芻議防火墻技術在網絡安全中的應用

劉繼

摘 要：隨著計算機網絡化的不斷向前推進，計算機聯網使用已經是一種現象。但是在使用過程中，會發生個人信息、公司信息、內部信息和個人隱私等信息的泄露與“被盜”，各種病毒和安全因素影響到了網絡的正常使用。面對日益強大的網絡威脅，防火墻技術在網絡安全結構體系中的關鍵作用是不容忽視的，本文通過研究對防火墻技術的應用，提出了網絡安全的防護措施與對策建議。

關鍵詞：防火墻；網絡；安全；應用

中圖分類號：TP393.08

防火墻是網絡安全的關鍵技術，其主要作用是在不安全的網絡環境中構造一個相對安全的子網環境， 目前已經被證明，以防火墻為代表的被動防衛型安全保障技術是一種較有效的防止病毒入侵的措施。隨著計算機技術的發展和網絡應用的普及，人們逐漸意識到網絡安全的重要性，防火墻已經成為維護網絡安全至關重要的一種安全設備。本文通過以下幾個方面分別對防火墻技術在網絡安全中的應用進行論述。

1 相關理論概述

1.1 防火墻概念簡述。在邏輯上，防火墻是過濾器 限制器和分析器；防火墻主要由驗證工具、包過濾、服務訪問規則和應用網關等幾個部分構成，它是在各種網路之間的一種由軟件、硬件設備組合的安全網關，防火墻可以是一種硬件、固件或者軟件，保護內部網免受非法用戶的侵入。按照作用區域不同，可以分為應用層防火墻、網絡層防火墻、數據庫防火墻等類型。

1.2 網絡安全簡述。網絡安全從其本質上來講就是網絡上的信息安全，是指網絡系統不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。網絡安全是一門涉及多種學科的綜合性學科。網絡安全具有數據的完整性和保密性，承載信息的可用性和可控性，出現的安全問題的可審查性等特點。網絡系統的安全威脅主要來自黑客的攻擊、計算機病毒和拒絕服務攻擊三個方面。

1.3 防火墻的功能概述。防火墻的核心功能主要是包過濾。主體功能主要包括以下幾點。一是防火墻可以實時監控，監視網絡活動；二是防火墻根據應用程序訪問規則可對應用程序連網動作進行過濾；三是防火墻對應用程序訪問規則具有自學習功能；四是防火墻被攔阻時能通過聲音或閃爍圖標給用戶報警提示。通常情況下，網絡層防火墻和應用層防火墻共同作用并保護計算機不受外界的干擾與影響。

2 防火墻體系結構與常用應用技術分析

2.1 防火墻體系結構分析。其主要組成可以分為以下幾個方面。一是屏蔽主機防火墻體系結構。這種結構是雙宿主堡壘主機防火墻和屏蔽路由器防火墻這兩種模式的結合，這種結構既可用網絡層也可用應用來進行檢測，加大了安全性能。二是屏蔽路由器防火墻體系結構。這種結構在原有路由器上進行包過濾配置，但是被攻陷后很難被用戶發現。三是屏蔽子網防火墻體系結構。這種結構是目前被應用最廣泛的防火墻，其安全性能非常好。

2.2 防火墻在網絡安全中的應用技術分析。防火墻體技術主要分為以下幾種。一是狀態包過濾技術。這種技術是對過去包過濾技術的一種升級模式，是最近幾年才應用的新技術。過濾規則不僅決定是否接受數據包，還使數據包偽裝攻擊的機會大大減少，這種技術更安全更靈活。二是代理技術。這種技術與包過濾技術原理完全不同，它是利用代理服務器來屏蔽雙方網絡，代理服務器檢查其身份和數據安全合法后，再由代理服務器與目標服務器連接。該技術能夠解釋應用協議，能夠隱藏內網的IP地址，支持用戶認證，優化了性能。三是包過濾技術。這種技術是一門最早的防火墻技術，包過濾優點是效率高速度快，邏輯簡單，成本低；但是在使用過程中的缺點也非常明顯，比如，不能進行身份驗證、不適合于數據包過濾和不能有效過濾等問題非常多。四是NAT網絡地址轉換技術。這種技術可分為靜態NAT和動態NAT技術，是一種在數據包通過防火墻時轉換源IP地址或者目的IP地址的技術。該技術具有.實現網絡負載均衡、隱藏內部主機地址、處理網絡地址交迭等作用。五是VPN虛擬專用網技術。這種技術是一種網絡互連方式和將遠程用戶連接到網絡的方法。

