開(kāi)篇：寫(xiě)作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇防火墻技術(shù)的研究，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 防火墻技術(shù) 功能 趨勢(shì)

隨著信息化時(shí)代的到來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)逐漸成為人們有效開(kāi)展信息交換的重要手段，并滲透到社會(huì)生活的各個(gè)方面，給人們生活帶來(lái)了巨大影響。與此同時(shí)，保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全，愈來(lái)愈成為當(dāng)今社會(huì)面臨的亟需解決的課題。

1 防火墻技術(shù)的含義

“所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。”它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。它實(shí)際上是一種隔離技術(shù)。

2 防火墻的功能

防火墻對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有很好的保護(hù)作用。入侵者必須先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。具體來(lái)說(shuō)防火墻有以下功能。

2.1 防火墻有保障計(jì)算機(jī)網(wǎng)絡(luò)安全的功能

防火墻通過(guò)自身過(guò)濾功能將不安全的數(shù)據(jù)包隔擋在“代碼墻”以外，降低Internet給計(jì)算機(jī)造成的風(fēng)險(xiǎn)。然后通過(guò)驗(yàn)證程序檢測(cè)哪些數(shù)據(jù)包是安全的，并使之進(jìn)入計(jì)算機(jī)，由此使得網(wǎng)絡(luò)環(huán)境變得更安全。

2.2 防火墻具有監(jiān)控網(wǎng)絡(luò)存取和訪問(wèn)的功能

由于進(jìn)入計(jì)算機(jī)的數(shù)據(jù)包都要經(jīng)過(guò)防火墻的檢測(cè)和篩選，那么防火墻就能記錄下這些數(shù)據(jù)包并對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行統(tǒng)計(jì)。當(dāng)發(fā)生可疑數(shù)據(jù)包時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。因此，防火墻對(duì)網(wǎng)絡(luò)使用統(tǒng)計(jì)與監(jiān)控具有非常重要的作用。

2.3 可以防止內(nèi)部信息的外泄

隱私是網(wǎng)絡(luò)使用者最關(guān)心的問(wèn)題。很多隱私的被流露于公眾的視野，多數(shù)都是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)內(nèi)部某些安全漏洞。而使用防火墻就可以利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，實(shí)現(xiàn)內(nèi)部網(wǎng)的隔離，從而限制了局部或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。進(jìn)而隱蔽了那些透漏內(nèi)部細(xì)節(jié)DNS服務(wù)。這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

2.4 防火墻對(duì)數(shù)據(jù)庫(kù)安全的實(shí)時(shí)保護(hù)功能

防火墻通過(guò)驗(yàn)證工具和包過(guò)濾系統(tǒng)分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL 操作通過(guò)，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫(kù)的防御圈，實(shí)現(xiàn)SQL 危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。同時(shí)，還可以對(duì)來(lái)自于外部的入侵行為，提供SQL 注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)丁包功能。

3 防火墻技術(shù)的發(fā)展趨勢(shì)

隨著新的網(wǎng)絡(luò)病毒的出現(xiàn)，防火墻技術(shù)的發(fā)展更應(yīng)該注重放行數(shù)據(jù)的安全性研究。因?yàn)槭褂谜邔?duì)網(wǎng)絡(luò)安全的要求是既要保證網(wǎng)絡(luò)安全，也必須保證網(wǎng)絡(luò)的正常運(yùn)行。因此，新型防火墻技術(shù)在研發(fā)過(guò)程中要集成其它安全技術(shù)，使防火墻的安全性得以進(jìn)一步提升。這一些新的發(fā)展趨勢(shì)，可以從防火墻體系結(jié)構(gòu)、包過(guò)濾技術(shù)和防火墻系統(tǒng)管理三方面展開(kāi)。

3.1 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著信息化潮流的到來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用更加廣泛，規(guī)模更加龐大。使用者對(duì)網(wǎng)絡(luò)寬帶的安全提出了更高的要求。這意味著防火墻技術(shù)必須緊跟時(shí)代的發(fā)展，加快提升自身處理數(shù)據(jù)的能力，為計(jì)算機(jī)網(wǎng)絡(luò)提供更加有效的安全保護(hù)和有效的運(yùn)行保障。尤其是，在當(dāng)今信息化社會(huì)的生活中，計(jì)算機(jī)網(wǎng)絡(luò)、手機(jī)網(wǎng)絡(luò)等網(wǎng)絡(luò)媒體的應(yīng)用越來(lái)越普遍，這就要求防火墻技術(shù)對(duì)流入網(wǎng)絡(luò)的數(shù)據(jù)處理更加有效、準(zhǔn)確、及時(shí)。要想滿足這種需要，防火墻技術(shù)研發(fā)人員就必須制定超前的研發(fā)方案，完善防火墻的結(jié)構(gòu)體系。例如當(dāng)前部分制造商開(kāi)發(fā)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。

3.2 防火墻數(shù)據(jù)包過(guò)濾技術(shù)發(fā)展趨勢(shì)

（1）防火墻的主要功能就是對(duì)來(lái)自外網(wǎng)的木馬程序、病毒程序等危險(xiǎn)程序進(jìn)行防范和抵御。因而，在實(shí)際網(wǎng)絡(luò)使用中使用主體通常經(jīng)防火墻稱之為病毒防火墻。從目前網(wǎng)絡(luò)使用者通過(guò)各種途徑選取不同的防火墻，并按照與計(jì)算機(jī)內(nèi)，目的就是防范病毒的入侵。

（2）注重研發(fā)多級(jí)過(guò)濾技術(shù)。“所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段”。該過(guò)濾技術(shù)主要是通過(guò)編制不同的程序系統(tǒng)，逐級(jí)設(shè)立功能。各級(jí)根據(jù)自身的功能開(kāi)展對(duì)流入網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行識(shí)別，檢測(cè)。層層把關(guān)，能夠更加有效的抵御病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵。這是一種綜合性防火墻技術(shù)，它可以彌補(bǔ)各種單一過(guò)濾技術(shù)的不足。

（3）為了進(jìn)一步強(qiáng)化防火墻的安全策略功能。目前，很多防火墻技術(shù)生產(chǎn)商在現(xiàn)有的防火墻技術(shù)的基礎(chǔ)上，又增加了用戶認(rèn)證系統(tǒng)。用戶認(rèn)證系統(tǒng)隨著無(wú)線網(wǎng)絡(luò)的普及應(yīng)用，獲得了眾多無(wú)線網(wǎng)絡(luò)電信商和用戶的青睞。并逐漸成為無(wú)線網(wǎng)絡(luò)安全應(yīng)用的必備系統(tǒng)。

3.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

隨著防火墻技術(shù)的快速發(fā)展，加強(qiáng)防火墻的系統(tǒng)管理也成為網(wǎng)絡(luò)技術(shù)發(fā)展的重點(diǎn)。首先是集中式管理。集中式管理的優(yōu)點(diǎn)就是能夠使生產(chǎn)商以最小的投入獲取最大的效益。同時(shí)，還可以保證網(wǎng)絡(luò)安全保障系統(tǒng)的一致性。從目前成功研發(fā)的事例來(lái)看，Cisco（思科）、3Com等幾個(gè)大的防火墻技術(shù)開(kāi)發(fā)商已經(jīng)在注重加強(qiáng)防火墻的系統(tǒng)管理發(fā)展。其次是加大開(kāi)發(fā)防火墻的監(jiān)控和審計(jì)功能的力度。在防火墻技術(shù)研發(fā)過(guò)程中，我們不僅要注重事后治理，更要注重事前預(yù)防，未雨綢繆，將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網(wǎng)絡(luò)安全體系。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過(guò)建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來(lái)入侵。

參考文獻(xiàn)

[1]羅霽.并行多模式匹配算法及硬件實(shí)現(xiàn)研究[D].杭州電子科技大學(xué)，2013（06）：10.

[2]楊旭.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D]. 南京理工大學(xué)，2008（06）：43

[3]信息技術(shù)研究中心.網(wǎng)絡(luò)信息安全新技術(shù)與標(biāo)準(zhǔn)規(guī)范實(shí)用手冊(cè)（第1版） [M].北京：電子信息出版社，2004：20-21.

作者簡(jiǎn)介

鄧龍敏（1998-），男 ，湖北省黃石市人。現(xiàn)就讀于鄂南高中，熱衷于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)研究。

第2篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻技術(shù)

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:B

Research&Application of Firewall Technology in Network Security Policy

Wang YanshuangWang Li

(1.Tangshan Radio&Television,Ad Management Center,Tangshan063000,China;2.Tangshan Radio&Television,Transmission Broadcast Department,Tangshan063000,China)

Abstract:Today,the Internet already from the basic information sharing to the electronic commerce,the network using and so on,more complex aspect developed,along with commercial use's increase,the network security becomes a latent huge question gradually.And will also involve to whether to constitute the criminality question.The firewall technology's introduction gives manages and enhances the network the security,has provided the essential and convenient way.

Keywords:Network security;Firewall technology

一、防火墻的概念

防火墻是一種裝置,它是由軟件或硬件設(shè)備組合而成,通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間,限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)以及管理內(nèi)部用戶訪問(wèn)外界的權(quán)限。換言之,防火墻是一個(gè)位于被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)與一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間的一個(gè)封鎖工具。防火墻是一種被動(dòng)的技術(shù),因?yàn)樗僭O(shè)了網(wǎng)絡(luò)邊界的存在,它對(duì)內(nèi)部的非法訪問(wèn)難以有效地控制。因此防火墻只適合于相對(duì)獨(dú)立的網(wǎng)絡(luò),例如企業(yè)內(nèi)部的局域網(wǎng)絡(luò)等。

二、防火墻的功能

(一)防火墻是網(wǎng)絡(luò)安全的屏障:

防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

(二)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:

通過(guò)以防火墻為中心的安全方案配置,能將如口令、加密、身份認(rèn)證、審計(jì)等的應(yīng)用配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì),更堅(jiān)固。

(三)對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

三、防火墻技術(shù)原理

(一)數(shù)據(jù)包過(guò)濾技術(shù)

數(shù)據(jù)包過(guò)濾技術(shù)工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它是個(gè)人防火墻技術(shù)的第二道防護(hù)屏障。數(shù)據(jù)包過(guò)濾技術(shù)在網(wǎng)絡(luò)的入口,根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò)。只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

(二)應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上,能夠檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問(wèn)控制,并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來(lái)實(shí)現(xiàn)的。

(三)地址翻譯技術(shù)

地址翻譯技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替。地址翻譯技術(shù)主要模式有以下幾種。

1.靜態(tài)翻譯。按照固定的翻譯表,將主機(jī)的內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址。

2.動(dòng)態(tài)翻譯。為隱藏內(nèi)部主機(jī)或擴(kuò)展的內(nèi)部網(wǎng)絡(luò)地址之間,一個(gè)大的用戶群共享一個(gè)或一組小的Internet IP地址。

3.負(fù)載平衡翻譯。一個(gè)IP地址和端口被翻譯為同等配置的多個(gè)服務(wù)器。當(dāng)請(qǐng)求到達(dá)時(shí),防火墻按照一個(gè)算法平衡所有連接到內(nèi)部的服務(wù)器。

4.網(wǎng)絡(luò)冗余翻譯。多個(gè)連續(xù)被附結(jié)在一個(gè)NAT防火墻上,防火墻根據(jù)負(fù)載和可用性對(duì)連接進(jìn)行選擇和使用。

(四)狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)防火墻采用基于連接的狀態(tài)檢測(cè)機(jī)制,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過(guò)規(guī)則表與狀態(tài)表的共同配合,對(duì)表中的各個(gè)連接因素加以識(shí)別。

四、防火墻的特性

網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)設(shè)備,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許,其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò),另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。

一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性:

①有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻;

②只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻;

③火墻本身不受各種攻擊的影響;

④使用目前新的信息安全技術(shù),比如現(xiàn)代密碼技術(shù)等;

⑤人機(jī)界面良好,用戶配置使用方便,易管理。

結(jié)束語(yǔ):

通過(guò)網(wǎng)絡(luò)防火墻的部署,可以有效起到防止內(nèi)部信息的外泄,防止外部網(wǎng)絡(luò)人員惡意入侵。開(kāi)放安全端口,保護(hù)系統(tǒng)服務(wù)器免受惡意攻擊。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響,大大提高網(wǎng)絡(luò)的整體安全性。

參考文獻(xiàn):

[1]趙戰(zhàn)生.我國(guó)信息安全及其技術(shù)研究.中國(guó)信息導(dǎo)報(bào),1999,(8):5-7

第3篇

[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò)防火墻研究和應(yīng)用

計(jì)算機(jī)技術(shù)的不斷發(fā)展，給我們帶來(lái)了前所未有的便捷，也帶來(lái)了改革發(fā)展的新力量，尤其是計(jì)算機(jī)在這些年的發(fā)展程度，在全世界范圍內(nèi)都得到了普及。在計(jì)算機(jī)應(yīng)用上，網(wǎng)絡(luò)資源和計(jì)算機(jī)技術(shù)的結(jié)合對(duì)我們生活造成了很大的變化。但是，在網(wǎng)絡(luò)技術(shù)的推動(dòng)下我們的生活節(jié)奏加快的同時(shí)，也增加了我們以前所沒(méi)遇到的很多問(wèn)題，包括對(duì)網(wǎng)絡(luò)資源的保護(hù)，以及個(gè)人信息的保障。這就讓我們對(duì)于網(wǎng)絡(luò)環(huán)境的凈化開(kāi)始逐漸重視起來(lái)，在網(wǎng)絡(luò)資源沒(méi)有防護(hù)或者只是一部分防護(hù)的情況下，黑客的存在經(jīng)常會(huì)造成我們信息和資源的丟失，所以我們必須加強(qiáng)網(wǎng)絡(luò)防火墻的建設(shè)力度必不可少。

一、網(wǎng)絡(luò)防火墻技術(shù)的分類

防火墻技術(shù)是我們使用網(wǎng)絡(luò)性的防護(hù)設(shè)備，起到一個(gè)保護(hù)資源的作用。但是卻只能抵擋外部的侵入而不能有效的抵擋內(nèi)部的損傷的手段。但是隨著現(xiàn)代技術(shù)的發(fā)展，現(xiàn)代化的防火墻已經(jīng)具有一定的內(nèi)外皆備的特點(diǎn)，但是防火墻的作用依然是只能過(guò)濾掉自己認(rèn)為不安全的信息，不能夠達(dá)到所有信息都檢索的缺點(diǎn)，所以我們需要建立更高程度的防火墻，就得先從可以過(guò)濾所有數(shù)據(jù)的能力著手，這也是我們現(xiàn)在需要大力發(fā)展的方向。下面是兩種我們最常見(jiàn)的兩種防火墻：

（一）包過(guò)濾性防火墻技術(shù)

包過(guò)濾性防火墻的技術(shù)的工作原理是建立在OSI網(wǎng)絡(luò)參考模型中的網(wǎng)絡(luò)層面和傳輸層面之中，這種防火墻技術(shù)是根據(jù)不同數(shù)據(jù)的源頭地址和終端口的數(shù)據(jù)安全性之來(lái)自行判斷是否可以通過(guò)防火墻的技術(shù)，只有符合條件的資源才可以傳輸過(guò)來(lái)，不符合義上安全條件的都被擋在外部，不能自行進(jìn)入。

（二）應(yīng)用型防火墻

應(yīng)用型防火墻技術(shù)的原理是建立在OSl網(wǎng)絡(luò)層面的頂層，也就是我們說(shuō)的應(yīng)用層面，最顯著的特點(diǎn)就是全部阻截網(wǎng)絡(luò)通信留的數(shù)據(jù)，通過(guò)對(duì)所有應(yīng)用貼上專門(mén)的編制程序，達(dá)到一種監(jiān)督的作用。除了這兩種技術(shù)以外，還有很多的防火墻技術(shù)，具有突出特點(diǎn)的就是邊界防火墻和混合式防火墻技術(shù)等。

