計算機網絡安全中的防火墻技術應用研究

馬駿

【關鍵詞】計算機安全 防火墻技術 網絡安全 新型

隨著科學技術的進步和社會的發展，計算機技術已經滲透到各個行業和人們的日常生活中。然而，在計算機普及的同時，人們面臨著巨大的網絡安全問題的挑戰。防火墻技術能夠有效避免網絡安全中的各種侵犯，保障網絡信息安全。

1 防火墻技術的分類

根據防火墻的保護原理和工作機制，可以把防火墻大致分為如下兩類：分組過濾型、代理服務型。不同的防火墻類型具有不同的防護性能。

1.1 分級過濾型

分級過濾型防火墻也叫做包過濾路由器。在轉發分組時，需要在網絡層檢查分組中的一些內容。分級過濾型防火墻的基本原理為：依據一定的網絡安全策略，制定相應的分組過濾規則。在轉發分組時，依據規則對分組進行過濾檢查。其中，過濾檢查的主要內容為IP地址、TCP/UDP端口號和協議狀態等。

分組過濾有一定的規則，而不同的規則要有序排列，依次進行。分級過濾型防火墻具有過濾速度快、效率高的優點。除此之外，對于整個網絡，僅使用一個過濾路由器即可。當然，分級過濾型防火墻具有難以克服的缺點，即對過濾的地址沒有絕對的監控能力。同時，有些安全策略不完全可用，對某些數據包無法監測。因此，分級過濾型防火墻難以高效防范外界的網絡安全攻擊。

1.2 應用代理型防火墻

1.2.1 應用級網關

不同的用戶對網絡服務的要求不同，其選擇的應用代理型防火墻的隔離作用不同，因而應用代理型防火墻的安全策略也不盡相同。應用代理型防火墻的代理服務本質上為程序，運行在防火墻主機上。而應用代理型防火墻本身相當于一個隔離點，位于計算機網絡中的內部網與外部網之間，可以有效地檢查內部網與外部網之間的流通信息。不僅如此，應用代理型防火墻自身還有處理信息的作用，當在內部網與外部網之間發現不良信息時，可以對其進行有效地隔離，使其不能在內部網與外部網之間進行流通。

1.2.2 電路級網關

電路級網關具有很好的靈活性和透明性。其工作原理是通過修改的客戶端來工作，把TCP連接從可信任網絡中繼到非信任網絡。

分級過濾型防火墻的安全策略不能監測所有的數據包，而應用代理型防火墻能夠完全阻斷內部網與外部網之間的直接通信。當內部網訪問外部網時，需要先訪問分級過濾型防火墻，再對防火墻對外部網進行直接訪問。同理，當外部網需要訪問內部網時，也必須通過防火墻來進行間接訪問。同時，應用級網關可以對應用層、傳輸層和網絡層的協議進行檢查。

2 新型防火墻技術

如前所述，分組過濾型防火墻和代理服務型防火墻都有一定的缺陷和優點。迫于當前計算機技術的高速發展和對網絡安全的苛刻要求，在整合里分組過濾型、代理服務型防火墻的優缺點，形成了新型的防火墻技術：狀態檢測型防火墻。狀態檢測型防火墻被稱為第三代防火墻技術。狀態檢測防火墻在包過濾功能上進行改進，采用狀態檢測包過濾的技術進行工作。

TCP/IP協議的最底層是數據鏈路層。數據鏈路層可以對IP或者AEP的數據進行物理幀的封裝與拆封。除此之外，數據鏈路層還具有其它功能，如：硬件尋址、管理等等，在狀態檢測型防火墻中，數據鏈路層增加了一些其它功能，如：監視數據。記錄硬件地址和讀寫網卡等。這些功能優化了防火墻的作用。

IP層處在數據鏈路層的上層，可以進行分組傳輸和路由選擇，處理各種網絡安全工作，提供安全機制。而在新型的狀態檢測防火墻中，采用包過濾技術等來進行網絡安全工作。

ICMP在狀態檢測防火墻中主要承擔隱藏子網內主機信息的作用，同時，也可以進行部分控制。

總的來說，狀態檢測防火墻克服了分組過濾型、代理服務型防火墻的一些缺點，改進了一些功能，在其核心部位建立了狀態連接表，根據狀態連接表實現對會話的跟蹤。不僅如此，狀態檢測還依據了會話狀態的符合情況來檢查數據包，對傳輸層具有完全的控制能力。

3 結束語

作為網絡信息傳輸過程中的安全衛士，防火墻是連接內部網絡與外部網絡的中轉站。為了有效地應對網絡信息攻擊，切實維護網絡安全，必須不斷地改進防火墻技術，以克服防火墻已有的弊端，應對新形勢下的網絡安全。狀態檢測型防火墻雖然在一定程度上優于分組過濾型、代理服務型防火墻。但是考慮到狀態檢測型防火墻依然存在一些問題，如在IP層，狀態檢測型防火墻舍棄了修改IP報頭和增加安全機制的方法，而使用包過濾技術來提供安全機制。狀態檢測型防火墻忽略了前者在方法處理上的優點。因此，在使用新型防火墻技術的同時，不能忽略對其的優化發展。

參考文獻

[1]劉璇.互聯網通訊網絡安全防護[J].煤炭技術，2011（06）.

[2]占科.計算機網絡防火墻技術淺析[J].企業導報，2011（11）.

[3]張俊偉.計算機網絡安全問題分析[J].包頭職業技術學院學報，2012，（4）：25.

[4]姜可.淺談防火墻技術在計算機網絡信息安全中的應用及研究[J].計算機光盤軟件與應用，2013，（4）：33.