網(wǎng)關(guān)地址，保護內(nèi)部網(wǎng)絡(luò)的安全，同時也可以大大節(jié)省投資成本。包過濾防火墻通過設(shè)置服務(wù)器端口，只對需要這些功能的內(nèi)部網(wǎng)絡(luò)進行開放，通過分析報文數(shù)據(jù)實現(xiàn)報文過濾。因此，在內(nèi)部網(wǎng)處理器中往往采用包過濾技術(shù)防火墻，這種防火墻對于用戶是透明的，合法用戶進入網(wǎng)絡(luò)時，根本感受不到防火墻的存在，使用起來非常方便。

（2）邊界路由器的應(yīng)用。代理技術(shù)防火墻往往適用于邊界路由器的使用。單位已有邊界路由器，可充分利用之前原有的設(shè)備，利用邊界包過濾的功能，添加相應(yīng)的防火墻配置，這樣原有的路由器就具備了防火墻的功能。通過防火墻與所需的網(wǎng)絡(luò)進行連接就不再需要經(jīng)過防火墻。它可以直接經(jīng)過路由器的簡單防護，在拓撲結(jié)構(gòu)中，邊界路由與防火墻共同構(gòu)成了計算機系統(tǒng)的兩道防線，保證計算機的安全運行。其工作機制在于對待進來的信息，外部路由主要負責防范外部攻擊，只允許外部系統(tǒng)訪問防御主機，而里面的路由提供第二道防護，只接受防御主機的數(shù)據(jù)包，這樣從一定程度上保證了網(wǎng)絡(luò)始終處在一個安全的環(huán)境之中。代理技術(shù)工作能識別用戶使用的協(xié)議，因而能夠?qū)τ脩粜袨檫M行調(diào)控，在應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器和隔離域名服務(wù)器中也都有廣泛運用。

（3）網(wǎng)絡(luò)各層監(jiān)測和存儲應(yīng)用。狀態(tài)監(jiān)測防火墻在網(wǎng)絡(luò)層能夠有效的截獲數(shù)據(jù)信息，然后通過防火墻從各個應(yīng)用層中提取安全策略放到動態(tài)表里，分析與信息包后續(xù)連接的請求中作出合理和適當?shù)臎Q定，對網(wǎng)絡(luò)的各層進行安全檢測和控制。

及時發(fā)現(xiàn)安全漏洞和惡意攻擊，并將這些情況記載下來，系統(tǒng)管理員根據(jù)記錄排查漏洞，完善系統(tǒng)配置。狀態(tài)監(jiān)測防火墻自身根據(jù)這些記錄情況，能夠匹配好相應(yīng)的處理方法，進行實時的動態(tài)控制。在網(wǎng)絡(luò)層以及高層狀態(tài)地監(jiān)測中，能夠有效的對各層漏洞和入侵進行處理，使動態(tài)監(jiān)測技術(shù)得到有效地應(yīng)用并廣泛使用。因而，動態(tài)監(jiān)測技術(shù)的應(yīng)用在安全性能和攔截效率中都比較強勁。利用防火墻對網(wǎng)絡(luò)的相關(guān)信息存儲功能，防火墻能夠?qū)崟r記錄網(wǎng)絡(luò)在使用的各個階段的情況，可以作為防火墻對于網(wǎng)絡(luò)控制力度的一個有效參考，便于對數(shù)據(jù)風險進行有效分析，減少不必要的損失。

4 結(jié)論

綜上所述，防火墻技術(shù)是保證網(wǎng)絡(luò)安全的關(guān)鍵，目前防火墻已經(jīng)得到普遍應(yīng)用與推廣，同時，防火墻技術(shù)也在不斷改進和完善，以便有效應(yīng)對網(wǎng)絡(luò)攻擊者的攻擊，雖然防火墻技術(shù)有了較大的進步，但還存在一些不足，需要進一步改進和提高，為保證網(wǎng)絡(luò)安全，為用戶提供安全的信息交流環(huán)境提供可靠依據(jù)。

參考文獻

[1]鄧毅.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].科技展望，2015，21：14.

[2]高曉連.試析防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，12：8-9.