孫利國

摘 要：隨著計算機技術(shù)的不斷發(fā)展和普及，隨之帶來的網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注。防火墻技術(shù)作為一種隔離不信任網(wǎng)絡(luò)的防御技術(shù)，成為了當前計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)中重要的組成部分。防火墻在抵御外來網(wǎng)絡(luò)攻擊上還存在著很大的缺陷，筆者結(jié)合自己多年對防火墻技術(shù)的研究經(jīng)驗，對存在的問題提出了自己的看法，從而使防火墻更好的保護網(wǎng)絡(luò)的安全。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；技術(shù)

1 防火墻的概念

所謂的防火墻就是指由計算機軟硬件組合而成的、在專用網(wǎng)與公用網(wǎng)之間構(gòu)成的一道保護屏障，是一種保障網(wǎng)絡(luò)安全的形象說法，它是一種計算機軟硬件相結(jié)合，從而保護內(nèi)部網(wǎng)免受非法用戶侵入。防火墻主要是由過濾網(wǎng)、網(wǎng)絡(luò)地址轉(zhuǎn)換、應(yīng)用代理和狀態(tài)檢測四個部分組成的，防火墻就是位于計算機與網(wǎng)絡(luò)之間的安全工具。

2 防火墻的技術(shù)研究

2.1 包過濾防火墻

包過濾防火墻是防火墻的初級類型，防火墻在實際的應(yīng)用過程中，依靠自身數(shù)據(jù)信息的安全保護機制來對網(wǎng)絡(luò)中的有關(guān)數(shù)據(jù)進行控制。它一般情況下是由各條數(shù)據(jù)信息安全規(guī)則所組成的，防火墻的設(shè)置可基于源目的地址、端口、協(xié)議等幾部分。其技術(shù)的依據(jù)是互聯(lián)網(wǎng)中網(wǎng)絡(luò)的分包傳輸技術(shù)。網(wǎng)絡(luò)中的有關(guān)數(shù)據(jù)都是經(jīng)過打包之后再進行傳輸?shù)模瑪?shù)據(jù)被分割成為大小不一的數(shù)據(jù)包，每個數(shù)據(jù)包匯總都還有一些特定的信息數(shù)據(jù)，如數(shù)據(jù)的地址、端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判定這些信息的來源是否安全，一旦發(fā)現(xiàn)信息的來源不安全，存在風險，防火墻就會自動的將這些信息拒之門外。網(wǎng)絡(luò)安全管理員也可以通過對這些數(shù)據(jù)進行分析來靈活的制定路由策略。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻中互聯(lián)網(wǎng)的地址轉(zhuǎn)換是一種將網(wǎng)絡(luò)中內(nèi)部的IP地址轉(zhuǎn)換為已經(jīng)注冊的外部IP地址。防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有自己IP地址的私有網(wǎng)絡(luò)轉(zhuǎn)換為公有ip地址，用戶不僅需要對每一臺計算機都設(shè)立IP地址。全網(wǎng)卡在訪問外部網(wǎng)絡(luò)時，進入防火墻將外出的地址及端口轉(zhuǎn)換為一個偽裝的地址和端口，讓每個偽裝的地址和端口通過非安全的網(wǎng)卡與外部網(wǎng)絡(luò)相連接，從而達到最佳的隱藏效果。使得有限的外網(wǎng)IP能夠滿足內(nèi)網(wǎng)用戶對外網(wǎng)的訪問，與此同時還能減少外部因素及其他的惡意攻擊。從而有效的緩解網(wǎng)絡(luò)地址空間的短缺問題，達到降低成本費用的功效。在外部網(wǎng)絡(luò)中通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，并不知道當前內(nèi)部網(wǎng)絡(luò)的連接狀況，而且僅僅只是開通了一個開放式的IP地址和端口來發(fā)出訪問請求。

