計算機防火墻的應用探討

劉軍

摘要：防火墻通常被作為盾牌來保護計算機的安全運行。防火墻主要用于互聯網絡，防止非法系統不允許的情況下可破壞或竊取訪問者機器的私人信息。非法活動在網絡中出現的頻率越來越高，防火墻安全保護技術已經成為現代社會必不可少的信息保護措施。防火墻會存在不同的問題，隨著發展階段的不同。文章對計算機防火墻的安全技術問題進行了討論。

關鍵詞：計算機防火墻；網絡安全保護；互聯網

計算機的網絡安全可以被定義為機密性、完整性和可用性。就保密性而言，只能訪問授權信息；可用性指不減少計算機系統應用內存的情況下，仍然可以按照授權用戶的要求提供服務。防火墻系統可以決定哪些計算機可以請求訪問內部服務。來自計算機網絡的信息必須通過防火墻，由防火墻判斷是否予以通行。數據通過防火墻，必須獲得授權碼或者是防火墻已經授權的數據。—旦防火墻系統受到攻擊或被突破，其數據是迂回的，則不能提供任何防護。

1.計算機防火墻定義及作用

1.1計算機防火墻的定義

通俗來講，防火墻主要作用就是隔離開受保護的網絡與不受保護的網絡，通過類似于安檢點的一種單一集中的安全檢查點，審查并過濾所有從因特網到受保護網絡的連接（反之亦然）。一些防火墻偏重于阻塞傳輸流量，而另一些防火墻則是允許傳輸流。這兩種機制看起來似乎自相矛盾，但這種機制恰恰反映了防火墻的早期設計思路，也給后續防火墻的設計改良提供了方向。總的來說，防火墻可以被理解成簡單的兩種機制，一種機制是輸電線路阻塞環流，另一個機制是允許傳輸流。因為防護墻最初的設計理念總是信任內部網絡和不信任外部網絡的，所以初始防火墻過濾的只是外部的交流信息，對于網絡用戶和內部網絡的交流則不作要求。當前防火墻過濾機制的變化，不僅從外部網絡通信連接過濾，連接請求從內部網絡的用戶還需要過濾數據包，防火墻保護仍然遵守安全政策需求的溝通。

1.2防火墻的作用

防火墻，字面意思是確保網絡的安全。防火墻內部存儲著大量的數據，這些數據可以提供系統反饋信息、允許程序運行、需要返回的信息。防火墻只允許那些默認允許應用程序訪問，其本身也起到避免黑客對系統造成損害的作用。下面簡單介紹一些防火墻的功能。

（1）過濾風險服務和非法用戶，限制外來數據訪問進入內部網絡；（2）防止內部用戶入侵國防網絡設施；（3）只允許特定用戶訪問特定的網絡站點；（4）為網絡安全監測提供了方便；（5）防火墻的位置可以用來記錄計算機程序對網絡的訪問；（6）可以用作部署NAT網絡；（7）用于網絡地址的位置變換，使用NAT技術，將有限的動態或靜態IP地址與內部IP地址相對應，以節省地址空間。

2.計算機防火墻的分類和結構

2.1計算機防火墻的分類

當今時代網絡通信取得了飛速發展，網絡訪問信息基礎設施得以不斷增加，防火墻技術也在不斷發展。目前防火墻的精細分類和基礎功能都已經趨于完善。其中內部網絡防火墻技術按照不同的方式和預防側重點可分為多種類型，包括過濾防火墻、應用代理防火墻和監控狀態防火墻，雙主機主機防火墻和主機防火墻過濾類型等等。包過濾防火墻功能應用在網絡層，主要是檢查每個數據包的數據流，根據數據包的源地址、目的地址和端口來判斷是否允許數據包通過。

（1）應用程序在應用程序層代理服務器，其特點是完全“切斷”網絡流量，每個應用程序服務編制通過特殊的代理，實現監控、過濾、記錄和報告的功能流的應用程序層。

（2）狀態監視器是使用一個網關來實現網絡安全戰略的軟件引擎，收集的數據在每一層要通過網絡通信實現監控，一旦某次訪問違反安全規則，安全報警系統將拒絕此次訪問，錄入系統警報當前網絡狀態。

