防火墻技術在計算機網絡安全中的發展與應用

摘要：防火墻技術是針對計算機網絡安全問題發展而起的一門專業技術，旨在提高信息系統對抗外來入侵的能力。本文研究并闡述了防火墻技術隨著計算機網絡技術發展和信息安全需求更新的發展和應用過程。

關鍵詞：防火墻技術;網絡安全;攻擊防范

中圖分類號：TP393.08?文獻標識碼：A?文章編號：1672-9129（2020）10-0009-01

1?防火墻的本質

計算機網絡安全問題隨著計算網絡技術的發展日益嚴重，防火墻作為主要的計算機網絡安全工具，位于受保護網絡的邊緣，保護網絡避免受到外來入侵行為的窺視或破壞。

防火墻認為不同的網絡有不同的安全等級要求，隔離技術能通過對具有不同安全等級要求的網絡進行分類和相互隔離，達到保護特定系統、網絡資源或者設備安全的目的。然而，防火墻在網絡隔離的基礎上還需要對在不同安全等級網絡之間流動的數據進行識別和過濾，放行合法安全的通信數據，保證網絡中正常的消息通信。

2?防火墻的分類

防火墻從實現方式上分為軟件防火墻和硬件防火墻。軟件防火墻一般是基于特定操作系統運行，我們熟知的Windows操作系統和Linux操作系統都自帶有軟件防火墻。硬件防火墻是專業的網絡安全設備，通常會作為一個節點架設在網絡系統中。國內外各家網絡通信廠商都有全系硬件防火墻產品，用戶可以根據實際需求進行選購。

防火墻按照核心技術的發展過程分為三個時期，第一個時期是基于訪問控制技術發展，其中又分為包過濾技術、應用代理技術和狀態監測技術三個發展階段。第二個時期是將各種網絡安全設備的功能都疊加到一臺防火墻設備上，以簡化網絡系統的設計和開銷。第三個時期是在第二時期的基礎上實現防火墻中各系統資源和各網絡安全功能的整體化設計和運行。

3?防火墻的發展過程與應用

3.1包過濾防火墻。包過濾防火墻是基于包過濾技術發展而來的防火墻產品。包過濾技術是根據數據IP包頭信息對網絡流量進行處理的一種訪問控制技術。包過濾防火墻采用靜態過濾方式，由管理員事先設置好包過濾規則，防火墻按照過濾規則對通過防火墻的每一個數據包進行條件匹配，并對匹配成功的數據包按照設置好的操作動作允許該數據包通過或者丟棄該數據包。

包過濾防火墻的優點在于其結構簡單，如果過濾規則設置合理，能有效的阻隔大部分入侵行為。但是包過濾防火墻將每個數據包獨立看待，即使有明顯關聯關系的數據包也需要分別設置包過濾規則。更嚴重的情況是，包過濾防火墻為了能放行從非安全網絡到安全網絡的某些訪問數據包通過，必須設置極其寬松的包過濾規則，這使得攻擊者也能很輕松的利用該條過濾規則將帶有攻擊行為的數據包從非安全網絡發送到安全網絡中。

3.2應用代理防火墻。應用代理防火墻是采用應用代理技術發展而來的一種防火墻產品。該類防火墻不是直接對數據包進行轉發，而是通過對應的應用代理程序對通過的數據包進行接收、檢查、轉換和轉發。

應用代理防火墻對每個數據包都經過其對應的應用代理程序分析審查等操作，響應延遲較大，容易形成網絡瓶頸。另一方面，應用代理防火墻對每種應用都需要有應用代理程序支持，對于一些新的應用，如果其應用代理程序的開發滯后或者防火墻未及時更新，都會影響到該應用的數據包正常通過防火墻。

3.3狀態監測防火墻。狀態監測防火墻繼承了包過濾防火墻對數據包的過濾方式，同時又采用狀態監測技術對數據包進行動態判斷。狀態監測防火墻認為數據包之間存在一定聯系，可以通過前面已經放行數據包的狀態來對后續數據包進行預測和判斷。例如TCP協議中的三次握手過程，如果前面已經有一個由安全網絡到非安全網絡的SYN數據包按照包過濾規則通過了防火墻，那么防火墻將其記錄為一個會話，隨后有從非安全網絡發送而來的一個SYN+ACK的數據包到達防火墻時，防火墻會根據會話所記錄的內容來判斷該數據包是否為前序SYN數據包的后續數據包，而不再根據包過濾規則來判斷。

3.4 UTM防火墻。UTM防火墻是防火墻第二發展時期的主要代表，它將傳統的狀態監測防火墻技術與入侵檢測、病毒查殺等功能綜合到一臺防火墻上。UTM降低了企業在網絡安全設備上的硬件購置開銷，同時也降低了網絡系統維護難度。但是，UTM防火墻因為多功能集合容易導致系統控制難度增加，造成系統穩定性問題。并且在UTM防火墻中數據包需要依次在各安全功能之間傳遞、檢查和審計，很大程度的增加了系統開銷。

3.5 NGFW防火墻。NGFW防火墻屬于防火墻發展第三階段的產品，雖然其對外提供的安全防護功能與UTM防火墻所提供的功能基本相同，但是相對于UTM防火墻只是多種安全功能的簡單疊加，NGFW防火墻則對其所提供的網絡安全功能進行深度整合。NGFW防火墻采用單一引擎對數據包進行分析，根據數據包特征選擇若干個安全功能模塊并行處理，提高分析效率。同時NGFW防火墻中采用多核級MIPS處理器、高速交換矩陣等特殊硬件架構，以提升整個系統的數據處理能力。

4?結語

本文對防火墻從出現到現今的整個發展過程和應用于網絡安全防護過程進行了詳細描述。現今，計算機網絡技術仍然在高速發展，網絡安全威脅也在快速更新，網絡安全問題依然嚴峻，防火墻作為網絡安全的主要工具，對其的研究創新也將隨著整個計算機網絡技術的發展而持續進行。

參考文獻：

[1]徐慧洋，白杰，盧宏旺.華為防火墻技術漫談[M]. 人民郵電出版社，2015

[2]王懿嘉. 計算機網絡安全中的防火墻技術應用探析[J]. 計算機產品與流通，2020（5）：69

[3]楊婷. 計算機網絡安全中的防火墻技術應用分析[J]. 數字技術與應用，2020（5）：177，179

作者簡介：錢思佑，出生年月1983年9月，女，重慶市渝北區，博士，高級工程師，研究方向：信息安全，計算機網絡，云計算.