3 防火墻技術在現實中的典型應用以及面臨攻擊的應對策略

3.1 防火墻技術實例應用分析。第一、局域網地址設置，防火墻將會以這個地址來區分局域網或者是INTERNET的IP來源。第二、管理權限設置，它有效地防止未授權用戶隨意改動設置、退出防火墻等。第三、入侵檢測設置，開啟此功能，當防火墻檢測到可疑的數據包時防火墻會彈出入侵檢測提示窗口，并將遠端主機IP顯示于列表中。第四、安全級別設置，其中共有低、中、高、擴展和自定義五個選項。第五、IP規劃，其是針對整個系統的網絡層數據包監控而設置的，其中有幾個重要的設置。一是防御ICMP攻擊，二是防御IGMP攻擊，三是TCP數據包監視，四是禁止互聯網上的機器使用我的共享資源，五是禁止所有人連接低端端口，五是允許已經授權程序打開的端口。

3.2 防火墻技術面臨攻擊形式與不足之處。防火墻面臨的攻擊可能存在探測攻擊和穿透攻擊。一是探測攻擊可分為防火墻類型探測、防火墻規則探測、防火墻存在性探測、防火墻后的主機探測等形式。二是穿透攻擊技術。這種攻擊主要包括協議隧道（常見的穿透防火墻隧道技術是ICMP和HTTP）、IP欺騙、報文分片等。常見的攻擊方式為IP地址的攻擊、口令字攻擊、郵件攻擊和各種形式的病毒攻擊。

3.3 防火墻技術對于攻擊的應對策略分析。一是結構透明，是指防火墻對于用戶是透明的。二是方案選擇，防火墻大致有軟件防火墻和硬件防火墻兩大類，用戶在使用過程中要根據個人的需要選擇好使用的防火墻種類。三是各種病毒的應對策略分析。對于郵件的攻擊可以采用在內網主機上采取相應阻止措施進行攔截；對于口令字的攻擊可以采用通過專用服務器端口、禁止直接登錄防火墻或者采用一次性口令的方式進行避免；對于IP地址的欺騙可以采用丟棄所有來自網絡外部但卻有內部地址的數據包的方式進行攔截；在應對各種病毒的攻擊方式方法上可以設定嚴格的安全等級同時禁止執行未經用戶允許的程序或軟件來避免。

4 防火墻技術的發展趨勢分析

防火墻技術方向分析。隨著網絡應用范圍的不斷擴展，防火墻技術的發展也呈現出新的趨勢，主要體現在以下幾個方面。一是IP的加密需求越來越強，安全協議的開發是一大熱點。二是防火墻將向遠程上網集中管理的方式發展。三是對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。四是防火墻需要向多功能化、高速智能、更安全的方向發展。五是人們選擇防火墻的標準將呈現出便捷性、高效性、操作簡單性、自主性和環境要求的隨意性與隱私性相結合的多元化方向發展。

5 結束語

信息化和網絡化是未來社會工作與生活的主要媒介，它不僅僅能夠為人們提供一個豐富多彩的世界，還能夠豐富人們的各種生活方式，但是信息化與網絡化給人們帶來的隱私公開化、個人信息大眾化、賬戶安全與工作等信息的隱憂化也在困擾著人們。在這種情況下，只有解決好在使用網絡過程中的各種憂患與存在的問題，只有將防火墻技術的研發與應用穩步推進，才能更好的將信息化和網絡化社會發展步入到正規的渠道，并得到更多人的認可。

參考文獻：

[1]王秀翠，王彬.防火墻技術在計算機網絡安全中的應用[J].軟件導刊，2011（05）.

[2]李淑紅.計算機網絡安全與防火墻技術研究[J].才智，2011（28）.

[3]張紅艷.淺析在維護計算機網絡安全中所采用的技術[J].新課程（教育學術），2011（06）.

作者單位：貴陽護理職業學院，貴陽 550081