計算機網絡防火墻技術的應用分析

孫月嬌

摘 要：伴隨著經濟的迅速發展，信息時代已經悄然來臨，計算機網絡技術得到廣泛應用，網絡資源的共享程度也越來越高，而其帶來的網絡信息安全問題也日益突出，嚴重影響到個人信息安全以及個人隱私，甚至影響到一個單位甚至國家層面的信息安全，因此，本文針對網絡安全技術中的防火墻技術進行了相關理論分析，并提出相關應用建議。

關鍵詞：計算機網絡；防火墻技術；應用分析

隨著社會經濟發展，網絡技術迅速普及開來，計算機網絡技術深入到個人、單位、社會、國家各個層面的各個領域，包括政治、經濟、文化、軍事、生活等維度，與之而來的是網絡安全問題也日益突出，就拿軍事這一層面來說，曾經有某國的炮兵諸元系統被對方黑客入侵而導致其火力全部打擊自身部隊，而在與人們息息相關的生活層面，譬如騰訊QQ、微信以及支付寶等現代信息軟件的應用，也涉及到計算機網絡技術的應用，同時也給不發分子提供了盜取個人信息的可乘之機，因此加強防火墻技術的應用刻不容緩。

1 計算機網絡防火墻技術的概念分析

1.1 防火墻概念

防火墻原指古代人們修建于房屋中間來防止火災蔓延的墻壁，而在現代計算機網絡技術中，防火墻指的是設置在不同網絡以及網絡安全域之間的一系列部件組合，是對內部網絡的一種安全屏障。假設存在兩個不同級別的網絡或者安全域，它們在進行信息訪問之時，中間加入一個設備，這就是防火墻，而在添加防火墻之后，防火墻就成為兩個安全域之間信息流通的唯一通道，同時可以在防火墻上設立相應的安全限制來有效控制數據的流動。

1.2 防火墻的功能

1.2.1 入侵檢測功能

計算機網絡防火墻技術的主要功能之一就是入侵檢測功能，主要有反端口掃描、檢測拒絕服務工具、檢測CGI/IIS服務器入侵、檢測木馬或者網絡蠕蟲攻擊、檢測緩沖區溢出攻擊等功能，可以極大程度上減少網絡威脅因素的入侵，有效阻擋大多數網絡安全攻擊。

1.2.2 網絡地址轉換功能

利用防火墻技術可以有效實現內部網絡或者外部網絡的IP地址轉換，可以分為源地址轉換和目的地址轉換，即SNAT和NAT。SNAT主要用于隱藏內部網絡結構，避免受到來自外部網絡的非法訪問和惡意攻擊，有效緩解地址空間的短缺問題，而DNAT主要用于外網主機訪問內網主機，以此避免內部網絡被攻擊。

1.2.3 網絡操作的審計監控功能

通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄，提供有關網絡使用情況的統計數據，方便計算機網絡管理以進行信息追蹤。

1.2.4 強化網絡安全服務

防火墻技術管理可以實現集中化的安全管理，將安全系統裝配在防火墻上，在信息訪問的途徑中就可以實現對網絡信息安全的監管。

2 防火墻技術的分類

在信息技術高度發達的今天，加強防火墻技術的建設，提高防火墻技術的防御能力需要防火墻自身具有良好的信息數據過濾能力，本文針對常見的兩種網絡防火墻技術及其復合型防火墻技術進行討論。

2.1 應用代理型防火墻技術

應用代理型防火墻技術主要通過應用級代理技術在OSI最高層檢查每一個IP包，從而實現信息安全，代理技術深入到信息應用層，在應用層實現防火墻功能，主要就是在防火墻處終止客戶連接并初始化新連接來與受保護連接進行接觸。應用代理型防火墻技術主要有以下幾處優點：其一，可以通過一定程序，使得用戶借助代理實現整套的安全策略；其二，可以通過代理可過濾的數據信息，靈活完全地控制信息進出以及信息內容；其三，可以有效地實現與其他安全手段的集成，提高安全防護效率。

