計算機網絡防火墻技術淺析

【摘要】隨著計算機網絡技術的迅速發展，網絡資源的共享變得越來越頻繁，然而帶來的網絡安全問題也隨之日益突出。本文介紹了防火墻技術的概念和功能，并對防火墻技術分類及其優缺點進行了闡述。

【關鍵詞】計算機網絡；防火墻技術

一、計算機網絡防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。而計算機網絡防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合，是在被保護網絡和外部網絡之間的一道屏障。在邏輯上，計算機網絡防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網絡和互聯網之間的任何活動，保證了內部網絡的安全。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內部網絡的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息的目的。

二、防火墻的功能

（1）入侵檢測功能。主要包括反端口掃描、檢測拒絕服務攻擊、檢測緩沖區溢出攻擊、檢測CGI/IIS服務器入侵、檢測木馬及其網絡蠕蟲攻擊等多項功能。（2）強化網絡安全策略。防火墻能夠實現集中安全管理，可以將所有安全軟件配置在防火墻上，而不是分布在內部網絡的所有主機上。（3）網絡地址轉換。網絡地址變換是將內部網絡或外部網絡的IP地址轉換，可分為源地址轉換Source NAT（SNAT）和目的地址轉換Destination NAT（DNAT）。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏起內部網絡的結構，避免受到來自外部其他網絡的非授權訪問或惡意攻擊。并將有限的IP地址動態或靜態的與內部IP地址對應起來，用來緩解地址空間的短缺問題，節省資源，降低成本。DNAT主要用于外網主機訪問內網主機。（4）網絡操作的審計監控。要求對使用身份標識和認證的機制，文件的創建，修改，系統管理的所有操作以及其他有關安全事件進行記錄，提供有關網絡使用情況的統計數據，以便系統管理員進行安全跟蹤。一般防火墻設備可以提供三種日志審計功能：系統管理日志、流量日志和入侵日志。當網絡受到掃描或攻擊等可疑活動時，防火墻能進行報警，并提供詳細信息。

三、防火墻技術的分類及其優缺點

1．包過濾防火墻技術。它依據系統內事先設定的過濾邏輯，通過設備對進出網絡的數據流進行有選擇的控制與操作。數據包過濾技術作為防火墻的應用有三種；第一種是路由設備在完成路由選擇和數據轉發的同時進行包過濾；第二種是在工作站上使用軟件進行包過濾；第三種是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能。目前較常用的方式是第一種。包過濾作用在網絡層和傳輸層，以IP包信息為基礎，對通過防火墻的IP包的源，目的地址，TCP/UDP的端口標識符及ICMP等進行檢查。包過濾防火墻技術具有以下優缺點。優點：包過濾技術不用改動客戶機和主機上的應用程序；單獨的，放置恰當的數據包過濾路由器有助于整個網絡；數據包過濾技術對用戶沒有特別的要求；大多數路由器都具有數據包過濾功能。缺點：在過濾過程中判別的只有網絡層和傳輸層的有限信息；在許多過濾器中，過濾規則的數目是有限制的，隨著規則數目的增加，設備性能會受到很大影響，導致數據包過濾器使用戶難以使用需要的規則；當前的過濾工具并不完善，或多或少的存在一些局限性；由于缺少上下文關聯信息，數據包過濾路由器不能有效地過濾諸如UDP，RPC，FTP一類的協議；數據包過濾技術對安全管理人員素質要求較高。

2．應用代理防火墻技術。應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現安全策略。代理技術與包過濾技術完全不同，包過濾技術在網絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。應用級代理防火墻技術具有以下優缺點：優點主要體現在以下幾點：代理能生成各項記錄；代理易于配置；代理能靈活，完全地控制進出流量，內容。通過采取一定措施，按照一定的規則，用戶可以借助代理實現一整套的安全策略；代理能過濾數據內容；代理可以方便地與其他安全手段集成。缺點主要體現在以下幾點：代理對用戶不透明，多代理要求客戶端做相應改動或安裝定制客戶端軟件，這給用戶增加了不透明度；代理速度比路由器慢；對于每項服務代理可能要求不同的服務器；除了一些為代理而設的服務，代理服務器要求對客戶或過程進行限制；代理服務器不能保證免受所有協議弱點的限制；代理不能改進底層協議的安全性。

參考文獻

[1]魏利華．防火墻技術及其性能研究[J]．能源研究與信息．2004

[2]王衛平，陳文惠，朱衛未．防火墻技術分析[J]．信息安全與通信保密．2006

[3]許侃．計算機網絡防火墻的應用[J]．電腦知識與技術．2010

[4]林國慶．淺析計算機網絡安全與防火墻技術[J]．恩施職業技術學院學報．2007