2.3 應(yīng)用代理

防火墻中應(yīng)用代理技術(shù)的特點就是安全性能較高。應(yīng)用代理技術(shù)完全的接管了互聯(lián)網(wǎng)用戶與服務(wù)器之間的聯(lián)系，將用戶與服務(wù)器之間的數(shù)據(jù)包交換通道加以隔離。應(yīng)用代理不允許將外界的互聯(lián)網(wǎng)連接到內(nèi)部的網(wǎng)絡(luò)中，僅僅允許內(nèi)部的主機使用代理服務(wù)器來訪問互聯(lián)網(wǎng)的主機，同時只有通過認可的服務(wù)器才能夠進行代理。在實際的應(yīng)用中，防火墻應(yīng)用代理的功能是由代理服務(wù)器來完成所有工作的。

2.4 狀態(tài)檢測

防火墻的狀態(tài)檢測是新時期防火墻的一項最新技術(shù)，該技術(shù)是由Check Point引入的。它的作用就是監(jiān)視網(wǎng)絡(luò)中每一個有效連接的狀態(tài)，并根據(jù)這些信息內(nèi)容來決定這些數(shù)據(jù)內(nèi)容能夠得到防火墻的認可。通過防火墻的狀態(tài)檢測技術(shù)，對每個連接的協(xié)議狀態(tài)進行維護。狀態(tài)檢測在包過濾的同時，也檢測數(shù)據(jù)包之間的變化。

3 防火墻技術(shù)的未來發(fā)展方向

3.1 防火墻的性能將逐漸的被突破

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的不斷豐富，網(wǎng)絡(luò)使用人群的不斷增加，網(wǎng)絡(luò)技術(shù)的不斷普及，對防火墻的性能也提出了更高的要求，滿足廣大網(wǎng)民對更高寬帶的需求成為了今后防火墻的發(fā)展方向。

3.2 防火墻將不斷的深入到應(yīng)用防護領(lǐng)域中

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)漏洞及操作系統(tǒng)方面的漏洞將越來越少，但應(yīng)用層的安全問題也逐一現(xiàn)象的更加突出，防火墻在這個時候?qū)⒐ぷ髦匦姆旁诜雷o流域中去，從而來不斷的挖掘防火墻防護的深度與廣度。

3.3 防火墻將給更多的應(yīng)用層協(xié)議提供幫助

防火墻在今后對應(yīng)用層面上發(fā)揮的作用，也是防火墻發(fā)展的必然趨勢，它將為網(wǎng)絡(luò)提供更多的應(yīng)用協(xié)議，使更多的應(yīng)用程序和防火墻共同發(fā)展。

3.4 防火墻作為網(wǎng)絡(luò)安全管理的一個重要組件

隨著網(wǎng)絡(luò)安全管理平臺的發(fā)展，未來網(wǎng)絡(luò)安全方面的設(shè)備將由管理平臺統(tǒng)一進行管理，這時候防火墻就需要向安全管理平臺提供安全管理的有關(guān)端口。

3.5 防火墻將呈現(xiàn)智能化發(fā)展的趨勢

一方面，防火墻將呈現(xiàn)穩(wěn)定發(fā)展的趨勢，同時也更趨于智能化與信息化，并將解決日后有關(guān)的安全問題。

4 總結(jié)

隨著防火墻技術(shù)的不斷發(fā)展，在網(wǎng)絡(luò)安全方面的運用也越來越重要，將防火墻與其他的網(wǎng)絡(luò)安全技術(shù)相結(jié)合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢，這也是防火墻技術(shù)需要做深入研究的重要課題。將防火墻的安全技術(shù)跟入侵檢測系統(tǒng)相結(jié)合，實行防火墻技術(shù)不但能夠獲得入侵檢測系統(tǒng)反應(yīng)出的網(wǎng)絡(luò)安全系統(tǒng)。未來，防火墻成為了當前網(wǎng)絡(luò)安全技術(shù)中不可缺少的重要部分。

[參考文獻]

[1]張華.《防火墻技術(shù)的研究與探討》[J].計算機應(yīng)用研究，2010.

[2]蔣弦.《防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究》[J].電腦知識與技術(shù)，2012.

[3]王天宜，李曉英.《淺析防火墻技術(shù)及相關(guān)問題》[J].城市建設(shè)理論研究，2012.