二、防火墻的工作原理

（一）包過(guò)濾性防火墻的工作原理

包過(guò)濾性防火墻的工作原理就是對(duì)許多規(guī)則作出一種組合形式，之后再讓用戶進(jìn)行選擇和設(shè)置自己想要過(guò)濾掉的資源以及留下資源的程度。但是這也需要經(jīng)驗(yàn)老到的防火墻技術(shù)人員對(duì)防火墻進(jìn)行操作以及對(duì)當(dāng)前最新的被攻擊資源進(jìn)行集中，然后再進(jìn)行加載信息。比如信息的名稱、說(shuō)明和協(xié)議等，包括著所有數(shù)據(jù)包進(jìn)出防火墻的方法。對(duì)于IP包過(guò)濾性防火墻技術(shù)的工作原理就是根據(jù)IP數(shù)據(jù)包的各種信息，對(duì)其進(jìn)行相應(yīng)的過(guò)濾，如果這種IP包是攜帶著封裝的TCP或者是ICMP協(xié)議一起進(jìn)入防火墻的，就需要對(duì)這種情況進(jìn)行特殊處理，不能讓之隨意出入。應(yīng)用層面的協(xié)議主要是RPC應(yīng)用服務(wù)的過(guò)濾以及FTP過(guò)濾等，主要的工作過(guò)程就是，防火墻可以在不同文件的組成上面，判斷出該文件的初發(fā)地址、目的地址以及文件的保存時(shí)間和特點(diǎn)，然后再根據(jù)這些信息對(duì)其進(jìn)行最后的檢測(cè)和掃描，確認(rèn)該文件的安全性以及可使用性。

（二）應(yīng)用型網(wǎng)絡(luò)防火墻的原理

應(yīng)用型防火墻，顧名思義是在應(yīng)用層面提供服務(wù)的一種防護(hù)手段。服務(wù)是在接收到用戶的連接請(qǐng)求是，向服務(wù)器發(fā)出與請(qǐng)求有關(guān)的訴求，之后在這樣的情況下，服務(wù)器根據(jù)服務(wù)器的要求，對(duì)用戶的請(qǐng)求做出一個(gè)回答。為了能夠更好的確定鏈接中的效率，在進(jìn)行工作的時(shí)候需要維護(hù)服務(wù)器的數(shù)據(jù)信息和連接表，服務(wù)器還在一定情況下維護(hù)一個(gè)擴(kuò)展字段的集合，達(dá)到一種更好的提供授權(quán)的效果。

三、兩種防火墻的優(yōu)點(diǎn)和缺點(diǎn)

（一）包過(guò)濾性防火墻

優(yōu)點(diǎn)：操作簡(jiǎn)單。包過(guò)濾性防火墻可以通過(guò)一個(gè)過(guò)濾路由器就可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)完成保護(hù)作用，數(shù)據(jù)包在過(guò)濾的過(guò)程當(dāng)中完全對(duì)用戶透明，保證了用戶的安全性，而且這種方式的工作效率比較高，過(guò)濾速度相當(dāng)快，可以很大程度上解決用戶的速度需要。

缺點(diǎn)：不能徹底的防御因?yàn)榈刂菲垓_的問(wèn)題，內(nèi)有一個(gè)只能的識(shí)別黑客的攻擊，完全不支持應(yīng)用層面的協(xié)議。

（二）應(yīng)用型防火墻

優(yōu)點(diǎn)：型防火墻最大的優(yōu)點(diǎn)就是網(wǎng)關(guān)可以直接隔開(kāi)內(nèi)網(wǎng)和外網(wǎng)的聯(lián)系，用戶對(duì)外網(wǎng)進(jìn)行使用的時(shí)候自動(dòng)轉(zhuǎn)換成防火墻對(duì)外網(wǎng)的訪問(wèn)，然后防火墻自動(dòng)判定之后再轉(zhuǎn)給用戶，使得安全性大大的提高。而且型防火墻所有的通信數(shù)據(jù)都是通過(guò)應(yīng)用層的軟件完成防護(hù)，用用不可以直接和服務(wù)器建立連接，對(duì)于數(shù)據(jù)包的檢測(cè)性非常好。

缺點(diǎn)：型防火墻因?yàn)槠涔ぷ餍再|(zhì)，導(dǎo)致速度比較慢，對(duì)于用戶是完全屏蔽的，對(duì)不同的需要需要用不同的服務(wù)器來(lái)完成，適應(yīng)能力比較弱。

四、防火墻的研究開(kāi)發(fā)

在防火墻的研究與開(kāi)發(fā)中，需要對(duì)數(shù)據(jù)層安裝一定程度的監(jiān)聽(tīng)功能以及讀卡能力，著重研究對(duì)于上層數(shù)據(jù)進(jìn)行物理幀的拆封和密封，保證數(shù)據(jù)的安全性。對(duì)于有時(shí)候會(huì)出現(xiàn)很極端的情況，防火墻需要修改IP地址的報(bào)頭才能解決問(wèn)題，這對(duì)于IP層的處理來(lái)說(shuō)是非常復(fù)雜的一個(gè)環(huán)節(jié)，而且需要進(jìn)行大量的安全性工作，所以一般情況下是不可以使用修改IP報(bào)頭的方法，只能是包過(guò)濾性防火墻和ICMP的相關(guān)功能結(jié)合。隨著技術(shù)的不斷發(fā)展，包過(guò)濾性防火墻必須室友路由器的支持才能完成，而現(xiàn)在的IP層面遇到的對(duì)打的問(wèn)題是IP地址的騙術(shù)，并且在許多的上層結(jié)構(gòu)存在著相當(dāng)多的IP地址欺騙問(wèn)題，這就需要我們進(jìn)一步來(lái)研發(fā)更準(zhǔn)確更方便的防火墻來(lái)解決問(wèn)題，讓我們能夠減少網(wǎng)絡(luò)的安全隱患。

五、小結(jié)

第4篇

關(guān)鍵詞：防火墻技術(shù)；屏蔽路由器；雙穴主機(jī)網(wǎng)關(guān)；屏蔽主機(jī)網(wǎng)關(guān)

中圖分類號(hào)：TP319文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-7800（2013）001-0070-02

1主機(jī)防火墻軟件系統(tǒng)組成

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行開(kāi)發(fā)與設(shè)計(jì)，先對(duì)主機(jī)防火墻軟件系統(tǒng)的組成進(jìn)行分析。主機(jī)防火墻軟件系統(tǒng)主要包括屏蔽路由器、雙穴主機(jī)網(wǎng)關(guān)以及被屏蔽主機(jī)網(wǎng)關(guān)。這三個(gè)元器件組成了主機(jī)防火墻軟件系統(tǒng)，在系統(tǒng)運(yùn)行中具有獨(dú)特的功能。

1.1屏蔽路由器

主機(jī)防火墻軟件系統(tǒng)最基本的組成原件就是屏蔽路由器。網(wǎng)絡(luò)用戶一般都是購(gòu)買(mǎi)廠家生產(chǎn)好的屏蔽路由器，然后安裝到主機(jī)當(dāng)中實(shí)現(xiàn)保護(hù)功能。硬件和軟件是屏蔽路由器的兩個(gè)重要組成部分。報(bào)文的過(guò)濾功能一般的路由器就能實(shí)現(xiàn)，但是一般路由器的這個(gè)功能非常簡(jiǎn)單，為了更好地對(duì)報(bào)文進(jìn)行過(guò)濾，屏蔽路由器被引入到主機(jī)中。因此，屏蔽路由器在很大程度上確保了主機(jī)系統(tǒng)的安全性能。

1.2雙穴主機(jī)網(wǎng)關(guān)

網(wǎng)絡(luò)接口是雙穴主機(jī)的一個(gè)重要特點(diǎn)，雙穴主機(jī)網(wǎng)關(guān)的工作原理是將堡壘主機(jī)當(dāng)做防火墻，主機(jī)防火墻軟件系統(tǒng)的運(yùn)行就是靠堡壘主機(jī)來(lái)實(shí)現(xiàn)的。網(wǎng)絡(luò)用戶的管理人員可以通過(guò)雙穴主機(jī)網(wǎng)關(guān)的部分功能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，并及時(shí)解決網(wǎng)絡(luò)安全問(wèn)題。因此，雙穴主機(jī)網(wǎng)關(guān)在維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全上起到了非常重要的作用。

1.3被屏蔽主機(jī)網(wǎng)關(guān)

被屏蔽主機(jī)網(wǎng)關(guān)在主機(jī)系統(tǒng)中占據(jù)了非常重要的位置。被屏蔽主機(jī)網(wǎng)關(guān)的主要功能就是為了防止外部不安全信息對(duì)網(wǎng)絡(luò)用戶的入侵，被屏蔽主機(jī)網(wǎng)關(guān)在很大程度上保證了網(wǎng)絡(luò)用戶的安全。網(wǎng)絡(luò)系統(tǒng)外部的用戶如果沒(méi)有得到網(wǎng)絡(luò)系統(tǒng)管理者的進(jìn)入許可，就不能進(jìn)入網(wǎng)絡(luò)系統(tǒng)。因此，被屏蔽主機(jī)網(wǎng)關(guān)在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全性能。

2主機(jī)防火墻軟件系統(tǒng)發(fā)展趨勢(shì)

主機(jī)防火墻軟件系統(tǒng)的3個(gè)重要組成部分在網(wǎng)絡(luò)運(yùn)行過(guò)程中的作用各不相同。3個(gè)組成部分的功能共同確保了網(wǎng)絡(luò)運(yùn)行環(huán)境的安全。近年來(lái)，防火墻技術(shù)發(fā)展飛速，在技術(shù)方面也不斷成熟，但是隨著科學(xué)技術(shù)的不斷改革與創(chuàng)新，網(wǎng)絡(luò)系統(tǒng)也在不斷地更新?lián)Q代。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展給網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn)，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，幾乎無(wú)時(shí)無(wú)刻都有網(wǎng)絡(luò)用戶的信息被竊取。因此，為了給廣大的網(wǎng)絡(luò)用戶提供一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，防火墻軟件系統(tǒng)必須繼續(xù)進(jìn)行技術(shù)方面的創(chuàng)新。防火墻軟件系統(tǒng)只有在技術(shù)方面獲得突破之后，才能有效地保證網(wǎng)絡(luò)用戶的安全。主機(jī)防火墻軟件系統(tǒng)相關(guān)技術(shù)的研究也因此變得更加重要。為了保證網(wǎng)絡(luò)系統(tǒng)的安全，主機(jī)防火墻軟件系統(tǒng)必須及時(shí)地加以更新。

近些年來(lái)，主機(jī)防火墻技術(shù)在模式上發(fā)生了巨大的轉(zhuǎn)變，主機(jī)防火墻軟件系統(tǒng)以前的位置經(jīng)常被設(shè)置在網(wǎng)絡(luò)比較邊緣的位置上。防火墻軟件系統(tǒng)在網(wǎng)絡(luò)的邊界上進(jìn)行設(shè)置的目的是為了對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行分析，如果防火墻軟件系統(tǒng)在數(shù)據(jù)分析的過(guò)程中發(fā)現(xiàn)數(shù)據(jù)存在不安全因素，那么數(shù)據(jù)則不被允許進(jìn)入網(wǎng)絡(luò)系統(tǒng)。然而，這種防火墻軟件系統(tǒng)由于被動(dòng)的防御方式，在應(yīng)用方面受到了很大的限制。為了使得防火墻軟件系統(tǒng)更能適應(yīng)網(wǎng)絡(luò)用戶的要求，并更好地對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全保護(hù)，外網(wǎng)之外則成為防火墻軟件系統(tǒng)安裝的位置。當(dāng)防火墻軟件系統(tǒng)安裝位置定在了外網(wǎng)之外，網(wǎng)絡(luò)系統(tǒng)的安全性能也得到了明顯的提高。

目前，防火墻軟件系統(tǒng)的主要功能是為了防止外部用戶對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵。為了對(duì)防火墻軟件系統(tǒng)的功能進(jìn)行拓展以更大程度地滿足網(wǎng)絡(luò)用戶的要求，防火墻軟件系統(tǒng)在今后應(yīng)該將殺毒功能也放到其中。殺毒技術(shù)在防火墻軟件系統(tǒng)中的應(yīng)用，將使得防火墻軟件系統(tǒng)的防御功能變得更加強(qiáng)大。這將是今后防火墻軟件系統(tǒng)的一個(gè)必然發(fā)展趨勢(shì)。

3主機(jī)防火墻軟件系統(tǒng)開(kāi)發(fā)與設(shè)計(jì)

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行優(yōu)化以最大限度地滿足網(wǎng)絡(luò)用戶的需求，下面主要對(duì)主機(jī)防火墻軟件系統(tǒng)中的關(guān)鍵技術(shù)進(jìn)行分析研究。分布式防火墻的重要組成原件是主機(jī)防火墻，主機(jī)防火墻在整個(gè)網(wǎng)絡(luò)系統(tǒng)中發(fā)揮了重要作用。主機(jī)防火墻軟件系統(tǒng)是在主機(jī)上運(yùn)行，以此來(lái)組織外界對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵。

3.1主機(jī)防火墻軟件系統(tǒng)的包過(guò)濾功能

宿主機(jī)操作系統(tǒng)的內(nèi)核是主機(jī)防火墻軟件系統(tǒng)運(yùn)行的具置。所以網(wǎng)絡(luò)協(xié)議及主機(jī)操作系統(tǒng)與主機(jī)防火墻軟件系統(tǒng)有著直接聯(lián)系。主機(jī)防火墻軟件系統(tǒng)的主要功能是為了對(duì)主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議進(jìn)行分析，將攔截點(diǎn)設(shè)置在比較恰當(dāng)?shù)奈恢蒙稀＿@些攔截點(diǎn)將會(huì)對(duì)所有進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行分析，進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)只有被攔截點(diǎn)審查通過(guò)之后才能進(jìn)入網(wǎng)絡(luò)系統(tǒng)。如果進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)存在安全方面的問(wèn)題，則這些數(shù)據(jù)將被攔截點(diǎn)阻止在網(wǎng)絡(luò)系統(tǒng)的外部。主機(jī)防火墻軟件系統(tǒng)就是采取這種手段對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行過(guò)濾，以此來(lái)保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全。

3.2主機(jī)防火墻軟件系統(tǒng)的核心功能

包過(guò)濾是主機(jī)防火墻軟件系統(tǒng)的一個(gè)核心技術(shù)。主機(jī)防火墻軟件系統(tǒng)除了具有強(qiáng)大的包過(guò)濾功能外，還具有一些其它的功能。為了更好地了解主機(jī)防火墻軟件系統(tǒng)，下面主要對(duì)主機(jī)防火墻軟件系統(tǒng)的核心功能進(jìn)行介紹。

主機(jī)防火墻軟件系統(tǒng)的核心功能主要有以下幾個(gè)方面：第一，主機(jī)防火墻軟件系統(tǒng)可以對(duì)策略中心所配置的一些相關(guān)安全策略進(jìn)行接收，以此來(lái)增強(qiáng)數(shù)據(jù)的過(guò)濾功能；第二，主機(jī)防火墻軟件系統(tǒng)為了對(duì)應(yīng)用程度的聯(lián)網(wǎng)動(dòng)作進(jìn)行一定程度的過(guò)濾，使得應(yīng)用程序的訪問(wèn)策略變得尤為重要；第三，主機(jī)防火墻軟件系統(tǒng)可以對(duì)一些網(wǎng)絡(luò)活動(dòng)進(jìn)行及時(shí)監(jiān)控，如果發(fā)現(xiàn)一些網(wǎng)絡(luò)活動(dòng)對(duì)網(wǎng)絡(luò)系統(tǒng)具有破壞作用，那么主機(jī)防火墻軟件系統(tǒng)則可以對(duì)這些網(wǎng)絡(luò)活動(dòng)進(jìn)行阻止以保證網(wǎng)絡(luò)系統(tǒng)的安全；第四，主機(jī)防火墻軟件系統(tǒng)可以對(duì)一些網(wǎng)絡(luò)活動(dòng)進(jìn)行記錄，以便網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題后能及時(shí)地對(duì)這些網(wǎng)絡(luò)活動(dòng)進(jìn)行分析；第五，主機(jī)防火墻軟件系統(tǒng)為了讓策略中心知道防火墻軟件系統(tǒng)處于運(yùn)行狀態(tài)，還可以定時(shí)發(fā)送消息給策略中心。以上五個(gè)方面的功能就是主機(jī)防火墻軟件系統(tǒng)的核心功能，它們?cè)谥鳈C(jī)防火墻軟件系統(tǒng)中起到了非常重要的作用，網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全性就是靠這五項(xiàng)功能來(lái)實(shí)現(xiàn)的。