（3）雙主機主機防火墻和主機過濾防火墻所提供的是堡壘主機相應的代理服務。雙主機主機防火墻通常是通過堡壘主機作為網關，網關防火墻軟件并運行，保證網絡通信，必須通過堡壘主機。防火墻和主機過濾器將連接路由器和外聯網，并安裝堡壘內部，使堡壘機外部網只有節點，確保內部網絡從未經授權的用戶。

（4）復合防火墻，將信息包過濾和代理服務有效地結合在一起，形成新的防火墻，主機名為堡壘主機，負責提供代理服務。

2.2計算機防火墻的結構

目前計算機常用的幾種典型的防火墻系統通常采用以下結構：

（1）包過濾網關式防火墻。內部網絡和外部網絡之間的信息過濾器，它有兩個網絡接口，分別連接內部和外部網絡，內部局域網（Local Area Network，LAN）和外部互聯網直接通信，并能夠完成兩個網卡之間的IP數據包轉發常見的路由功能，包過濾的過濾函數根據本地安全策略，確定哪些是可以通過網絡接口的數據包，哪些數據包將被禁止，也就是說，信息包過濾網關相當于一個靜態流量監控功能的路由器。這是包過濾防火墻的基本結構，包過濾防火墻價格低廉，人氣很高，使用方便，但配置不當可能會導致防火墻網關機器和攻擊數據包在允許范圍內的服務和系統出現故障，等等。

（2）雙孔式網關防火墻。它是一種替換式的網關防火墻過濾裝置，它與包過濾式網關防火墻都是防火墻網絡和內部網絡之間的防護裝置。同樣有兩個網絡接口，連接到內部和外部的網絡。不同的是，雙孔式網關防火墻禁止IP轉發功能，使內部和外部網絡IP數據流完全阻塞，通過提供代理服務網關功能的實現。因為只有一個特定類型的協議可以請求代理服務處理，所以雙孔式網關防火墻意識到“默認拒絕”的安全策略，具有很高的安全性。雙孔式網關防火墻是一個典型的應用代理防火墻，它完全“切斷”內部和外部的網絡流量，達到更高層次的安全控制，這是類型應用代理防火墻的特點類型的包過濾防火墻。

這兩個防火墻有一個共同點：都是通過防火墻與主機防火墻。如果突破防火墻主機，局域網絡安全防御就被攻破了o

3.計算機防火墻技術應用

對于軟件防火墻，公司經常使用微軟IsAserVer軟件。防火墻市場使用反響是很好的，但通過狀態包過濾和鏈接，會讓企業遭受新的攻擊。信息包過濾允許保護網絡數據和應用程序和電路為其服務，如果狀態濾波器動態端口需要打開，與這些端口通信的數據端口最終將被關閉，需要將鏈路層安全動態信息包過濾，以保證安全性和易用性。同時通過防火墻還可以了解到其主要是記錄和報告活動。使用這個記錄和報告不僅可以簡化用戶，搜索用戶組，也可以簡化服務器，簡化網絡信息搜索，其通過使用接口、向導、模板和相應的管理工具可以直接為用戶提供服務。

4.計算機防火墻的發展趨勢分析

未來階段的計算機系統有集中管理的發展趨勢，其中最常用的是分層分布式安全管理的安全體系結構，它具有以下優點：管理結構可以降低管理成本，提高網絡的安全性；集中管理系統對傳統電腦的反應速度要求更高。這種類型的管理系統，可以提供一個良好的日志分析功能和審計功能，可以調整安全策略，合理降低網絡安全威脅。

5.結語

防火墻技術是網絡安全的關鍵，在互聯網的發展和內部網絡中，扮演著關鍵的角色。防火墻技術的發展是網絡安全的重要組成部分，用戶可以根據內部網絡需求建立自己的內部計算機網絡防火墻系統，從而實現對經濟的防護功能。