2.2 包過濾防火墻技術

包過濾防火墻技術可以根據系統已設定的邏輯結構，對進出網絡或者網絡安全域的數據信息進行有效、有選擇的操作與控制，而在包過濾防火墻技術中，其應用途徑主要有三種：其一是通過路由器在完成路由選擇和數據轉換的同時進行包過濾操作；其二是在信息轉換工作站上使用相應的包過濾軟件進行包過濾操作；其三是通過屏蔽路由器設備啟動包過濾功能。

目前的包過濾防火墻技術主要應用于網絡層和傳輸層，以IP包信息為依據，通過對防火墻IP包的源地址、目的地址、TCP/UDP的端口標識符、ICMP進行檢查來選擇信息數據。包過濾技術可以在不改動客戶機以及主機應用程序的前提下，對相關數據信息進行包過濾操作，并且可以廣泛應用于大多數網絡和網絡安全域。

2.3 復合型防火墻技術

目前應用較為廣泛的防火墻技術當屬復合型防火墻技術，綜合了包過濾防火墻技術以及應用代理防火墻技術的優點，譬如發過來的安全策略是包過濾策略，那么可以針對報文的報頭部分進行訪問控制；如果安全策略是代理策略，就可以針對報文的內容數據進行訪問控制，因此復合型防火墻技術綜合了其組成部分的優點，同時摒棄了兩種防火墻的原有缺點，大大提高了防火墻技術在應用實踐中的靈活性和安全性。

3 防火墻技術聯合入侵檢測系統的聯動應用

防火墻技術在網絡信息安全方面提供了有力保障，但是如果僅僅依靠防火墻技術進行被動的防御是遠遠不夠的，因此在現代信息技術高度發達的今天，為了應對越來越嚴峻的信息安全形勢，入侵檢測系統應運而生，或稱IDS。

入侵檢測系統是對網絡傳輸過程中的即時監控，與防火墻技術同屬于事中控制，但是不同于防火墻技術的被動防御，入侵檢測系統是在信息傳播過程中便對訪問的數據信息進行實時監控，規避了防火墻被動受到攻擊而產生安全漏洞的安全風險。入侵檢測系統可以在木馬以及蠕蟲病毒入侵之前將其檢測出來，并接著讓防火墻將策略寫進系統，因而對于普通的未知病毒具有主動防御作用，將防火墻技術的被動防御變為主動監控。將防火墻技術和入侵檢測系統聯動，可以在黑客繞過防火墻對網絡安全域發動攻擊之時，主動識別攻擊行為，進而通知防火墻將策略寫進系統，命令防火墻對相關鏈接進行阻斷，從而達到保護安全域的目的。

在計算機網絡技術不斷發展的同時，也應該主動采取新型防火墻技術，例如在數據量路層可以實現對上層數據信息進行密封操作和拆封操作，并且可以對硬件信息進行管理，加強對網絡數據信息的檢查，而在IP層可以利用新型防火墻技術對IP地址報頭進行改動，雖然一定程度上會影響系統的兼容性，但是可以在極端情況下有效增加安全機制。

4 小結

防火墻技術是計算機網絡進行安全保護的主要手段之一，但是防火墻本身的被動攻擊也成了其最大的缺陷，并且不能解決內部之間的兼容性問題，因此在防火墻技術的應用中，最重要的還是根據實際情況采取合適的防火墻技術，并且結合其他防御技術形成聯動，有效預防病毒入侵。

參考文獻

[1]武強.關于計算機網絡安全中防火墻技術的研究[J].電子世界，2016，（8）：100-100，105.

[2]曾霄龍.探討計算機網絡安全中的防火墻技術[J].商品與質量，2017，（23）：94.

[3]桑烽燕，夏世民.計算機網絡安全和防火墻技術[J].通訊世界，2015，（20）：43-43.