3.3主機(jī)防火墻軟件系統(tǒng)設(shè)計(jì)思路

主機(jī)防火墻軟件系統(tǒng)設(shè)計(jì)思路的完善與否將直接影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。因此，為了確保整個(gè)網(wǎng)絡(luò)系統(tǒng)擁有一個(gè)安全的運(yùn)行環(huán)境，必須充分重視主機(jī)防火墻軟件系統(tǒng)的設(shè)計(jì)。主控單元和網(wǎng)絡(luò)處理單元是主機(jī)防火墻軟件系統(tǒng)的主要設(shè)計(jì)內(nèi)容。下面對(duì)主控單元和網(wǎng)絡(luò)處理單元進(jìn)行簡(jiǎn)單介紹。

3.3.1主控單元設(shè)計(jì)

通用的中央處理單元是主控單元硬件經(jīng)常采用的。主控單元硬件的主要功能是為了對(duì)網(wǎng)絡(luò)處理板進(jìn)行管理及配置。主控單元在保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境的安全方面起著非常重要的作用。因此，為了保證網(wǎng)絡(luò)系統(tǒng)能夠擁有一個(gè)更加安全的運(yùn)行環(huán)境，主控單元的設(shè)計(jì)工作必須引起設(shè)計(jì)人員的重視。主控單元在進(jìn)行設(shè)計(jì)的過(guò)程中，要注重采用一些比較強(qiáng)大的組成原件，以此來(lái)增加主控單元的功能。

3.3.2網(wǎng)絡(luò)處理單元設(shè)計(jì)

網(wǎng)絡(luò)處理單元設(shè)計(jì)的好壞直接影響到整個(gè)主機(jī)防火墻軟件系統(tǒng)的功能，最終影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。因此，為了確保網(wǎng)絡(luò)系統(tǒng)能夠擁有一個(gè)安全的運(yùn)行環(huán)境，網(wǎng)絡(luò)處理單元的設(shè)計(jì)必須引起設(shè)計(jì)人員的重視。專用的網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)處理單元中的應(yīng)用是網(wǎng)絡(luò)處理單元的一個(gè)顯著特點(diǎn)，主控單元與專用網(wǎng)絡(luò)處理器總線的連接是網(wǎng)絡(luò)處理單元的外部設(shè)置內(nèi)容。網(wǎng)絡(luò)處理單元的主要功能是對(duì)來(lái)自主控單元的信息進(jìn)行分析，這些信息只有被確認(rèn)沒(méi)有破壞性之后才能被傳輸?shù)骄W(wǎng)絡(luò)系統(tǒng)中，如果這些數(shù)據(jù)被發(fā)現(xiàn)具有破壞性，那么數(shù)據(jù)將會(huì)被阻止在網(wǎng)絡(luò)系統(tǒng)的外面。網(wǎng)絡(luò)處理單元是不被主機(jī)防火墻軟件系統(tǒng)所控制的，其功能主要靠專用的網(wǎng)絡(luò)處理器來(lái)決定。

4結(jié)語(yǔ)

為了更好地對(duì)主機(jī)防火墻軟件系統(tǒng)進(jìn)行開(kāi)發(fā)與設(shè)計(jì)，本文主要對(duì)主機(jī)防火墻軟件系統(tǒng)的組成部分、主機(jī)防火墻軟件系統(tǒng)的發(fā)展趨勢(shì)以及主機(jī)防火墻軟件系統(tǒng)開(kāi)發(fā)設(shè)計(jì)中的幾個(gè)關(guān)鍵問(wèn)題等方面進(jìn)行了分析研究。主機(jī)防火墻技術(shù)是確保網(wǎng)絡(luò)系統(tǒng)不被外來(lái)用戶入侵的一項(xiàng)技術(shù)保證措施，為了給網(wǎng)絡(luò)系統(tǒng)營(yíng)造一個(gè)安全的運(yùn)行環(huán)境，必須對(duì)主機(jī)防火墻技術(shù)進(jìn)行不斷地改進(jìn)與完善。

參考文獻(xiàn)：

[1]郝身剛.具有系統(tǒng)防御功能的新型主機(jī)防火墻系統(tǒng)設(shè)計(jì)[J].南陽(yáng)師范學(xué)院學(xué)報(bào)，2011（12）.

[2]李曉.基于透明網(wǎng)橋的垃圾信息防火墻軟件系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2008.

[3]劉潔宇，任新華.分布式防火墻系統(tǒng)中主機(jī)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].山西電子技術(shù)，2008（3）.

[4]蘆志朋.深度包檢測(cè)主機(jī)防火墻的研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2010.

第5篇

1.1 防火墻技術(shù)概念

從字面意思來(lái)看, 防火墻技術(shù)就是在計(jì)算機(jī)網(wǎng)絡(luò)與防火墻之間構(gòu)筑一面墻, 起到保護(hù)效果。防火墻技術(shù)將系統(tǒng)中的硬軟件結(jié)合起來(lái), 完成對(duì)不良信息的過(guò)濾與篩選工作, 一旦篩選出不良信息, 防火墻便會(huì)及時(shí)進(jìn)行攔截, 從而保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。目前, 計(jì)算機(jī)防火墻技術(shù)較為完善, 最為常見(jiàn)的有監(jiān)測(cè)型、過(guò)濾型、型3種防火墻。計(jì)算機(jī)防火墻技術(shù)在計(jì)算機(jī)系統(tǒng)維護(hù)中有著非常重要的作用, 是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域研究的重要方向, 怎樣不斷地提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù), 構(gòu)建系統(tǒng)可靠的防火墻網(wǎng)絡(luò)是計(jì)算機(jī)領(lǐng)域需要研究的關(guān)鍵內(nèi)容[1]。

1.2 類型

防火墻是保護(hù)網(wǎng)絡(luò)安全的有效手段, 當(dāng)然, 它也有很多類型, 既能夠存在于硬件部分, 也能在獨(dú)立機(jī)器中運(yùn)行, 該機(jī)制就變成了防火墻所在網(wǎng)絡(luò)的。為了有效實(shí)現(xiàn)安全防護(hù)的目標(biāo), 就必須要讓內(nèi)外部網(wǎng)絡(luò)中全部數(shù)據(jù)都經(jīng)過(guò)防火墻進(jìn)入, 同時(shí), 只有和防火墻規(guī)則具有一致性的數(shù)據(jù)流才能經(jīng)過(guò)防火墻, 并且防火墻自身也必須要具備很強(qiáng)的抗攻擊與免疫力。防火墻可以連接因特網(wǎng), 也可以將其應(yīng)用在組織網(wǎng)內(nèi)部重要數(shù)據(jù)信息的保護(hù)過(guò)程中, 因此, 可以將防火墻分成網(wǎng)絡(luò)層防火墻與應(yīng)用層防火墻兩種類型[2]。

1.3 基本功能

1.3.1 動(dòng)態(tài)包過(guò)濾技術(shù)

動(dòng)態(tài)包過(guò)技術(shù)實(shí)際上也可以稱作狀態(tài)檢測(cè)技術(shù), 可以快速截獲經(jīng)過(guò)經(jīng)過(guò)防火墻的數(shù)據(jù)包, 提取相關(guān)信息, 并結(jié)合信息的安全程度看是否允許信息經(jīng)過(guò), 能夠達(dá)到動(dòng)態(tài)網(wǎng)絡(luò)監(jiān)控的效果。防火墻能夠動(dòng)態(tài)管理經(jīng)過(guò)端口的信息, 前提是要連接[3]。

1.3.2 控制不安全服務(wù)

防火墻能夠控制不完全服務(wù), 提前將信任域和不信任域間數(shù)據(jù)出入情況設(shè)置好, 從而避免不安全服務(wù)的進(jìn)入, 確保內(nèi)部網(wǎng)的運(yùn)行安全。

1.3.3 集中安全保護(hù)

防火墻能夠?qū)?nèi)部要防護(hù)的軟件全部集中起來(lái), 還包含全部要改動(dòng)及附加的軟件, 如身份認(rèn)證、電子口令等。這類安全問(wèn)題都能由防火墻集中管理, 且操作起來(lái)非常簡(jiǎn)單。

1.3.4 加強(qiáng)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制

防火墻能夠設(shè)置外部網(wǎng)對(duì)內(nèi)部網(wǎng)訪問(wèn)服務(wù), 并加強(qiáng)訪問(wèn)控制, 如涉及到重大網(wǎng)絡(luò)安全服務(wù)能夠屏蔽外部網(wǎng), 使其無(wú)法訪問(wèn);針對(duì)那些涉及較小網(wǎng)絡(luò)安全服務(wù), 可以對(duì)外部網(wǎng)進(jìn)行訪問(wèn)[4]。

2 防火墻技術(shù)

2.1 過(guò)濾技術(shù)

防火墻技術(shù)在特定位置提供過(guò)濾服務(wù), 如在網(wǎng)絡(luò)系統(tǒng)TCP位置, 防火墻先對(duì)TCP位置接收到的數(shù)據(jù)包的安全性進(jìn)行檢查, 一旦發(fā)現(xiàn)存在安全隱患, 就不允許數(shù)據(jù)包傳輸。同時(shí), 將過(guò)濾技術(shù)應(yīng)用到外網(wǎng)環(huán)境中, 其預(yù)防特征特別明顯, 有效防止不良信息的傳輸, 從而保證TCP區(qū)域運(yùn)行安全。過(guò)濾技術(shù)的應(yīng)用不僅能夠?qū)崿F(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全控制, 而且在路由器方面應(yīng)用價(jià)值非常明顯。

2.2 協(xié)議技術(shù)

該種技術(shù)主要是用來(lái)防止Dos攻擊, 若Dos攻擊就會(huì)使整個(gè)計(jì)算機(jī)系統(tǒng)陷入癱瘓, 系統(tǒng)難以有效運(yùn)行, 該類攻擊并未進(jìn)行明確限制。防火墻使用協(xié)議技術(shù), 在Dos攻擊中對(duì)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù), 并提供相關(guān)網(wǎng)關(guān)服務(wù), 得到防火墻的回應(yīng), 服務(wù)器才能有效運(yùn)行。

2.3 檢測(cè)技術(shù)

檢測(cè)技術(shù)主要是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行檢測(cè), 外網(wǎng)傳輸?shù)臄?shù)據(jù)包當(dāng)成整體, 對(duì)數(shù)據(jù)包狀態(tài)內(nèi)容進(jìn)行準(zhǔn)確分析, 并將分析結(jié)果進(jìn)行匯總, 生成記錄表, 分成規(guī)則、狀態(tài)兩個(gè)記錄表, 對(duì)兩表的數(shù)據(jù)信息進(jìn)行分析, 判斷數(shù)據(jù)狀態(tài)。目前, 檢測(cè)技術(shù)在各層網(wǎng)絡(luò)間運(yùn)用的非常普遍, 能夠準(zhǔn)確地獲取網(wǎng)絡(luò)連接狀態(tài), 擴(kuò)寬網(wǎng)絡(luò)安全防護(hù)范圍, 從而保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性[5]。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛運(yùn)用, 其各種安全問(wèn)題也逐漸顯現(xiàn)出來(lái), 采取有效措施保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)安全是目前需要解決的重點(diǎn)問(wèn)題, 下面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用相關(guān)內(nèi)容進(jìn)行了分析。

3.1 包過(guò)濾防火墻

該種防火墻通常只應(yīng)用在OSI 7層模型中網(wǎng)絡(luò)層數(shù)據(jù)。可以完成防火墻狀態(tài)的檢測(cè), 預(yù)先將邏輯策略確定好, 主要包括端口、地址及源地址等, 所有經(jīng)過(guò)防火墻的數(shù)據(jù)都必須要分析, 若數(shù)據(jù)包中的信息與策略中的要求不符, 則數(shù)據(jù)包能夠通過(guò), 若完全相符, 則數(shù)據(jù)包就會(huì)被攔截。數(shù)據(jù)包在傳輸過(guò)程中都會(huì)被分解成很多個(gè)由目的、地質(zhì)等構(gòu)成的小數(shù)據(jù)包, 在經(jīng)過(guò)防火墻時(shí), 它們可以通過(guò)各種傳輸路徑傳輸過(guò)去, 但最后會(huì)在同一個(gè)地方會(huì)合。在目的地點(diǎn), 數(shù)據(jù)包還是要接受防火墻檢測(cè), 合格之后, 才能通過(guò)。一旦在傳輸時(shí), 數(shù)據(jù)包丟失或者是地址發(fā)生變化等都會(huì)被丟棄。但是, 該技術(shù)在應(yīng)用的過(guò)程中也有一些缺點(diǎn), 如:部分包過(guò)濾網(wǎng)關(guān)對(duì)有效的用戶認(rèn)證并不支持;規(guī)則表變化快, 規(guī)則難以測(cè)試, 隨著規(guī)則表的結(jié)構(gòu)與復(fù)雜性的增大, 規(guī)則結(jié)構(gòu)的漏洞也會(huì)隨之增多;該種防火墻是由一個(gè)獨(dú)立的部件來(lái)保護(hù), 一旦該部件出現(xiàn)問(wèn)題, 就會(huì)危害整個(gè)網(wǎng)絡(luò)系統(tǒng);通常情況下, 包過(guò)濾防火墻智能對(duì)一種類型的IP威脅進(jìn)行阻止, 也就是外部主機(jī)偽裝內(nèi)部主機(jī)的IP[6]。

3.2 深層檢測(cè)防火墻

深層檢測(cè)防火墻是計(jì)算機(jī)防火墻技術(shù)發(fā)展的主要方向, 該技術(shù)先完成對(duì)網(wǎng)絡(luò)信息的檢測(cè), 再對(duì)流量走向進(jìn)行實(shí)時(shí)跟蹤, 并繼續(xù)完成檢測(cè)任務(wù)。該種防火墻技術(shù)的保護(hù)作用, 并不只是停留于網(wǎng)絡(luò)層面, 而是有效防護(hù)應(yīng)用層網(wǎng)絡(luò)攻擊, 安全性能強(qiáng)。

3.3 應(yīng)用網(wǎng)關(guān)防火墻

該種防火墻也可以稱為防火墻, 其主要應(yīng)用在OSI的網(wǎng)絡(luò)層及傳輸層。這種防火墻技術(shù)與包過(guò)濾防火墻存在一定的差異, 即認(rèn)證的是個(gè)人, 并非相關(guān)設(shè)備, 只有當(dāng)個(gè)人驗(yàn)證成功之后, 才能對(duì)網(wǎng)絡(luò)資源進(jìn)行有效訪問(wèn), 認(rèn)證主要包含的內(nèi)容有密碼、用戶名等。通過(guò)應(yīng)用網(wǎng)關(guān)防火墻, 就能有效防止黑客的攻擊。同時(shí), 應(yīng)用網(wǎng)關(guān)防火墻又可以分成直通與連接網(wǎng)關(guān)防火墻兩種, 其中連接網(wǎng)關(guān)防火墻一般屬于認(rèn)證機(jī)制, 能夠以截獲數(shù)據(jù)流量的方式來(lái)認(rèn)證, 認(rèn)證完成后, 連接網(wǎng)關(guān)防火墻才能開(kāi)始訪問(wèn)。另外, 該種防火墻還能有效保護(hù)應(yīng)用層, 使應(yīng)用層運(yùn)行更加安全, 而直通式并不能實(shí)現(xiàn)這一目標(biāo)。但是, 應(yīng)用網(wǎng)關(guān)防火墻也有自身的不足之處:利用相關(guān)軟件來(lái)處理數(shù)據(jù)包, 支持的應(yīng)用非常少, 有時(shí)必須要制定客戶端軟件。

