導(dǎo)語：防火墻技術(shù)在網(wǎng)絡(luò)安全的運用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0前言

所謂網(wǎng)絡(luò)安全，實質(zhì)上也就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全所涉及的領(lǐng)域是非常廣泛的，但是在當前許多的公用通信網(wǎng)絡(luò)中，都存在著各種各樣的安全漏洞和威脅，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種各樣的網(wǎng)絡(luò)安全技術(shù)也相應(yīng)的出現(xiàn)了，比如說身份驗證、訪問授權(quán)、加密解密技術(shù)、防火墻技術(shù)等等，雖然出現(xiàn)了許許多多的新的網(wǎng)絡(luò)安全技術(shù)，但是在眾多的網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)的應(yīng)用仍然最為廣泛。防火墻實質(zhì)上是一個系統(tǒng)，該系統(tǒng)位于兩個網(wǎng)絡(luò)之間，并且負責執(zhí)行控制策略，通過防火墻，可以使得內(nèi)部網(wǎng)絡(luò)與Internet或者其它的外部網(wǎng)絡(luò)相互隔離，從而有效的保護內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻，主要可以實現(xiàn)對于不安全服務(wù)和非法用戶的過濾，同時還能夠有效的控制對站點的訪問，時刻監(jiān)視Internet安全，一旦出現(xiàn)安全風險，防火墻還可以起到及時預(yù)警的作用。

1防火墻技術(shù)概述

所謂的防火墻，指的是設(shè)置在兩個或者多個不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一出入口，所有的網(wǎng)絡(luò)信息要想進入內(nèi)部網(wǎng)絡(luò)，必須要通過這一個出入口，因此防火墻成為了一個提供信息安全服務(wù)和實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，同時防火墻技術(shù)也成為了目前人們公認的最有效的網(wǎng)絡(luò)安全保護手段。防火墻可以對訪問權(quán)限進行有效的控制，從而實現(xiàn)對涉及用戶的操作進行審查和過濾，從而有效的降低計算機網(wǎng)絡(luò)安全風險。

1.1計算機防火墻技術(shù)

防火墻技術(shù)之所以能夠?qū)崿F(xiàn)對計算機網(wǎng)絡(luò)的保護，主要就是因為防火墻可以將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行分離，正是因為防火墻有著很強的隔離性，所以才使得防火墻技術(shù)在計算機網(wǎng)絡(luò)安全領(lǐng)域中被廣泛的加以運用。一般在對防火墻進行使用的過程中，所依靠的都是包的外源地址和數(shù)據(jù)包協(xié)議，通過它們來對防火墻進行設(shè)置，從而實現(xiàn)有效的隔離。除此之外，防火墻的實現(xiàn)還可以通過服務(wù)器的軟件，但是這種方式在實際應(yīng)用中較為少見。在防火墻技術(shù)出現(xiàn)之初，它的功能僅僅局限于對主機的限制和對網(wǎng)絡(luò)訪問控制加以規(guī)范，但經(jīng)過多年的發(fā)展，防火墻的功能也進一步的得到了完善，當前，防火墻已經(jīng)可以完成解密和加密等功能，除此之外，還能夠?qū)崿F(xiàn)對文件的壓縮和解壓，從而使得計算機網(wǎng)絡(luò)安全得到了有效的保證。

1.2防火墻的主要功能

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，防火墻的功能已經(jīng)變得十分豐富，其功能主要有以下幾個方面：第一，防火墻可以對本機的數(shù)據(jù)進行有效的篩選和過濾，通過對信息的篩選和過濾，可以有效的避免非法信息以及各種網(wǎng)絡(luò)病毒的攻擊和入侵，從而保證計算機信息的安全；第二，防火墻還可以對網(wǎng)絡(luò)中一些特殊的站點進行較為嚴格的規(guī)范，因為在這些站點中往往存在著可以對計算機網(wǎng)絡(luò)安全進行破壞的一些病毒文件，所以通過對這些站點的規(guī)范，可以有效避免人們因為無意操作而給計算機網(wǎng)絡(luò)帶來的風險；第三，防火墻還能夠較為徹底的對一些不安全訪問進行攔截，外部人員如果想進入內(nèi)部網(wǎng)絡(luò)，必須先要經(jīng)過防火墻的審查，只有審查合格，防火墻才會允許進入，但是在防火墻的審查過程中，是有著非常多的環(huán)節(jié)的，如果任何一個環(huán)節(jié)的審查出現(xiàn)了問題，該訪問將會被防火墻過濾，從而有效的減少了網(wǎng)絡(luò)安全問題的出現(xiàn)；第四，防火墻還可以對網(wǎng)絡(luò)運行中所產(chǎn)生的各種信息數(shù)據(jù)加以保護，如果防火墻發(fā)現(xiàn)了網(wǎng)絡(luò)中出現(xiàn)有威脅網(wǎng)絡(luò)安全的非法活動，防火墻將于第一時間發(fā)出警報，并且采取相應(yīng)的措施來對其進行處理，有效的避免網(wǎng)絡(luò)安全風險。

