李國棟

摘要：網(wǎng)絡防火墻的應用，對于有效防范來自網(wǎng)絡系統(tǒng)的安全隱患起到了重要作用，網(wǎng)絡防火墻技術實際上就是一組在內(nèi)部網(wǎng)和外網(wǎng)之間建立的套安全策略系統(tǒng)，通過它能夠有效實現(xiàn)對來自外網(wǎng)以及內(nèi)網(wǎng)的各類請求和信息進行檢測，并對存在安全隱患的服務給予阻止和清除的作用。隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡防火墻在應用上也發(fā)生了相應的變化，該文將針對網(wǎng)絡防火墻的具體應用展開闡述。

關鍵詞：網(wǎng)絡；防火墻；過濾；網(wǎng)絡安全；應用

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044（2012）30-7199-02

網(wǎng)絡技術的不斷更新，特別是互聯(lián)網(wǎng)絡的覆蓋，給人們的工作和生活都帶來前所未有的沖擊，在享受網(wǎng)絡帶給人民的便捷的同時，威脅網(wǎng)絡安全的各種病毒軟件正給整個網(wǎng)絡系統(tǒng)提出了新的挑戰(zhàn)。信息是有價值的，如何確保網(wǎng)絡信息的安全性，網(wǎng)絡防火墻的應用，正是為了有效規(guī)避網(wǎng)絡風險的攻擊，為網(wǎng)絡用戶以及整個互聯(lián)網(wǎng)絡系統(tǒng)的安全運行提供了保障。本文結(jié)合網(wǎng)絡防火墻的工作原理，通過對其技術領域的分析和探討，來提高對網(wǎng)絡防火墻的應用。

1 對網(wǎng)絡防火墻的定義

網(wǎng)絡防火墻作為確保網(wǎng)絡安全運行的重要設備和功能，正在被越來越多網(wǎng)絡管理者所關注，作為第一道安全防線，網(wǎng)絡防火墻通過對來自公網(wǎng)和內(nèi)網(wǎng)的各類訪問請求進行有效分類和組織，通過過濾、代理、地址遷移等方式來最大限度的阻止網(wǎng)絡中的非法入侵和攻擊，確保網(wǎng)絡系統(tǒng)和各類信息資源、數(shù)據(jù)的安全。同時，根據(jù)對網(wǎng)絡防火墻進行安全策略管理，能夠?qū)崿F(xiàn)網(wǎng)絡出入口的信息流的有效控制，不僅能為企業(yè)的網(wǎng)絡系統(tǒng)提供安全保障，同時也對來自外網(wǎng)的訪問進行篩選和甄別，實現(xiàn)對網(wǎng)絡運行的有效監(jiān)控和防范。

網(wǎng)絡防火墻不同于建筑中的隔離墻，它是從網(wǎng)絡管理的理論中引申出來的確保網(wǎng)絡安全的防護軟硬件系統(tǒng)。從管理邏輯上說，網(wǎng)絡防火墻主要有分析模塊，對風險的分離模塊，以及對服務的限制模塊，從工作本質(zhì)上講，網(wǎng)絡防火墻作為保護網(wǎng)絡數(shù)據(jù)和用戶信息安全的保護裝置，主要是通過對來自網(wǎng)內(nèi)、外的訪問請求進行安全監(jiān)測和審核，從而實現(xiàn)對網(wǎng)絡間的各類請求進行有效控制的訪問機制，換句話說，網(wǎng)絡防火墻就像是一道門檻，對門內(nèi)、外兩個方向的信息進行控制，當有非法的請求出現(xiàn)時，將此進行隔離并清除，當有正常訪問請求出現(xiàn)時，確保正常訪問的運行。

2 網(wǎng)絡防火墻的功能

網(wǎng)絡防火墻通過設置好的訪問規(guī)章和機制，來監(jiān)控通過網(wǎng)絡防火墻的數(shù)據(jù)流，對于非法的、試圖惡意闖入的訪問請求進行檢測和跟蹤，以便于對其進行隔離和清除。為此，網(wǎng)絡防火墻在網(wǎng)絡管理中的作用主要表現(xiàn)在以下幾點。

1）網(wǎng)絡防火墻是促進網(wǎng)絡安全的屏障

在對網(wǎng)絡防火墻進行相應的安全設置后，比如通過對NFS協(xié)議進行禁止，可以防范非法用戶通過此協(xié)議來攻擊網(wǎng)絡安全，同時，通過對網(wǎng)絡路由中的源路由攻擊和ICMP重定向進行設置，也可以加以防范此類攻擊。