3.4 分布防火墻

該種防火墻主要是由安全策略及客戶端服務(wù)器組成, 客戶端防火墻主要工作于各個(gè)服務(wù)器、工作站上, 依據(jù)安全策略文件中的相關(guān)內(nèi)容, 依賴包過(guò)濾等幾層安全檢測(cè), 確保計(jì)算機(jī)在正常運(yùn)用的情況下不會(huì)受到網(wǎng)絡(luò)黑客的攻擊, 確保網(wǎng)絡(luò)運(yùn)行安全。而安全策略管理服務(wù)器主要是服務(wù)安全策略、用戶等的管理。該服務(wù)器是集中管理控制中心, 統(tǒng)一制定和分發(fā)安全策略, 負(fù)責(zé)管理系統(tǒng), 因而, 其是集中控制管理中心, 減少了終端運(yùn)用的工作負(fù)擔(dān)。分布防火墻主要應(yīng)用于企業(yè)或者是單位局域網(wǎng)內(nèi)部, 其安全運(yùn)行必須要依賴于一些安全防護(hù)軟件, 主要包含網(wǎng)絡(luò)與主機(jī)防火墻兩種, 其中網(wǎng)絡(luò)防火墻主要應(yīng)用于內(nèi)外部網(wǎng)之間, 主機(jī)防火墻應(yīng)用于局域網(wǎng)內(nèi)部。該種防火墻主要是對(duì)內(nèi)部缺陷進(jìn)行防護(hù), 有效防止外部攻擊, 從而確保局域網(wǎng)運(yùn)行安全。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)信息技術(shù)的普及與運(yùn)用, 給人們的生活帶來(lái)了極大的便利, 但也面臨著許多安全問(wèn)題, 在經(jīng)過(guò)很多網(wǎng)絡(luò)安全問(wèn)題之后, 人們對(duì)網(wǎng)絡(luò)安全越來(lái)越重視, 大多數(shù)網(wǎng)絡(luò)用戶都安裝了計(jì)算機(jī)網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)資源有著很多可利用的優(yōu)勢(shì)資源, 怎樣充分利用網(wǎng)絡(luò)資源優(yōu)勢(shì), 解決網(wǎng)絡(luò)中遇到的問(wèn)題, 是廣大從業(yè)者必須要思考和解決的問(wèn)題, 需要不斷地去研究探索, 滿足新時(shí)代計(jì)算機(jī)發(fā)展的現(xiàn)實(shí)需要。

參考文獻(xiàn)

[1]徐凌云, 周立中, 朱平陽(yáng).關(guān)于防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用剖析[J].數(shù)字通訊世界, 2014, (22) :129-135.

[2]秦素梅, 龔艷春, 張淑敏, 等.淺析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的具體應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與實(shí)際應(yīng)用, 2015, (16) :208-216.

[3]徐東純, 周艷萍, 王馨悅, 等.基于CC2530的環(huán)境監(jiān)測(cè)無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用, 2016, (20) :325-329.

[4]江科, 周立軍.淺議防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用, 2016, (15) :108-116.

第6篇

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用探究

當(dāng)前，隨著社會(huì)的進(jìn)步和科學(xué)的發(fā)展，以互聯(lián)網(wǎng)為代表的先進(jìn)技術(shù)逐漸深入人們的工作和生活，并帶來(lái)了巨大的便利。而互聯(lián)網(wǎng)技術(shù)作為一把“雙刃劍”，其網(wǎng)絡(luò)安全問(wèn)題也時(shí)刻威脅著人們的生產(chǎn)生活，盡管其影響力大、破壞性強(qiáng)，但在入侵過(guò)程中卻往往難以被人察覺(jué)。從本質(zhì)來(lái)說(shuō)，網(wǎng)絡(luò)安全能夠通過(guò)訪問(wèn)控制和通信安全兩種服務(wù)來(lái)保障自身安全，而防火墻是網(wǎng)絡(luò)入口的首要防線，這種服務(wù)要達(dá)到最佳效果，需要防火墻技術(shù)與加密技術(shù)聯(lián)合防護(hù)。實(shí)踐證明，防火墻技術(shù)的網(wǎng)絡(luò)防御效果顯著，并且能夠廣泛用于各個(gè)領(lǐng)域，有效保障網(wǎng)絡(luò)安全。隨著科學(xué)的發(fā)展，防火墻技術(shù)也會(huì)不斷進(jìn)步與發(fā)展，實(shí)時(shí)保障用戶的網(wǎng)絡(luò)安全。

1概述

1．1基本概念

所謂防火墻，就其概念而言來(lái)源于建筑學(xué)，意指防止火災(zāi)從建筑物燃燒至另一建筑物的阻礙物，而網(wǎng)絡(luò)上防火墻意指防止網(wǎng)絡(luò)入侵的阻擋技術(shù)。有些工程師將防火墻定義為：計(jì)算機(jī)系統(tǒng)中所有通信無(wú)論是由內(nèi)部到外部或是外部到內(nèi)部都必須經(jīng)過(guò)的，并且只有內(nèi)部訪問(wèn)權(quán)的通信方允許通過(guò)的技術(shù)。實(shí)質(zhì)上，防火墻即為一種隔離控制技術(shù)，以增強(qiáng)系統(tǒng)內(nèi)部網(wǎng)絡(luò)的可靠性，保障用戶安全為目的。

1．2基本功能

作為保障用戶網(wǎng)絡(luò)安全的重要技術(shù)，防火墻主要有以下基本功能：（1）防止用戶內(nèi)部信息的泄露。使用防火墻技術(shù)能夠?qū)⒂?jì)算機(jī)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，隔離重點(diǎn)網(wǎng)，以防出現(xiàn)局部網(wǎng)不安全造成全局網(wǎng)不安全的現(xiàn)象。此外，防火墻技術(shù)通過(guò)對(duì)進(jìn)入系統(tǒng)的用戶身份進(jìn)行嚴(yán)格驗(yàn)證，對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)技術(shù)加密，能夠有效防止入侵者竊取用戶數(shù)據(jù)信息。（2）增強(qiáng)網(wǎng)絡(luò)安全策略。防火墻能夠利用其執(zhí)行站點(diǎn)的安全模式把保障系統(tǒng)安全的相應(yīng)指令、加密等軟件與防火墻連接在一起，與傳統(tǒng)防護(hù)模式中各個(gè)系統(tǒng)主機(jī)共同處理網(wǎng)絡(luò)安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網(wǎng)絡(luò)安全。主要表現(xiàn)在防火墻可以阻止不安全的進(jìn)程，減小入侵風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全。此外，防火墻還能拒絕部分來(lái)自路由的攻擊，并報(bào)告給網(wǎng)絡(luò)管理員，以盡可能減少對(duì)其他用戶造成麻煩的情況。（4）網(wǎng)絡(luò)存取及訪問(wèn)監(jiān)控審計(jì)。防火墻能有效記錄網(wǎng)絡(luò)活動(dòng)并對(duì)可疑動(dòng)作提供報(bào)警功能。為管理員提供誰(shuí)在訪問(wèn)網(wǎng)絡(luò)、在網(wǎng)絡(luò)上做什么等信息，當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

2防火墻的分類

2.1電路級(jí)網(wǎng)關(guān)防火墻

電路級(jí)網(wǎng)關(guān)防火墻是目前較為常見(jiàn)的一種防火墻，其本質(zhì)是一個(gè)用于監(jiān)控客戶機(jī)或服務(wù)器的通用服務(wù)器，它主要通過(guò)作用于OSI互聯(lián)網(wǎng)模型中的會(huì)話層或者TCP協(xié)議的TCP層來(lái)實(shí)現(xiàn)其功用。這種防火墻技術(shù)雖然也可應(yīng)用于多個(gè)協(xié)議，但缺陷在于對(duì)同一協(xié)議棧運(yùn)行的不同應(yīng)用無(wú)法及時(shí)識(shí)別，因此此類防火墻也就不用設(shè)置相應(yīng)模塊來(lái)應(yīng)對(duì)不同的應(yīng)用。在實(shí)際工作中，電路級(jí)網(wǎng)關(guān)防火墻的服務(wù)器會(huì)對(duì)客戶端進(jìn)行部分修改，當(dāng)客戶端發(fā)送相應(yīng)的請(qǐng)求，服務(wù)器便對(duì)請(qǐng)求進(jìn)行接收，并客戶端完成網(wǎng)絡(luò)的連接工作。可以看出，此類防火墻能夠?qū)⒕W(wǎng)絡(luò)信息進(jìn)行隱藏，保障信息安全。

2.2應(yīng)用級(jí)網(wǎng)關(guān)防火墻

應(yīng)用級(jí)網(wǎng)關(guān)防火墻是一種應(yīng)用服務(wù)器，主要在內(nèi)、外部網(wǎng)絡(luò)在進(jìn)行網(wǎng)絡(luò)交換申請(qǐng)服務(wù)時(shí)起連接的功能，其工作方式如下：（1）驗(yàn)證用戶是否符合進(jìn)入條件，如若驗(yàn)證成功，則將用戶請(qǐng)求發(fā)送到內(nèi)部網(wǎng)絡(luò)的主機(jī)，此時(shí)也會(huì)對(duì)用戶進(jìn)行的操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)；若發(fā)現(xiàn)危險(xiǎn)或疑似危險(xiǎn)則阻斷訪問(wèn)。（2）當(dāng)用戶是由內(nèi)部網(wǎng)絡(luò)申請(qǐng)連接外部網(wǎng)絡(luò)時(shí)，防火墻工作模式會(huì)先對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)送的請(qǐng)求進(jìn)行接收和檢查，若合乎要求，防火墻將請(qǐng)求發(fā)送至外部網(wǎng)絡(luò)。由此看出，這兩種工作的工作方式恰好相反。應(yīng)用級(jí)網(wǎng)關(guān)防火墻的優(yōu)勢(shì)在于方便配置、工作環(huán)境良好，它在內(nèi)外網(wǎng)主機(jī)之間起連接作用，而不允許其直接連接，能夠有效保障使用過(guò)程中的安全性。此外，這種服務(wù)器還能夠?qū)τ脩舻牟僮饔涗浀酶釉敱M。

2.3靜態(tài)包過(guò)濾防火墻

靜態(tài)包過(guò)濾防火墻作用于網(wǎng)格層，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行全面分析，再根據(jù)相應(yīng)安全策略對(duì)信息過(guò)濾，其篩選Internet防火墻路由器內(nèi)部網(wǎng)…堡壘主機(jī)原則是以所監(jiān)測(cè)到的數(shù)據(jù)包的初始信息為基礎(chǔ)，允許授權(quán)信息進(jìn)出，限制危險(xiǎn)信息進(jìn)出。當(dāng)前，路由器被廣泛用于網(wǎng)絡(luò)的信息傳輸，連接在內(nèi)、外部網(wǎng)路之間，因此是影響網(wǎng)絡(luò)安全的重要因素之一。而包過(guò)濾型防火墻就是一種專門(mén)對(duì)路由器產(chǎn)生作用的技術(shù)，因此從某種意義上說(shuō)靜態(tài)包過(guò)濾防火墻也是一種包過(guò)濾路由器。靜態(tài)包過(guò)濾防火墻的優(yōu)勢(shì)在于簡(jiǎn)單實(shí)用，運(yùn)行速度快，且透明性較高。這種防火墻技術(shù)的工作運(yùn)用同應(yīng)用層沒(méi)有關(guān)系，這就意味著不用對(duì)用戶主機(jī)的應(yīng)用程序進(jìn)行修改，配置和使用都顯得較為方便。它的缺點(diǎn)在于這種防火墻需要對(duì)TCL、IP等相應(yīng)協(xié)議有較深的認(rèn)識(shí)；另外這種防火墻技術(shù)不能夠?qū)τ脩舻牟僮鬟M(jìn)行鑒別。

2.4狀態(tài)監(jiān)測(cè)型防火墻

狀態(tài)監(jiān)測(cè)型防火墻的作用機(jī)制在于使用了在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎來(lái)實(shí)現(xiàn)其作用和功能。這種防火墻工作在網(wǎng)絡(luò)層與鏈路層之間，可以對(duì)網(wǎng)絡(luò)通信進(jìn)行跟蹤監(jiān)測(cè)，并對(duì)相關(guān)狀態(tài)信息進(jìn)行提取；此外，狀態(tài)型監(jiān)測(cè)防火墻還能對(duì)動(dòng)態(tài)鏈接表中的狀態(tài)和信息進(jìn)行儲(chǔ)存，并及時(shí)更新，通過(guò)信息積累不斷為下面的通信檢查提供數(shù)據(jù)支撐。狀態(tài)監(jiān)測(cè)型防火墻的另一大優(yōu)勢(shì)在于可以為類似NFS的基于端口動(dòng)態(tài)分配協(xié)議的應(yīng)用提供技術(shù)支持和類似DNS的無(wú)連接的協(xié)議提供應(yīng)用支撐，相對(duì)而言，型網(wǎng)關(guān)防護(hù)墻和靜態(tài)包過(guò)濾型防火墻則不能支持以上應(yīng)用。綜上所述，狀態(tài)型防火墻能夠有效減少端口開(kāi)放時(shí)間，并提供相應(yīng)服務(wù)支撐。它的缺點(diǎn)在于會(huì)默許內(nèi)部主機(jī)與外部網(wǎng)絡(luò)不通過(guò)第三方直接連接，對(duì)部分網(wǎng)絡(luò)安全隱患難以起到防護(hù)作用；此外，狀態(tài)監(jiān)測(cè)型防火墻不能夠?qū)τ脩舨僮鬟M(jìn)行鑒別。

3防火墻在網(wǎng)絡(luò)安全訪問(wèn)控制中的應(yīng)用

3.1雙宿主主機(jī)模式

雙宿主主機(jī)模式是通過(guò)主機(jī)的使用來(lái)實(shí)現(xiàn)的，這臺(tái)主機(jī)擁有用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個(gè)接口。防火墻將雙宿主網(wǎng)關(guān)置于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，以阻斷IP層之間的數(shù)據(jù)傳輸。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的主機(jī)不能夠直接進(jìn)行通信，它們都只能與網(wǎng)關(guān)進(jìn)行通信，而內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信需要利用應(yīng)用層的數(shù)據(jù)共享或服務(wù)達(dá)成。

3.2屏蔽主機(jī)模式

屏蔽主機(jī)防火墻主要由堡壘主機(jī)和過(guò)濾路由器兩部分組成，其中堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，過(guò)濾器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。堡壘主機(jī)作為連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的唯一通道，使得外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都只能連接到堡壘主機(jī)，當(dāng)內(nèi)部網(wǎng)絡(luò)有通信需求時(shí)，必須先到堡壘主機(jī)，堡壘主機(jī)再進(jìn)行判斷，并決定是否允許連接到外部網(wǎng)絡(luò)。因此，入侵者要想實(shí)現(xiàn)對(duì)用戶電腦的入侵，必須首先將主機(jī)攻克，方能到達(dá)內(nèi)部網(wǎng)絡(luò)，主機(jī)結(jié)構(gòu)如圖1所示。

3．3屏蔽子網(wǎng)模式

屏蔽子網(wǎng)包括堡壘主機(jī)以及兩個(gè)包過(guò)濾器等部分，其內(nèi)、外部網(wǎng)絡(luò)主機(jī)間設(shè)置具有隔離功能的子網(wǎng)，以形成隔離區(qū)，設(shè)置屏蔽子網(wǎng)的作用在于防止MAIL、Web服務(wù)器等公共服務(wù)直接通過(guò)內(nèi)外部網(wǎng)絡(luò)。通常情況下，內(nèi)、外部網(wǎng)絡(luò)都能夠訪問(wèn)屏蔽子網(wǎng)，而不允許穿過(guò)子網(wǎng)進(jìn)行通信，這種配置使得當(dāng)堡壘主機(jī)被攻克時(shí)，內(nèi)部網(wǎng)絡(luò)仍然可以受到來(lái)自包過(guò)濾路由器的保護(hù)。這種屏蔽子網(wǎng)防火墻的最大好處在于為計(jì)算機(jī)多提供一層防護(hù)，因?yàn)楸仨毠タ藘蓚€(gè)路由器和一個(gè)網(wǎng)關(guān)才能成功入侵。