2防火墻的常用技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

2.1數(shù)據(jù)包過濾技術(shù)及其應(yīng)用

數(shù)據(jù)包過濾技術(shù)主要分為組過濾和包過濾兩種，數(shù)據(jù)包過濾技術(shù)是一種較為通用的防火墻技術(shù)，并且它也較為廉價和有效。數(shù)據(jù)包過濾技術(shù)主要是在計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)層和傳輸層發(fā)揮作用。它可以通過對分組包的源、宿地址、端口號機協(xié)議類型和標志確定是否允許其通過。而該技術(shù)所依據(jù)的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優(yōu)點就在于其對于用戶來說是完全透明的，處理速度也非常的快，而且十分易于維護，因此在使用的過程中較為方便，通常包過濾都是被作為網(wǎng)絡(luò)安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的，所以我們也就不能夠看到入侵者的攻擊記錄，而且隨著計算機技術(shù)的不斷發(fā)展，攻破一個單純的包過濾式防火墻對于現(xiàn)代的黑客來說也較為簡單。當前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻，所以為了進一步的提升網(wǎng)絡(luò)的安全性，現(xiàn)在已經(jīng)將包過濾技術(shù)作為網(wǎng)絡(luò)安全的第一道防線，而進一步發(fā)展起來了技術(shù)。

2.2服務(wù)技術(shù)及其應(yīng)用

服務(wù)技術(shù)是在數(shù)據(jù)包過濾技術(shù)之后發(fā)展起來的，但現(xiàn)在服務(wù)技術(shù)已經(jīng)成為了防火墻技術(shù)中使用頻率較高的一種技術(shù)，而且服務(wù)技術(shù)也擁有非常高的安全性能。服務(wù)軟件往往是運行在一臺主機上的，通過在這一臺主機上的運行來構(gòu)成服務(wù)器，并且負責對客戶的請求進行截獲，然后再依據(jù)它的安全規(guī)則來決定該請求是否可以得到允許。如果得到了服務(wù)器的允許，該請求才能夠被進一步的傳遞給真正的防火墻。一般而言，服務(wù)器是外部可以見到的唯一的防火墻實體，所以說服務(wù)器對于內(nèi)部用戶而言是完全透明的。除此之外，服務(wù)器還可以對協(xié)議特定的訪問規(guī)則進行應(yīng)用，從而來執(zhí)行基于用戶身份和報文分組內(nèi)容的訪問控制。這種防火墻技術(shù)可以對網(wǎng)絡(luò)信息的交換進行完全的控制，并且還可以記錄整個會話的過程，有著很高的靈活性和安全性。但是服務(wù)技術(shù)也有著自身的缺陷，那就是有可能會對網(wǎng)絡(luò)的性能造成一定的影響，而且對于每一個服務(wù)器都要進行一次模塊的設(shè)計，并且建立起相應(yīng)的網(wǎng)關(guān)層，所以其實現(xiàn)往往較為復(fù)雜。

2.3狀態(tài)監(jiān)測技術(shù)及其應(yīng)用

狀態(tài)檢測技術(shù)是一種在網(wǎng)絡(luò)層來實現(xiàn)防火墻功能的技術(shù)，狀態(tài)監(jiān)測技術(shù)所使用的是在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊，這個模塊被稱為監(jiān)測引擎。監(jiān)測引擎不同于服務(wù)器，不會對網(wǎng)絡(luò)的正常運行造成任何影響。并且監(jiān)測引擎還可以采用抽取有關(guān)數(shù)據(jù)的方法來對網(wǎng)絡(luò)通信的各層進行檢測，抽取相應(yīng)的狀態(tài)信息，然后動態(tài)的加以保存并將其作為以后執(zhí)行安全策略的一個參考。除此之外，監(jiān)測引擎還可以支持多種協(xié)議及應(yīng)用程序，還可以有效的實現(xiàn)應(yīng)用和服務(wù)的擴充。相比于之前的兩種防火墻技術(shù)而言，狀態(tài)監(jiān)測技術(shù)可以更好地對用戶的訪問請求進行處理，因為狀態(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)來進行分析，然后再通過對網(wǎng)絡(luò)配置和相應(yīng)的安全規(guī)定的結(jié)合，來做出相應(yīng)的接納、拒絕、身份認證、報警或者給該通信加密等一系列的處理動作。

作者:李慧清 單位:內(nèi)蒙古化工職業(yè)學院

引用：

[1]趙俊.淺談計算機防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學院學報：綜合版，2012.

[2]胡勁松.防火墻技術(shù)與網(wǎng)絡(luò)安全探討[J].湖北第二師范學院學報，2013.

[3]陳家遷.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2011.