2）優(yōu)化網(wǎng)絡安全策略

網(wǎng)絡防火墻的防范功能是與網(wǎng)絡安全策略相一致的，通過對網(wǎng)絡防火墻進行有效的設置，如對口令、密碼、驗證等信息進行配置，可以實現(xiàn)對來自網(wǎng)內(nèi)外的訪問請求進行統(tǒng)一的管理。

3）加強對訪問和存取操作的有效監(jiān)控和審核

網(wǎng)絡防火墻通過對來自網(wǎng)絡的各類訪問進行記錄并給出統(tǒng)計信息，當發(fā)生網(wǎng)絡異常時，網(wǎng)絡防火墻可以提供向的監(jiān)測數(shù)據(jù)，通過對其進行分辨和分析，對一些網(wǎng)絡的使用情況以及異常請求進行有效的探測，為此，不僅能夠通過相應的檢測信息，也能對網(wǎng)絡的使用需求或受到的威脅進行有效防范。

4）預防內(nèi)部信息被盜

網(wǎng)絡防火墻不僅能夠有效防范外部的攻擊，也能對內(nèi)部網(wǎng)絡進行有效的劃分，從而實現(xiàn)對內(nèi)部網(wǎng)絡發(fā)送的威脅進行隔離，避免其對整個網(wǎng)絡造成的影響。

3 網(wǎng)絡防火墻的分類應用

根據(jù)網(wǎng)絡防火墻在網(wǎng)絡管理中的功能不同，往往采用不同的防范機制，主要有。

1）從網(wǎng)絡層實現(xiàn)對數(shù)據(jù)包的過濾

在現(xiàn)代網(wǎng)絡系統(tǒng)通信過程中，基于網(wǎng)絡層的防火墻主要是通過對數(shù)據(jù)流中的數(shù)據(jù)包進行檢測來是實現(xiàn)對網(wǎng)絡風險的控制目的。根據(jù)系統(tǒng)管理員對網(wǎng)絡管理的需要，對通過路由器的所有數(shù)據(jù)包，進行按事先設定的包過濾規(guī)則，從數(shù)據(jù)包的源地址，以及目標地址等進行檢測和判斷，通過一定的規(guī)則將其發(fā)送至不同的網(wǎng)路上，當所有的包都到達目的地時，再通過一定包合并規(guī)則實現(xiàn)數(shù)據(jù)包的組裝，從而完成信息的有效傳輸。

2）通過代理服務來實現(xiàn)對風險的規(guī)避

通常所說的代理是就對來自網(wǎng)絡的請求通過代理服務器來實現(xiàn)信息的傳輸。比如來自網(wǎng)內(nèi)的用戶發(fā)出服務請求，首先經(jīng)由代理服務器的判斷，合法的請求可以通過代理服務器再將請求連接至應用服務器，應用服務器將相應傳遞給代理服務器，代理服務器再將相應發(fā)送給網(wǎng)絡請求。于是，代理服務器在實現(xiàn)網(wǎng)絡通信的過程中，充當了中介的作用。

3）通過地址遷移的方式來實現(xiàn)對風險的控制

在企業(yè)網(wǎng)內(nèi)部使用的IP地址，通常稱為虛擬地址或本地地址，在與外網(wǎng)進行交互的時候，需要通過NAT路由器來實現(xiàn)內(nèi)外網(wǎng)IP地址的映射，從而實現(xiàn)了數(shù)據(jù)包的跨網(wǎng)傳輸?shù)男枰?。在這種地址遷移機制下，既有分組過濾的功能，又有應用代理的設計思路，通過NAT路由器來實現(xiàn)了對請求的內(nèi)外網(wǎng)之間的數(shù)據(jù)服務。

4 結(jié)束語

總之，在網(wǎng)絡環(huán)境下，防火墻是確保網(wǎng)絡安全運行的關鍵設備，通過對網(wǎng)絡防火墻的有效設置，充分發(fā)揮各類防火墻的防范優(yōu)勢，針對不同的企業(yè)應用，從而實現(xiàn)最有效的網(wǎng)絡配置，為信息安全保駕護航。

參考文獻：

[1] 張磊.安全網(wǎng)絡構建中防火墻技術的研究與應用[D].山東大學，2009.

[4] 田濤.基于防火墻的企業(yè)網(wǎng)絡安全策略及實現(xiàn)技術研究[D].中國科學院研究生院（計算技術研究所），2004.