4防火墻未來(lái)發(fā)展趨勢(shì)與展望

防火墻技術(shù)作為保障網(wǎng)絡(luò)安全的重要舉措之一，未來(lái)必將得到發(fā)展和更新。筆者認(rèn)為未來(lái)的防火墻技術(shù)將朝著多元化、智能化、高速化方向發(fā)展，可全面保障用戶信息、應(yīng)用程序與操作過(guò)程的安全，且會(huì)具有如下新的優(yōu)點(diǎn)：（1）高速性。現(xiàn)階段，防火墻的運(yùn)行速度不夠快的問(wèn)題突出，而隨著科學(xué)技術(shù)的發(fā)展，防火墻將會(huì)更多與芯片技術(shù)相融合，利用芯片提升計(jì)算的速度和精度，最終成為以芯片技術(shù)為主的全硬件型網(wǎng)關(guān)，大幅度提升網(wǎng)絡(luò)安全。（2）智能化。現(xiàn)階段，網(wǎng)絡(luò)安全威脅主要包括病毒傳播、網(wǎng)絡(luò)攻擊、內(nèi)容控制，其典型代表分別是蠕蟲(chóng)病毒和垃圾郵件。而目前防火墻對(duì)這些形式的威脅似乎沒(méi)有明顯效果，因此未來(lái)的防火墻技術(shù)一定是朝智能化方向發(fā)展的。（3）多元化。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，多種網(wǎng)絡(luò)模式已被運(yùn)用，未來(lái)的防火墻將會(huì)形成一種可隨意伸縮的模塊化解決方案，為不同網(wǎng)絡(luò)設(shè)置不同技術(shù)的防火墻，為用戶提供多元化的保障。

5結(jié)語(yǔ)

隨著人們對(duì)網(wǎng)絡(luò)技術(shù)的運(yùn)用越來(lái)越多，依賴性越來(lái)越強(qiáng)，人們對(duì)網(wǎng)絡(luò)安全也越加重視。實(shí)踐表明，防火墻在保障網(wǎng)絡(luò)安全方面成效顯著。為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)安全威脅，防火墻技術(shù)需要不斷地更新和發(fā)展，在保障網(wǎng)絡(luò)安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網(wǎng)絡(luò)安全，采用先進(jìn)技術(shù)，才能形成全方位的防御體系，保護(hù)人們的信息資源。

作者:張林 單位:中國(guó)航空動(dòng)力機(jī)械研究所

參考文獻(xiàn)

第7篇

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全技術(shù)；防火墻

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，各種信息在網(wǎng)絡(luò)中傳遞的速度越來(lái)越快，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在為人們帶來(lái)方便的同時(shí)，也給人們帶來(lái)極大的困擾。目前，很多行業(yè)都在使用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行信息管理，如果計(jì)算機(jī)網(wǎng)絡(luò)不安全，很容易造成信息泄露、丟失、修改等現(xiàn)象，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)成為當(dāng)前比較熱門(mén)的技術(shù)之一，防火墻安全防范技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的一種，在計(jì)算機(jī)網(wǎng)絡(luò)安全中發(fā)揮著十分重要的作用。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)安全的含義沒(méi)有明確的規(guī)定，不同的使用者對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的要求和認(rèn)識(shí)有很大的差別，但計(jì)算機(jī)網(wǎng)絡(luò)安全從本質(zhì)上講，包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟件安全、硬件安全、傳遞信息安全等幾部分，計(jì)算機(jī)網(wǎng)絡(luò)安全既需要技術(shù)安全也需要管理安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的主要內(nèi)容有保密性、安全協(xié)議、接入控制等三部分，任務(wù)用戶提供安全、可靠、真實(shí)、保密的信息是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的主要任務(wù)之一，如果計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)達(dá)不到保密要求，那么計(jì)算機(jī)網(wǎng)絡(luò)就沒(méi)有安全可言；安全協(xié)議是一種保護(hù)信息安全的手段，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全有十分重要的作用；接入控制主要是對(duì)接入網(wǎng)絡(luò)權(quán)限和相關(guān)限制進(jìn)行控制，由于網(wǎng)絡(luò)技術(shù)比較復(fù)雜，傳遞的信息比較多，因此，常在接入控制中采用加密技術(shù)。

2 防火墻安全防范技術(shù)

2.1 防火墻安全防范技術(shù)概述

在計(jì)算機(jī)網(wǎng)絡(luò)安全中，防火墻安全防范技術(shù)是一種計(jì)算機(jī)網(wǎng)絡(luò)安全防范應(yīng)用比較廣泛的技術(shù)，防火墻是重要的計(jì)算機(jī)網(wǎng)絡(luò)安全保障方式，在計(jì)算機(jī)網(wǎng)絡(luò)安全防范中，防火墻能對(duì)網(wǎng)絡(luò)環(huán)境的進(jìn)出權(quán)限進(jìn)行控制，對(duì)相關(guān)鏈接方式進(jìn)行檢查，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息進(jìn)行保護(hù)，防止網(wǎng)絡(luò)信息受到惡意破壞和干擾。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，防火墻大多是以獨(dú)立的系統(tǒng)或者利用網(wǎng)絡(luò)路由器進(jìn)行安全保護(hù)。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全中常用的防火墻技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)快速發(fā)展，防火墻安全防范技術(shù)也不斷的發(fā)生著變化，目前，常用的防火墻技術(shù)有型防火墻安全技術(shù)、包過(guò)濾型防火墻安全技術(shù)、監(jiān)測(cè)型防火墻安全技術(shù)、網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)等。

2.2.1 型防火墻安全技術(shù)

型防火墻安全技術(shù)是一種服務(wù)器，屬于高級(jí)防火墻技術(shù)，型防火墻安全技術(shù)常用于用戶之間，對(duì)可能對(duì)電腦信息造成危害的動(dòng)作進(jìn)行攔截，從用戶的角度講，服務(wù)器是有用的服務(wù)器，從服務(wù)器的角度看，型服務(wù)器，就是用戶機(jī)。當(dāng)用戶的計(jì)算機(jī)進(jìn)行信息溝通、傳遞時(shí)，所有的信息都會(huì)通過(guò)型服務(wù)器，型服務(wù)器會(huì)將不利的信息過(guò)濾掉，例如阻攔各種攻擊信息的行為，服務(wù)器會(huì)將真正的信息傳遞到用戶的計(jì)算機(jī)中。型防火墻技術(shù)的最大的特點(diǎn)是安全性能高，針對(duì)性強(qiáng)，能將不利的信息直接過(guò)濾掉。

2.2.2 包過(guò)濾型防火墻安全技術(shù)

包過(guò)濾防火墻安全技術(shù)是一種比較傳統(tǒng)的安全技術(shù)，其關(guān)鍵技術(shù)點(diǎn)是網(wǎng)絡(luò)分包傳輸，在信息傳遞過(guò)程中，以包為單位，每個(gè)數(shù)據(jù)包代表不同的含義，數(shù)據(jù)包可以根據(jù)信息數(shù)據(jù)的大小、信息的來(lái)源、信息的性質(zhì)等進(jìn)行劃分，包過(guò)濾防火墻技術(shù)就是對(duì)這些數(shù)據(jù)包進(jìn)行識(shí)別，判斷這些數(shù)據(jù)包是否合法，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)。

包過(guò)濾型防火墻安全技術(shù)是在計(jì)算機(jī)網(wǎng)路系統(tǒng)中設(shè)定過(guò)濾邏輯，使用相關(guān)軟件對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行控制，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)。包過(guò)濾防火墻技術(shù)的最重要的是包過(guò)濾技術(shù)，包過(guò)濾型防火墻安全技術(shù)的特點(diǎn)有適應(yīng)性強(qiáng)、實(shí)用性強(qiáng)、成本低，但包過(guò)濾型防火墻技術(shù)的最大缺點(diǎn)是不能對(duì)惡意程序、數(shù)據(jù)進(jìn)行進(jìn)行識(shí)別，一些非法人員可以偽造地址，繞過(guò)包過(guò)濾防火墻，直接對(duì)用戶計(jì)算機(jī)進(jìn)行攻擊。

2.2.3 監(jiān)測(cè)型防火墻安全技術(shù)

監(jiān)測(cè)型防火墻安全技術(shù)是對(duì)數(shù)據(jù)信息進(jìn)行檢測(cè)，從而提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但監(jiān)測(cè)型防火墻安全技術(shù)成本費(fèi)用比較高，不容易管理，從安全角度考慮，監(jiān)測(cè)型防火墻安全技術(shù)還是可以用于計(jì)算機(jī)網(wǎng)絡(luò)中。

2.2.4 網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)

網(wǎng)址轉(zhuǎn)換技術(shù)將網(wǎng)絡(luò)地址轉(zhuǎn)換成外部的、臨時(shí)的地址，這樣外部IP對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)，其他用戶不能利用其他IP重復(fù)訪問(wèn)網(wǎng)絡(luò)，外部IP在訪問(wèn)網(wǎng)絡(luò)時(shí)，首先會(huì)轉(zhuǎn)到記錄和識(shí)別中進(jìn)行身份確認(rèn)，系統(tǒng)的源地址通過(guò)外部網(wǎng)絡(luò)和非安全網(wǎng)卡連接真正的IP會(huì)轉(zhuǎn)換成虛擬的IP，將真正的IP隱藏起來(lái)。當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，如果符合相關(guān)準(zhǔn)則，防火墻就會(huì)允許用戶訪問(wèn)，如果檢測(cè)不符合準(zhǔn)則，防火墻就會(huì)認(rèn)為該訪問(wèn)不安全，進(jìn)行攔截。

3 防火墻安全防范技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

3.1 訪問(wèn)策略設(shè)置

訪問(wèn)策略設(shè)置是防火墻的核心安全策略，因此，在設(shè)置訪問(wèn)策略時(shí)，要采用詳細(xì)的信息說(shuō)明和詳細(xì)的系統(tǒng)統(tǒng)計(jì)，在設(shè)置過(guò)程中，要了解用戶對(duì)內(nèi)部及外部的應(yīng)用，掌握用戶目的地址、源地址，然后根據(jù)排序準(zhǔn)則和應(yīng)用準(zhǔn)則進(jìn)行設(shè)置在，這樣防火墻在執(zhí)行過(guò)程中，能按照相應(yīng)的順序進(jìn)行執(zhí)行。

3.2 安全服務(wù)配置

安全服務(wù)的是一個(gè)獨(dú)立的局域網(wǎng)絡(luò)，安全服務(wù)的隔離區(qū)將系統(tǒng)管理的機(jī)群和服務(wù)器的機(jī)群?jiǎn)为?dú)劃分出來(lái)，從而保障系統(tǒng)管理和服務(wù)器的信息安全，安全服務(wù)既是獨(dú)立的網(wǎng)絡(luò)又是計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的重要組成部分。對(duì)于內(nèi)部網(wǎng)絡(luò)可以采用網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)進(jìn)行保護(hù)，將主機(jī)地址設(shè)置成有效的IP地址，并且將這些網(wǎng)址設(shè)置公用地址，這樣就能對(duì)外界IP地址進(jìn)行攔截，有效的保護(hù)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全，確保計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。如果企業(yè)擁有邊界路由器，可以利用原有的邊界路由器，采用包過(guò)濾防火墻安全技術(shù)進(jìn)行網(wǎng)絡(luò)安全保護(hù)，這樣還可有降低防火墻成本費(fèi)用。

3.3 日志監(jiān)控

日志監(jiān)控是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要管理手段之一，在進(jìn)行日志監(jiān)控時(shí)，一些管理員認(rèn)為不必要進(jìn)行日志信息采集，但防火墻信息數(shù)據(jù)很多，并且這些信息十分繁雜，只有收集關(guān)鍵的日志，才能當(dāng)做有效的日志。系統(tǒng)警告信息十分重要，對(duì)進(jìn)入防火墻的信息進(jìn)行選擇性記錄，就能記錄下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)有威脅的信息。

4 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展必然會(huì)為網(wǎng)絡(luò)安全帶來(lái)一定的隱患，因此，要不斷更新完善計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，改革防火墻安全防范技術(shù)，抵抗各種對(duì)計(jì)算機(jī)信息有害的行為，提高計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)能力，確保計(jì)算機(jī)網(wǎng)絡(luò)安全，從而保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運(yùn)行。

參考文獻(xiàn)

[1]王麗玲.淺談?dòng)?jì)算機(jī)安全與防火墻技術(shù)[J].電腦開(kāi)發(fā)與應(yīng)用，2012（11）：67-69.

[2]劉可.基于計(jì)算機(jī)防火墻安全屏障的網(wǎng)絡(luò)防范技術(shù)[J].電腦知識(shí)與技術(shù)，2013，9（06）：1308-1309.

[3]徐囡囡.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)的研究和應(yīng)用[J].信息與電腦（理論版），2011（06）：106-108.

[4]王吉.基于計(jì)算機(jī)防火墻安全屏障的網(wǎng)路防范技術(shù)[J].信息與電腦（理論版），2014（01）：162-163.

第8篇

關(guān)鍵詞：計(jì)算機(jī) 互聯(lián)網(wǎng) 防火墻 網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）05-0197-01

1 引言

網(wǎng)絡(luò)安全對(duì)于國(guó)家民族以及社會(huì)穩(wěn)定的作用影響較為深遠(yuǎn)，進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全的分析研究，主要也是進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)的研究分析。在計(jì)算機(jī)安全問(wèn)題研究中，造成計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題以及隱患發(fā)生的主要因素包括，計(jì)算機(jī)網(wǎng)絡(luò)病毒以及計(jì)算機(jī)網(wǎng)絡(luò)犯罪、計(jì)算機(jī)網(wǎng)絡(luò)黑客等，并且隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在商業(yè)領(lǐng)域中的應(yīng)用范圍不斷擴(kuò)大，上述因素造成的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題影響與經(jīng)濟(jì)損失也在不斷增加，該文將結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全指標(biāo)與等級(jí)標(biāo)準(zhǔn)，從防火墻安全屏障的概念含義分析出發(fā)，對(duì)于常用的計(jì)算機(jī)防火墻網(wǎng)絡(luò)安全防范技術(shù)進(jìn)行分析介紹。

2 計(jì)算機(jī)防火墻的概念和功能

2.1 概念

防火墻是一種具象化的表述，又被稱為防護(hù)墻，于1993年被運(yùn)用到互聯(lián)網(wǎng)中，防火墻的實(shí)質(zhì)是一種介于網(wǎng)絡(luò)內(nèi)部和外部之間，為了對(duì)信息起到保護(hù)作用的安全系統(tǒng)，簡(jiǎn)單來(lái)說(shuō)就是一種對(duì)于網(wǎng)絡(luò)訪問(wèn)的篩選和控制技術(shù)。防火墻的工作原理是通過(guò)計(jì)算機(jī)中的硬件和軟件進(jìn)行結(jié)合，形成一個(gè)作用于不同網(wǎng)絡(luò)的安全管卡，從而使得其具備對(duì)于各種信息的驗(yàn)證和過(guò)濾功能。談到網(wǎng)絡(luò)防范技術(shù)，就必須要提到防火墻技術(shù)，這是在信息安全防護(hù)中運(yùn)用的最為廣泛，也是最為基礎(chǔ)的技術(shù)。它通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行限制和分析，實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)活動(dòng)的監(jiān)控，如果探測(cè)到問(wèn)題的發(fā)生，就會(huì)自動(dòng)進(jìn)行屏蔽。這種技術(shù)主要是在網(wǎng)絡(luò)中運(yùn)用的，能夠很好的過(guò)濾不良信息，自動(dòng)的抵抗安全威脅，使得信息在網(wǎng)絡(luò)上的傳播和交流能夠擁有安全可靠的環(huán)境。

2.2 功能

防火墻，顧名思義，其功能的核心在于對(duì)非法或者是不良的訪問(wèn)進(jìn)行限制，起到安全防范的作用。而且隨著技術(shù)的進(jìn)步，更新一代的防火墻開(kāi)始具備傳統(tǒng)防火墻所沒(méi)有的功能，比如微軟的windows7系統(tǒng)中自帶的防火墻，可以對(duì)數(shù)據(jù)包進(jìn)行自動(dòng)的過(guò)濾和分析，更具職能性。總之，防火墻能夠強(qiáng)化計(jì)算機(jī)與網(wǎng)絡(luò)的信息安全，能夠?qū)ヂ?lián)網(wǎng)的訪問(wèn)進(jìn)行分析和控制，能夠?qū)Σ涣己头欠ㄐ畔⑦M(jìn)行檢測(cè)和過(guò)濾，功能可靠且強(qiáng)大。

3 常用防火墻技術(shù)分析

3.1 包過(guò)濾型

這類產(chǎn)品在防火墻中屬于最為初級(jí)和基本的，其工作原理是互聯(lián)網(wǎng)中的最為核心的概念，即分包傳輸。我們都知道，在網(wǎng)絡(luò)上，信息和數(shù)據(jù)在傳輸過(guò)程中要以“包”為單位，在傳輸之前，信息會(huì)被進(jìn)行既定的分割，這些被處理過(guò)的信息就被稱為“數(shù)據(jù)包”。每個(gè)數(shù)據(jù)包中所涵蓋的信息是不同的，而防火墻在接收到這些數(shù)據(jù)包后，會(huì)通過(guò)分析其地址來(lái)源和危險(xiǎn)系數(shù)，從而判斷出其中的信息是否會(huì)對(duì)網(wǎng)絡(luò)安全造成危害，一旦有妨害危險(xiǎn)，這些“數(shù)據(jù)包”就會(huì)被系統(tǒng)自動(dòng)過(guò)濾，當(dāng)然，為了實(shí)際考慮，防火墻的判斷規(guī)則是可以被修改的，這取決于用戶的安全需求。

3.2 型

這種類型的防火墻又叫做服務(wù)器，它是比包過(guò)濾型防火墻較為高端，功能較多的一種技術(shù)類型。它不僅擁有包過(guò)濾型的功能價(jià)值，而且隨著技術(shù)的不斷發(fā)展，這一類型的產(chǎn)品在慢慢向應(yīng)用層面轉(zhuǎn)變。型具有高可靠性的特點(diǎn)，但是由于要在使用前進(jìn)行設(shè)定，所以在方便性上明顯不足。

3.3 監(jiān)測(cè)型

作為防火墻技術(shù)的最新成就，監(jiān)測(cè)型已經(jīng)不再局限于單純的防火墻傳統(tǒng)價(jià)值。它最大的特點(diǎn)就是實(shí)時(shí)性和主動(dòng)性，可以對(duì)于不同節(jié)點(diǎn)和層面的信息進(jìn)行全方位的監(jiān)測(cè)，并通過(guò)自帶的強(qiáng)大分析和處理系統(tǒng)，對(duì)非法侵入進(jìn)行防范。不過(guò)監(jiān)測(cè)型最為突出的特點(diǎn)是其對(duì)于網(wǎng)絡(luò)內(nèi)部威脅的防范性，因?yàn)槠渥詭У姆植际教綔y(cè)器可以對(duì)于任何節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)，所以不僅對(duì)于網(wǎng)外，網(wǎng)內(nèi)也可以起到安全防范的作用。

4 結(jié)語(yǔ)

綜上所述，我們知道防火墻技術(shù)在計(jì)算機(jī)和互聯(lián)網(wǎng)中的運(yùn)用意義十分重大，雖然隨著科技的進(jìn)步，越來(lái)越多的網(wǎng)絡(luò)防范信息安全技術(shù)被創(chuàng)造出來(lái)，但是其基本地位是無(wú)法被取代的。在在信息資源的傳播和交流過(guò)程中，由于網(wǎng)絡(luò)的一些特性和社會(huì)中不良分子的影響，使得安全保密問(wèn)題成為計(jì)算機(jī)信息系統(tǒng)的重點(diǎn)和難點(diǎn)，所以一定要不斷的創(chuàng)新，提高技術(shù)含量，使得防火墻發(fā)揮出更強(qiáng)大的功能。

參考文獻(xiàn)

[1]張安妮，李明東.拒絕服務(wù)（DoS）攻擊的分析與防御對(duì)策[A].辦公自動(dòng)化學(xué)會(huì).OA’2005第九屆辦公自動(dòng)化國(guó)際學(xué)術(shù)研討會(huì)論文集[C].辦公自動(dòng)化學(xué)會(huì)，2005：4.

[2]陳關(guān)勝.防火墻技術(shù)現(xiàn)狀與發(fā)展趨勢(shì)研究[A].中國(guó)優(yōu)選法統(tǒng)籌法與經(jīng)濟(jì)數(shù)學(xué)研究會(huì)計(jì)算機(jī)模擬分會(huì).信息化、工業(yè)化融合與服務(wù)創(chuàng)新――第十三屆計(jì)算機(jī)模擬與信息技術(shù)學(xué)術(shù)會(huì)議論文集[C].中國(guó)優(yōu)選法統(tǒng)籌法與經(jīng)濟(jì)數(shù)學(xué)研究會(huì)計(jì)算機(jī)模擬分會(huì)，2011：6.

第9篇

關(guān)鍵詞：防火墻技術(shù) 校園網(wǎng)絡(luò) 安全應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）10-0210-01

隨著社會(huì)的高速發(fā)展，計(jì)算機(jī)和互聯(lián)網(wǎng)科技得到了全球化普及，不同的用戶都能通過(guò)計(jì)算機(jī)等網(wǎng)絡(luò)終端在互聯(lián)網(wǎng)的交流中滿足自我需求。新時(shí)期下，學(xué)校的教學(xué)任務(wù)中也相應(yīng)地增加了網(wǎng)絡(luò)方面的系統(tǒng)知識(shí)，既要引導(dǎo)學(xué)生如何正確利用計(jì)算機(jī)和互聯(lián)網(wǎng)開(kāi)展學(xué)習(xí)和工作，又要加強(qiáng)學(xué)生的網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全操作技能。互聯(lián)網(wǎng)在校園內(nèi)基本實(shí)現(xiàn)了全面鋪設(shè)，頻繁使用過(guò)程中必然也容易產(chǎn)生諸多安全問(wèn)題，阻礙教學(xué)科研等工作的順利開(kāi)展。要加強(qiáng)校園網(wǎng)絡(luò)的安全性，必然需要重視防火墻技術(shù)，并通過(guò)積極努力實(shí)現(xiàn)在效果網(wǎng)絡(luò)中的應(yīng)用。

1 防火墻技術(shù)簡(jiǎn)述

防火墻技術(shù)的主要保護(hù)對(duì)象是某一網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的安全性。借助不斷更新的電腦硬件和軟件，現(xiàn)代技術(shù)能夠在某一局域網(wǎng)絡(luò)與外源互聯(lián)網(wǎng)之間搭建安全防護(hù)體系，從而實(shí)現(xiàn)了對(duì)外部危險(xiǎn)信息的隔絕，保障局域內(nèi)網(wǎng)的信息安全。這種抵御外來(lái)入侵的技術(shù)就是防火墻技術(shù)。因?yàn)榉阑饓Φ拇嬖冢瑒e有用心的網(wǎng)絡(luò)用戶對(duì)局域網(wǎng)展開(kāi)的非法訪問(wèn)直接被拒絕和阻止。其主要的作用原理是將眾多沒(méi)有得到內(nèi)網(wǎng)主機(jī)驗(yàn)證的IP地址碼進(jìn)行分組，形成具有高度隱蔽性的偽裝，同時(shí)其地址功能主動(dòng)斷開(kāi)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)連接，使得內(nèi)網(wǎng)有了可靠的安全屏障。正是源于這樣的作用機(jī)理，包括校園網(wǎng)、機(jī)關(guān)單位內(nèi)網(wǎng)等網(wǎng)絡(luò)都搭建了包含防火墻技術(shù)的安全防御系統(tǒng)。

2 校園網(wǎng)絡(luò)安全性的內(nèi)涵

校園網(wǎng)的用戶主要是廣大師生群體。這樣的內(nèi)網(wǎng)系統(tǒng)必然包含更多用于教學(xué)和科研等交流內(nèi)容的數(shù)據(jù)，具有一定的特殊性，因此，校園網(wǎng)的安全性必然需要高度重視，才能確保網(wǎng)絡(luò)可靠運(yùn)行，過(guò)濾眾多社會(huì)不良信息，保護(hù)內(nèi)部資源的流失。校園網(wǎng)絡(luò)的安全性主要體現(xiàn)在幾個(gè)方面：①?gòu)?qiáng)化相關(guān)網(wǎng)絡(luò)安全制度，實(shí)現(xiàn)優(yōu)質(zhì)高效的安全管理；②較高的用戶身份識(shí)別，可以有效區(qū)分不法分子入侵；③防火墻的構(gòu)建，及時(shí)阻止外界不健康的信息的傳播，并主動(dòng)過(guò)濾和屏蔽不信任網(wǎng)站；④師生個(gè)人信息的嚴(yán)密保存，通過(guò)各種加密措施實(shí)現(xiàn)信息安全，杜絕失竊或篡改行為；⑤安全監(jiān)控系統(tǒng)的建立，能夠?qū)π@內(nèi)的各種網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和保護(hù)。

3 防火墻技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用體現(xiàn)

3.1 不斷鞏固和優(yōu)化內(nèi)網(wǎng)防火墻

學(xué)校作為網(wǎng)絡(luò)應(yīng)用更為頻繁的集中區(qū)域，不但要加強(qiáng)網(wǎng)絡(luò)安全的制度管理和行為管理，更要在網(wǎng)絡(luò)應(yīng)用中不斷改良和優(yōu)化防火墻技術(shù)的，使之始終保持與校園發(fā)展環(huán)境的適應(yīng)性。學(xué)校應(yīng)該組建專業(yè)部門(mén)和專業(yè)人員，落實(shí)網(wǎng)絡(luò)防火墻的重點(diǎn)建設(shè)，全面考察市場(chǎng)中的防火墻技術(shù)，引進(jìn)與校園網(wǎng)絡(luò)環(huán)境高匹配度的設(shè)備和技術(shù)，例如當(dāng)前華為集團(tuán)收購(gòu)賽門(mén)鐵克企業(yè)后強(qiáng)強(qiáng)聯(lián)合推出的多業(yè)務(wù)防火墻系列，高達(dá)2000數(shù)值的吞吐量，集合Dos.DDoS系統(tǒng)加強(qiáng)檢測(cè)外界入侵，設(shè)備上設(shè)置1個(gè)廣域網(wǎng)接口，8個(gè)局域網(wǎng)接口，配置有可擴(kuò)展式插槽。這樣的防火墻配置有多核處理器，能夠同時(shí)滿足不同網(wǎng)絡(luò)用戶的需求。校園網(wǎng)應(yīng)該緊跟時(shí)展，引進(jìn)更高技術(shù)的安全保護(hù)設(shè)備，才能實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全運(yùn)行。

3.2 實(shí)時(shí)開(kāi)展外界不良入侵監(jiān)控

網(wǎng)絡(luò)入侵是當(dāng)前互聯(lián)網(wǎng)應(yīng)用的常見(jiàn)風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)進(jìn)行入侵監(jiān)控，能夠及時(shí)對(duì)出現(xiàn)的網(wǎng)絡(luò)問(wèn)題采取相應(yīng)的檢測(cè)，并保持跟蹤記錄，便于未來(lái)具體處理時(shí)可供參考。防火墻技術(shù)應(yīng)該加強(qiáng)對(duì)于不同等級(jí)的外界入侵攻擊的有效防御能力。尤其在校園網(wǎng)中，入侵檢測(cè)功能能夠?qū)⒛扯螘r(shí)間出現(xiàn)的異常狀況，以電郵的形式及時(shí)匯報(bào)到網(wǎng)絡(luò)管理員處，管理員在啟酉嚶υぞ機(jī)制后將積極開(kāi)展危機(jī)處理。

3.3 加強(qiáng)登錄用戶認(rèn)證

校園防火墻可以直接對(duì)登錄網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，同時(shí)也能夠?qū)τ脩酎c(diǎn)擊訪問(wèn)的不同網(wǎng)站進(jìn)行認(rèn)證。如發(fā)現(xiàn)某網(wǎng)站不可信，或存在其他風(fēng)險(xiǎn)，防火墻將及時(shí)鎖定用戶數(shù)據(jù)庫(kù)信息，完成IP地址或MAC地址的綁定，從未限制用戶進(jìn)入該網(wǎng)站，顯示為無(wú)法訪問(wèn)。

3.4 保持系統(tǒng)的日常檢測(cè)維護(hù)

防火墻在安裝接入到校園網(wǎng)后，就會(huì)始終保持工作狀態(tài)。因此，應(yīng)該由專人開(kāi)展定期檢查和維護(hù)工作。通過(guò)查閱某一周期內(nèi)的網(wǎng)絡(luò)流量，核對(duì)異常記錄，加強(qiáng)對(duì)網(wǎng)絡(luò)日志的備份和清除，提供可存儲(chǔ)效率。

3.5 持續(xù)開(kāi)展系統(tǒng)漏洞掃描

校園網(wǎng)絡(luò)防火墻的應(yīng)用，不但能夠有效降低來(lái)自外網(wǎng)的危險(xiǎn)入侵，而且能夠?qū)ψ陨淼木W(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描。網(wǎng)絡(luò)結(jié)構(gòu)一向具有復(fù)雜性，無(wú)論是簡(jiǎn)單的程序還是復(fù)雜的軟件運(yùn)行，都會(huì)導(dǎo)致網(wǎng)絡(luò)出現(xiàn)一定的不良反應(yīng)，從而產(chǎn)生異常。防火墻技術(shù)在功能優(yōu)化后，應(yīng)成為專業(yè)網(wǎng)管的有力輔助工具，人工與機(jī)器的同步掃描下，網(wǎng)絡(luò)漏洞存在的概率進(jìn)一步降低，安全隱患能夠在較短的時(shí)間內(nèi)被消除。

3.6 選購(gòu)正規(guī)可靠的相關(guān)防御裝置

談及防火墻技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用，還應(yīng)該注意加強(qiáng)對(duì)防御裝置的選購(gòu)。當(dāng)前市面上防火墻類別五花八門(mén)，使用效果也不盡相同，因此，還是應(yīng)該面向擁有市場(chǎng)好口碑的主流產(chǎn)品進(jìn)行選購(gòu)，如金山網(wǎng)絡(luò)防護(hù)、天網(wǎng)安全系統(tǒng)等。學(xué)校在確保自身投入符合預(yù)算要求后，可以配備更多的配套裝置，如校園網(wǎng)專業(yè)瀏覽器、服務(wù)器、專業(yè)版殺毒軟件等等，借助不同手段綜合提升網(wǎng)絡(luò)安全保護(hù)能力。

4 結(jié)語(yǔ)

校園網(wǎng)絡(luò)的安全問(wèn)題值得重視。在加強(qiáng)制度管理、行為管理的同時(shí)，對(duì)于網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用要保持科學(xué)性和嚴(yán)謹(jǐn)性。不但需要積極購(gòu)入設(shè)備優(yōu)化防火墻、加強(qiáng)入侵檢查和用戶認(rèn)證、加強(qiáng)日常檢測(cè)維護(hù)和漏洞掃描，更要結(jié)合其他手段，形成多元化的綜合防御系統(tǒng)，才能更好地實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全運(yùn)行。

參考文獻(xiàn)

[1]楊帆.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].科技展望，2015（35）：10.

[2]王謙，馬全福.關(guān)于現(xiàn)代網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)絡(luò)中的應(yīng)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016 （02）：30-31.

[3]馬麗君.淺析防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（12）：64，66.

第10篇

關(guān)鍵詞計(jì)算機(jī)；網(wǎng)絡(luò)安全；防火墻技術(shù)；應(yīng)用對(duì)策

中圖分類號(hào)TP3文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)1674-6708（2018）210-0147-02

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)在各個(gè)行業(yè)大力普及并實(shí)現(xiàn)了網(wǎng)絡(luò)互連信息共享。但是，網(wǎng)絡(luò)的開(kāi)放性給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)了威脅，為病毒和黑客提供了可入侵的空間。為了防止計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中遭到病毒的攻擊，采用防火墻技術(shù)是非常必要的。

通過(guò)分析網(wǎng)絡(luò)型病毒，根據(jù)對(duì)病毒以及黑客的分析結(jié)果具有針對(duì)性地使用防火墻技術(shù)，塑造安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，可以保證計(jì)算機(jī)網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。

1防火墻技術(shù)的概述

防火墻的構(gòu)成上主要包括3個(gè)部分，即限制器、分離器和分析器。防火墻是用于計(jì)算機(jī)防病毒的硬件，安裝在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間，對(duì)互聯(lián)網(wǎng)信息進(jìn)入到內(nèi)部網(wǎng)可以起到門(mén)戶的作用，對(duì)于不良信息進(jìn)行阻隔，可以起到降低內(nèi)部網(wǎng)遭到病毒侵襲的發(fā)生率[1]。

可見(jiàn)，防火墻技術(shù)事實(shí)上是隔離技術(shù)。如果外網(wǎng)信息傳遞中，經(jīng)過(guò)防火墻檢測(cè)屬于安全信息，就可以允許進(jìn)入到內(nèi)部網(wǎng)絡(luò)。防火墻是保證計(jì)算機(jī)安全運(yùn)行環(huán)境的重要屏障。防火墻技術(shù)所發(fā)揮的功能具體如下。

1.1防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全可以起到強(qiáng)化作用

防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全可以起到強(qiáng)化作用，體現(xiàn)在防火墻的設(shè)計(jì)方案、口令等都是根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行需要量身定做的。

安裝防火墻后，計(jì)算機(jī)可以過(guò)濾不安全信息，使得網(wǎng)絡(luò)環(huán)境更為安全。防火墻可以禁止網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)（NetworkFileSystem；縮寫(xiě)：NFS），對(duì)網(wǎng)絡(luò)起到一定的保護(hù)作用，不良企圖的分子就不會(huì)利用網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)攻擊內(nèi)部網(wǎng)。防火墻還可以拒絕各種類型的數(shù)據(jù)塊，即網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元，即為報(bào)文（message），可以進(jìn)行一次性發(fā)送，由此提高了內(nèi)網(wǎng)的安全性。

如果發(fā)現(xiàn)有不良信息，還可以及時(shí)通知管理員，由此可以降低自身的損失率。

1.2防火墻技術(shù)可以避免內(nèi)網(wǎng)信息出現(xiàn)泄露問(wèn)題

防火墻技術(shù)可以將重點(diǎn)網(wǎng)段起到保護(hù)作用，發(fā)揮隔離作用，使得內(nèi)網(wǎng)之間的訪問(wèn)受到限制。內(nèi)網(wǎng)的訪問(wèn)人員得到有效控制，對(duì)于經(jīng)過(guò)審查后存在隱患的用戶就可以通過(guò)防火墻技術(shù)進(jìn)行隔離，使得內(nèi)網(wǎng)的數(shù)據(jù)信息更為安全[2]。

在內(nèi)網(wǎng)中，即便是不被人注意的細(xì)節(jié)也會(huì)引起不良用戶的興趣而發(fā)起攻擊，使得內(nèi)網(wǎng)的數(shù)據(jù)信息泄露，這是由于內(nèi)網(wǎng)產(chǎn)生漏洞所導(dǎo)致的。

比如，F(xiàn)inger作為UNIX系統(tǒng)中的實(shí)用程序，是用于查詢用戶的具體情況的。如果Finger顯示了用戶的真實(shí)姓名、訪問(wèn)的時(shí)間，不良用戶一旦獲得這些信息后，就會(huì)對(duì)UNIX系統(tǒng)的使用程度充分了解。在網(wǎng)絡(luò)運(yùn)行狀態(tài)下，不良用戶就會(huì)對(duì)UNIX系統(tǒng)進(jìn)行在線攻擊。

防火墻技術(shù)的應(yīng)用，就可以避免這種網(wǎng)絡(luò)攻擊事件發(fā)生。域名系統(tǒng)（DomainNameSystem；縮寫(xiě)DNS）會(huì)被隱藏起來(lái)，主機(jī)用戶真實(shí)姓名以及IP地址都不是真實(shí)的，不良用戶即便攻擊，防火墻技術(shù)發(fā)揮作用，使得沒(méi)有授權(quán)的信息不會(huì)進(jìn)入到網(wǎng)絡(luò)環(huán)境中，保護(hù)了網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全性能有所提高[3]。

1.3防火墻技術(shù)可以對(duì)網(wǎng)絡(luò)訪問(wèn)的現(xiàn)象起到一定的監(jiān)督控制作用

計(jì)算機(jī)安裝防火墻后，所有對(duì)主機(jī)的訪問(wèn)都要接受防火墻的審查，在防火墻技術(shù)的使用中，完整的訪問(wèn)記錄會(huì)被制作出來(lái)。

如果有可疑的現(xiàn)象存在，防火墻就會(huì)啟動(dòng)報(bào)警系統(tǒng)，不良用戶的IP地址提供出來(lái)，包括各種記錄的信息、網(wǎng)絡(luò)活動(dòng)狀態(tài)都會(huì)接受審計(jì)，而且還可以做出安全分析，對(duì)于各種威脅也可以進(jìn)行詳細(xì)分析。通過(guò)使用防火墻技術(shù)，就可以使得不良用戶被抵擋在“門(mén)”外，由此起到了預(yù)防隱患的作用[4]。

2防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

2.1采用防火墻技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行加密

采用防火墻技術(shù)對(duì)計(jì)算機(jī)數(shù)據(jù)信息實(shí)施保護(hù)，就是通過(guò)數(shù)據(jù)信息加密的方法對(duì)數(shù)據(jù)信息實(shí)施保護(hù)。

在數(shù)據(jù)信息進(jìn)行傳輸或者對(duì)數(shù)據(jù)信息存儲(chǔ)的過(guò)程中，就可以采用加密的形式，以保證數(shù)據(jù)信息在傳輸?shù)倪^(guò)程容易被識(shí)辨，而且真實(shí)的信息被加密之后，就會(huì)被錯(cuò)誤的信息所覆蓋，不會(huì)被病毒所攻擊而導(dǎo)致信息缺失或者被篡改，由此降低了被網(wǎng)絡(luò)病毒攻擊的幾率。

對(duì)數(shù)據(jù)信息采用防火墻技術(shù)實(shí)施保護(hù)，所使用的密碼是通過(guò)密碼算法計(jì)算出來(lái)的，這些密碼可以是對(duì)稱的，也可以是不對(duì)稱的。

對(duì)稱密碼所加密的數(shù)據(jù)信息，加密的密碼與解密的密碼是相同的，密碼的安全度不是很高，所以密碼與數(shù)據(jù)信息的保密程度密切相關(guān)；不對(duì)稱密碼對(duì)數(shù)據(jù)信息加密所采用的密碼與解密的密碼不同，而解密密碼的安全度直接決定了數(shù)據(jù)信息的安全度[5]，所以不對(duì)稱密碼所發(fā)揮的保密作用會(huì)更好一些。

2.2防火墻技術(shù)對(duì)域網(wǎng)系統(tǒng)安全運(yùn)行提供保護(hù)

應(yīng)用防火墻技術(shù)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，是為了防止不良訪問(wèn)者攻擊網(wǎng)絡(luò)。防火墻安裝在網(wǎng)絡(luò)系統(tǒng)的外部，阻止來(lái)自外部網(wǎng)絡(luò)的病毒攻擊，由此維護(hù)了內(nèi)部網(wǎng)絡(luò)環(huán)境的安全。

防火墻技術(shù)重在保證信息安全，是基于網(wǎng)絡(luò)通信技術(shù)建立起來(lái)的。對(duì)于兩個(gè)網(wǎng)絡(luò)之間有不同的信任程度，就可以使用防火墻這種防護(hù)設(shè)備，由此避免了外來(lái)病毒的攻擊[6]。

防火墻技術(shù)發(fā)揮作用，可以避免非法用戶訪問(wèn)，確保網(wǎng)絡(luò)處于安全穩(wěn)定的運(yùn)行狀態(tài)，維護(hù)了網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息。

當(dāng)瀏覽網(wǎng)絡(luò)信息的過(guò)程中有“不良信息被攔截”的提示的時(shí)候，就意味著在網(wǎng)絡(luò)上已經(jīng)安裝了防火墻，對(duì)網(wǎng)絡(luò)起到了安全保護(hù)的作用，對(duì)不良信息進(jìn)行了成功攔截。

防火墻技術(shù)的應(yīng)用，不僅可以發(fā)揮攔截信息的功能，還會(huì)阻攔垃圾信息并對(duì)垃圾信息自動(dòng)刪除，避免產(chǎn)生信息擾而無(wú)法發(fā)揮其作用的現(xiàn)象。

防火墻安裝在局域網(wǎng)和互聯(lián)網(wǎng)之間，當(dāng)信息在網(wǎng)絡(luò)之間傳輸?shù)臅r(shí)候，防火墻就會(huì)檢驗(yàn)信息，對(duì)局域網(wǎng)系統(tǒng)運(yùn)行實(shí)施了安全保護(hù)。

比如，采用防火墻技術(shù)對(duì)校園網(wǎng)數(shù)據(jù)中心所接收的信息實(shí)時(shí)檢測(cè)。對(duì)于要通過(guò)防火墻的病毒，防火墻技術(shù)就可以發(fā)揮病毒檢測(cè)作用，對(duì)數(shù)據(jù)庫(kù)中心進(jìn)行防護(hù)。當(dāng)數(shù)據(jù)庫(kù)中心被攻擊，防火墻技術(shù)就可以在線檢測(cè)，有效地阻斷網(wǎng)絡(luò)型病毒的不良影響[7]。

3結(jié)論

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)是開(kāi)放的空間，在虛擬的網(wǎng)絡(luò)空間中實(shí)現(xiàn)信息共享，這就為網(wǎng)絡(luò)型病毒的入侵提供了可利用的空間。

計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中，做好安全維護(hù)工作是非常必要的，以在充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用的同時(shí)，還可以提高信息傳播質(zhì)量。

計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中，由于安全維護(hù)不到位而存在問(wèn)題，就會(huì)給病毒以可乘之機(jī)，使得病毒會(huì)通過(guò)網(wǎng)絡(luò)運(yùn)行中所存在的系統(tǒng)漏洞而入侵到計(jì)算機(jī)系統(tǒng)中。為了避免由此導(dǎo)致的嚴(yán)重后果，就需要對(duì)網(wǎng)絡(luò)型病毒進(jìn)行分析，對(duì)防火墻技術(shù)充分利用，做好計(jì)算機(jī)網(wǎng)絡(luò)的安全維護(hù)工作，以避免計(jì)算機(jī)網(wǎng)絡(luò)遭到威脅。

參考文獻(xiàn) 

[1]胡菊.計(jì)算機(jī)網(wǎng)絡(luò)安全方面問(wèn)題的分析[J].中國(guó)電子商情（科技創(chuàng)新），2014（3）：15. 

[2]姜可.淺談防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013（4）：178-179. 

[3]駱兵.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦（理論版），2016（4）：54-55. 

[4]張武帥，王東飛.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用探究[J].電腦知識(shí)與技術(shù)，2015（31）：35-36. 

[5]李國(guó)勝，張靜薇.計(jì)算機(jī)網(wǎng)絡(luò)安全管理相關(guān)安全技術(shù)探析[J].科技創(chuàng)新導(dǎo)報(bào)，2013（8）：215. 

[6]楊敏.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用探討[J].科技創(chuàng)新與應(yīng)用，2014（23）：72. 

第11篇

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)；新一代

一、新一代防火墻技術(shù)的特點(diǎn)

1、多級(jí)過(guò)濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

2、透明的訪問(wèn)方式

以前的防火墻在訪問(wèn)方式上要么要求用戶作系統(tǒng)登錄，要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。新一代防火墻利用了透明的系統(tǒng)技術(shù)從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

3、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

新一代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

4、用戶鑒別與加密

為了降低防火墻產(chǎn)品在Telnet FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)鑒別功能必不可少第四代防火墻采用一次性使用的口令字系統(tǒng)來(lái)作為用戶的鑒別手段并實(shí)現(xiàn)了對(duì)郵件的加密

5、審計(jì)和告警。

新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、己發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。

二、新一代防火墻技術(shù)的應(yīng)用和發(fā)展

1、智能防火墻技術(shù)

智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地切斷惡意病毒或木馬的流量攻擊。智能防火墻能智能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。智能防火墻支持包擦洗技術(shù)，對(duì)IP、TCP、UDP、ICMP等協(xié)議的擦洗，實(shí)現(xiàn)協(xié)議的正常化，消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對(duì)消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來(lái)的威脅，效果顯著。智能防火墻增加了對(duì)IP層的身份認(rèn)證。基于身份來(lái)實(shí)現(xiàn)訪問(wèn)控制。總之，智能防火墻解決了拒絕服務(wù)攻擊的問(wèn)題、病毒傳播問(wèn)題和高級(jí)應(yīng)用入侵問(wèn)題，代表著防火墻的主流發(fā)展方向，與傳統(tǒng)防火墻相比有質(zhì)的飛躍。主要應(yīng)用領(lǐng)域主要包括:入侵防御、防范黑客攻擊、防范潛在風(fēng)險(xiǎn)、防范惡意數(shù)據(jù)攻擊、防范，，智能防火墻在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、身份認(rèn)證授權(quán)和審計(jì)管理等方面。

2、嵌入式防火墻技術(shù)

嵌入式防火墻也被稱為阻塞點(diǎn)防火墻，是內(nèi)潛于路由器或交換機(jī)的防火墻。嵌入式防火墻工作于IP層，所以無(wú)法保護(hù)網(wǎng)絡(luò)免受病毒、蠕蟲(chóng)和特洛伊木馬程序等來(lái)自應(yīng)用層的威脅。就本質(zhì)而言，嵌入式防火墻常常是無(wú)監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)。嵌入式防火墻彌補(bǔ)并改善各類安全能力不足的企業(yè)邊緣防火墻、防病毒程序、基于主機(jī)的應(yīng)用程序、入侵檢測(cè)告警程序以及網(wǎng)絡(luò)程序而設(shè)計(jì)，它確保了企業(yè)內(nèi)部與外部的網(wǎng)絡(luò)具有以下功能:不論企業(yè)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)如何變更，防護(hù)措施都能延伸到網(wǎng)絡(luò)邊緣為網(wǎng)絡(luò)提供保護(hù);基于硬件、能夠防范入侵的安全特性能獨(dú)立于主機(jī)操作系統(tǒng)與其他安全性程序運(yùn)行，甚至在安全性較差的寬帶鏈路上都能實(shí)現(xiàn)安全移動(dòng)與遠(yuǎn)程接入，可管理的執(zhí)行方式使企業(yè)安全性能夠被用戶策略而非物理設(shè)施來(lái)進(jìn)行定義。能夠?yàn)槟切┬枰诩以L問(wèn)公司局域網(wǎng)的遠(yuǎn)程辦公用戶提供了保護(hù)。

3、分布式防火墻技術(shù)

分布式防火墻產(chǎn)品是指那些駐留在網(wǎng)絡(luò)主機(jī)如服務(wù)器或桌面機(jī)并對(duì)主機(jī)系統(tǒng)自身提供安全保護(hù)的軟件產(chǎn)品。它包含:(l)網(wǎng)絡(luò)防火墻。用于內(nèi)部網(wǎng)和外部網(wǎng)之間和內(nèi)部網(wǎng)子網(wǎng)之間的保護(hù)產(chǎn)品，后者區(qū)別于前者的一個(gè)特征是需支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。(2)主機(jī)防火墻。對(duì)于網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這些主機(jī)的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外，如托管服務(wù)器或便攜式計(jì)算機(jī)。分布式防火墻克服了傳統(tǒng)防火墻的缺陷，它的優(yōu)勢(shì)在于:在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來(lái)自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用;與拓?fù)錈o(wú)關(guān)，支持移動(dòng)計(jì)算。主要應(yīng)用在企業(yè)的網(wǎng)絡(luò)和服務(wù)器主機(jī)，在于堵住內(nèi)部網(wǎng)的漏洞，解決來(lái)自企業(yè)內(nèi)部網(wǎng)的攻擊。分布式防火墻實(shí)施在企業(yè)各個(gè)網(wǎng)絡(luò)端點(diǎn)上，克服了傳統(tǒng)防火墻的缺陷，有效地保護(hù)了主機(jī)，適應(yīng)了新的網(wǎng)絡(luò)應(yīng)用的需要。

三、結(jié)語(yǔ)

總之，隨著新的網(wǎng)絡(luò)攻擊方式的出現(xiàn)，對(duì)網(wǎng)絡(luò)寬帶提出了更高的要球。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小，同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。為了滿足這種需要，新一代防火墻的研究將任重道遠(yuǎn)。

參考文獻(xiàn)：

[1]周學(xué)廣、劉藝，信息安全學(xué)，北京:機(jī)械工業(yè)出版社.2003

第12篇

關(guān)鍵詞：防火墻；包過(guò)濾；服務(wù)器；狀態(tài)檢測(cè)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2007)04-10942-01

1 引言

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)在全球得到了迅速的發(fā)展，其應(yīng)用涉及到社會(huì)的各個(gè)領(lǐng)域，人們的諸多活動(dòng)也越來(lái)越依賴于網(wǎng)絡(luò)。然而，網(wǎng)絡(luò)并非是安全的，由于網(wǎng)絡(luò)本身存在的安全缺陷，再加上黑客攻擊、病毒傳播以及各種各樣的威脅日益增多，使得網(wǎng)絡(luò)的安全防線十分脆弱。為了確保網(wǎng)絡(luò)系統(tǒng)的安全，目前人們研究并使用了多種安全防護(hù)措施，防火墻技術(shù)就是其中非常重要的一種防御手段。

2 防火墻的概念

防火墻是建立在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界上的一種網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)，它可以記錄進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)傳輸，并且能根據(jù)已經(jīng)制定好的安全策略，決定是否允許數(shù)據(jù)流通過(guò)。其目的是要防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制來(lái)強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。在這里內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，外部網(wǎng)絡(luò)通常指的是Internet，被認(rèn)為是不安全的和不可信賴的。

一般來(lái)說(shuō)，防火墻都具有以下這些功能：一是限制來(lái)自網(wǎng)絡(luò)外部的訪問(wèn)，過(guò)濾掉不安全的服務(wù)和非法用戶，保護(hù)內(nèi)部網(wǎng)絡(luò)資源不受外部的入侵；二是提供集中管理方式，即將所有的安全軟件配置在防火墻上來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)；三是盡可能對(duì)外隱藏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)、結(jié)構(gòu)和運(yùn)行狀況；四是能完整地記錄網(wǎng)絡(luò)訪問(wèn)情況，一旦網(wǎng)絡(luò)發(fā)生了入侵或者遭到破壞，就可以通過(guò)對(duì)日志進(jìn)行審計(jì)和查詢以獲得相關(guān)信息。

防火墻作為內(nèi)部和外部網(wǎng)絡(luò)之間的一道屏障，兩種網(wǎng)絡(luò)之間的接口，必須滿足以下幾點(diǎn)才可以起作用：所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信都應(yīng)該通過(guò)防火墻；所有通過(guò)防火墻的通信必須經(jīng)過(guò)安全策略的過(guò)濾或者防火墻的授權(quán)；理論上講，防火墻本身是不可進(jìn)入的。

3 防火墻的關(guān)鍵技術(shù)

3.1 包過(guò)濾技術(shù)

包過(guò)濾(Packet Filter)技術(shù)又稱為靜態(tài)數(shù)據(jù)包過(guò)濾，是最早出現(xiàn)的防火墻技術(shù)，雖然防火墻技術(shù)發(fā)展到現(xiàn)在提出了很多新的理念，但是包過(guò)濾仍然是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它可以阻擋攻擊，禁止外部/內(nèi)部訪問(wèn)某些站點(diǎn)以及限制單個(gè)IP地址的流量和連接數(shù)。包過(guò)濾技術(shù)的原理是在網(wǎng)絡(luò)層中依據(jù)過(guò)濾規(guī)則和包頭信息選擇性地轉(zhuǎn)發(fā)或阻斷數(shù)據(jù)包。用戶可以根據(jù)自身的安全需求制定相關(guān)的規(guī)則，這些規(guī)則存儲(chǔ)在包過(guò)濾設(shè)備的端口中，當(dāng)數(shù)據(jù)包到達(dá)端口時(shí)，防火墻會(huì)依據(jù)這些過(guò)濾規(guī)則，獨(dú)立地審查每個(gè)數(shù)據(jù)包的包頭，根據(jù)數(shù)據(jù)包的源地址、目的地址、所使用的TCP或UDP端口、包頭中的各種標(biāo)志位及用來(lái)傳送數(shù)據(jù)包的協(xié)議等因素來(lái)確定是允許該數(shù)據(jù)包通過(guò)還是刪除該數(shù)據(jù)包。

包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，處理速度快，而且它對(duì)于用戶來(lái)說(shuō)是透明的，合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺(jué)不到它的存在。同時(shí)，包過(guò)濾技術(shù)的缺陷也很明顯的：一是安全性低，一般的包過(guò)濾防火墻對(duì)數(shù)據(jù)包數(shù)據(jù)內(nèi)容不做任何檢查，只檢查數(shù)據(jù)包頭信息，無(wú)法徹底防止地址欺騙；二是過(guò)濾規(guī)則很難配置，規(guī)則之間會(huì)存在沖突或漏洞，檢查起來(lái)相對(duì)困難；三是缺少日志功能，當(dāng)系統(tǒng)被滲入或被攻擊時(shí)，很難得到大量的有用信息。

3.2 服務(wù)器技術(shù)

服務(wù)器(Proxy Server)在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查，并且在內(nèi)部用戶與外部主機(jī)進(jìn)行信息交換時(shí)起到中間轉(zhuǎn)發(fā)作用。當(dāng)內(nèi)部客戶機(jī)要使用外部服務(wù)器的數(shù)據(jù)時(shí)會(huì)向其發(fā)出訪問(wèn)請(qǐng)求，服務(wù)器接收到該請(qǐng)求后會(huì)檢查其是否符合規(guī)定，如果規(guī)則允許，服務(wù)器會(huì)修改數(shù)據(jù)包中的IP地址，然后發(fā)送給外部服務(wù)器，此時(shí)會(huì)認(rèn)為是服務(wù)器發(fā)送訪問(wèn)請(qǐng)求；同樣外部服務(wù)器返回的數(shù)據(jù)包會(huì)經(jīng)過(guò)服務(wù)器的檢測(cè)，得到允許后轉(zhuǎn)發(fā)給發(fā)送請(qǐng)求的客戶機(jī)。服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)于客戶機(jī)來(lái)說(shuō)像是一臺(tái)真的服務(wù)器，對(duì)于外界的服務(wù)器來(lái)說(shuō)它又是一臺(tái)客戶機(jī)。由于每個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要經(jīng)過(guò)服務(wù)器的介入和轉(zhuǎn)換，因此沒(méi)有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而確保內(nèi)部網(wǎng)絡(luò)安全。

服務(wù)器的優(yōu)點(diǎn)是有安全性好，能有效隔離內(nèi)外網(wǎng)的直接通信，實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾和日志功能。但是它也存在一些缺陷，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)檫M(jìn)出網(wǎng)絡(luò)的每次通信都必須經(jīng)過(guò)，而服務(wù)都要消耗一定的時(shí)間；其次，對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)專門(mén)的軟件模塊來(lái)進(jìn)行安

全控制，而且，并不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用服務(wù)。

3.3 狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)(Stateful Inspection)防火墻又叫做動(dòng)態(tài)包過(guò)濾防火墻，是在傳統(tǒng)包過(guò)濾技術(shù)的基礎(chǔ)上進(jìn)行改進(jìn)的結(jié)果，傳統(tǒng)包過(guò)濾技術(shù)只能檢查單個(gè)的數(shù)據(jù)包并且安全規(guī)則是靜態(tài)的，而狀態(tài)檢測(cè)防火墻可以將前后數(shù)據(jù)包的上下文聯(lián)系起來(lái)，根據(jù)過(guò)去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息動(dòng)態(tài)生成過(guò)濾規(guī)則，并根據(jù)此規(guī)則過(guò)濾新的通信。而新的通信結(jié)束后新生成的過(guò)濾規(guī)則將自動(dòng)從規(guī)則表中刪除。

狀態(tài)檢測(cè)防火墻的理論基礎(chǔ)是使用客戶機(jī)/服務(wù)器模式進(jìn)行的連接具有連接狀態(tài)，最典型的是TCP連接，TCP連接必須經(jīng)過(guò)3次握手，在這些不同的階段中其狀態(tài)是不一樣的，而狀態(tài)的轉(zhuǎn)換又有著其規(guī)律，因此防火墻通過(guò)TCP包頭的標(biāo)志位就可以確定連接處于何種狀態(tài)，一旦發(fā)現(xiàn)所發(fā)送包和狀態(tài)不符，就可認(rèn)為是狀態(tài)異常的包進(jìn)行拒絕，而不必對(duì)IP地址或TCP端口進(jìn)行檢查。

狀態(tài)檢測(cè)防火墻中有一個(gè)規(guī)則集和一個(gè)狀態(tài)表(State Table)。狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接，它的內(nèi)容是動(dòng)態(tài)變化的。當(dāng)防火墻接收到初始化TCP連接的數(shù)據(jù)包時(shí)，會(huì)根據(jù)事先設(shè)定的靜態(tài)規(guī)則集對(duì)此數(shù)據(jù)包進(jìn)行檢查，如果在檢查所有的規(guī)則之后，該數(shù)據(jù)包都沒(méi)有被允許通過(guò)，那么拒絕此次連接。如果該數(shù)據(jù)包被接受，則在狀態(tài)表中記錄下該連接的相關(guān)信息。對(duì)于隨后的數(shù)據(jù)包，就將其與狀態(tài)表里紀(jì)錄的連接內(nèi)容進(jìn)行比較，如果狀態(tài)表中存在此會(huì)話而且數(shù)據(jù)包狀態(tài)正確，則接受此數(shù)據(jù)包，否則丟棄。

這種方式的好處在于：不是每個(gè)數(shù)據(jù)包都要和安全規(guī)則比較，只有在新的請(qǐng)求連接的數(shù)據(jù)包到來(lái)時(shí)才進(jìn)行安全檢查，從而提高了系統(tǒng)的性能；而且狀態(tài)表是動(dòng)態(tài)的，保存了數(shù)據(jù)包的狀態(tài)信息，安全性高。

4 防火墻的局限性

雖然防火墻能夠提高網(wǎng)絡(luò)的安全性，但它并不是全能的，它也具有一定的局限性：

4.1 防火墻不能防范不通過(guò)它的連接。

防火墻一般位于內(nèi)部網(wǎng)絡(luò)的邊界上，監(jiān)控所有通過(guò)它的通信，如果信息能夠通過(guò)無(wú)線接入技術(shù)或撥號(hào)訪問(wèn)等方式繞過(guò)防火墻進(jìn)出網(wǎng)絡(luò)，那么防火墻就沒(méi)有任何用處。

4.2 防火墻不能防范全部的威脅。

防火墻是在已知的攻擊模式下制定相應(yīng)的安全策略的，因此能夠防范已知的威脅，對(duì)于全新的攻擊方式則難以有效。

4.3 防火墻不能防止感染了病毒的軟件或文件的傳輸。

雖然很多防火墻都會(huì)對(duì)通過(guò)的所有數(shù)據(jù)包進(jìn)行安全檢測(cè)，已決定是否允許其通過(guò)，但一般只會(huì)檢查數(shù)據(jù)包的包頭部分，對(duì)數(shù)據(jù)包的具體內(nèi)容不太關(guān)心。即使是最先進(jìn)的數(shù)據(jù)包過(guò)濾，在病毒防范上也是不適用的，因?yàn)椴《镜姆N類太多，操作系統(tǒng)也有多種，而且有很多方法可以將病毒在數(shù)據(jù)中隱藏起來(lái)，因此不能期望防火墻能替代殺毒軟件。要解決病毒問(wèn)題還必須在每臺(tái)主機(jī)上安裝專門(mén)的殺病毒軟件。

4.4 防火墻不能防范內(nèi)部用戶的惡意行為。

由于內(nèi)部用戶進(jìn)行的偷竊數(shù)據(jù)或其它破壞行為都處于網(wǎng)絡(luò)內(nèi)部，其各種信息均不通過(guò)防火墻，因此防火墻無(wú)法阻止。

5 防火墻的發(fā)展方向

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客攻擊、惡意軟件及病毒等各種安全威脅的進(jìn)一步升級(jí)，促使防火墻也在不斷發(fā)展。

5.1 目前的防火墻采取數(shù)據(jù)匹配檢查的方法，安全性越高，需要的計(jì)算量就越大，效率也就隨之降低。未來(lái)的防火墻要求是高安全性和高效率的統(tǒng)一。使用專門(mén)的芯片負(fù)責(zé)訪問(wèn)控制功能，設(shè)計(jì)新的防火墻的技術(shù)構(gòu)架是未來(lái)防火墻的方向。

5.2 分布式防火墻。當(dāng)前的防火墻一般都是邊界防火墻，只能監(jiān)控通過(guò)防火墻的數(shù)據(jù)，并且認(rèn)為內(nèi)部網(wǎng)絡(luò)是絕對(duì)安全的。然而事實(shí)并非如此，網(wǎng)絡(luò)上的很多災(zāi)難常常是由內(nèi)部用戶的無(wú)意或惡意行為造成的，于是提出了分布式防火墻的概念。分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三個(gè)部分，對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的進(jìn)行安全防護(hù)。這種方式加強(qiáng)了對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控，構(gòu)建了一個(gè)全方位的保護(hù)體系。

5.3 聯(lián)動(dòng)防火墻。基于防火墻本身的局限性以及其他安全技術(shù)的成熟應(yīng)用，出現(xiàn)了聯(lián)動(dòng)防火墻的概念。將防火墻同其他安全設(shè)備進(jìn)行整合，充分發(fā)揮各自的優(yōu)勢(shì)，協(xié)同配合，架構(gòu)起立體的安全防范體系。例如將防火墻與防病毒產(chǎn)品聯(lián)動(dòng)，可以在網(wǎng)關(guān)處對(duì)病毒進(jìn)行查殺，將病毒阻擋在網(wǎng)絡(luò)之外。此外防火墻與入侵監(jiān)測(cè)系統(tǒng)的聯(lián)動(dòng)也是非常重要的，因?yàn)閮煞N技術(shù)有很強(qiáng)的互補(bǔ)性。

5.4 智能防火墻。智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。智能防火墻能解決普遍存在的拒絕服務(wù)攻擊（DDOS）的問(wèn)題，病毒傳播的問(wèn)題和高級(jí)應(yīng)用入侵的行為，比傳統(tǒng)的防火墻更安全，效率更高。

6 結(jié)束語(yǔ)

防火墻是網(wǎng)絡(luò)安全的屏障，能有效地提高網(wǎng)絡(luò)的安全性，但不要將網(wǎng)絡(luò)安全單純的依賴于防火墻，它僅是全面的安全策略中的一個(gè)重要組成部分，應(yīng)該和防病毒、入侵檢測(cè)、數(shù)據(jù)加密、身份認(rèn)證等安全防護(hù)技術(shù)結(jié)合起來(lái)，共同建立一個(gè)有效的安全防范體系。

參考文獻(xiàn)：

[1]黎連業(yè),張維,向東明.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2004.7.

[2]胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.1.

[3]陳天洲,陳純,谷小妮.計(jì)算機(jī)安全策略[M].浙江大學(xué)出版社,2004.8.