防火墻技術(shù)在網(wǎng)絡(luò)安全的運(yùn)用

導(dǎo)語(yǔ)：防火墻技術(shù)在網(wǎng)絡(luò)安全的運(yùn)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0前言

所謂網(wǎng)絡(luò)安全，實(shí)質(zhì)上也就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全所涉及的領(lǐng)域是非常廣泛的，但是在當(dāng)前許多的公用通信網(wǎng)絡(luò)中，都存在著各種各樣的安全漏洞和威脅，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種各樣的網(wǎng)絡(luò)安全技術(shù)也相應(yīng)的出現(xiàn)了，比如說(shuō)身份驗(yàn)證、訪問(wèn)授權(quán)、加密解密技術(shù)、防火墻技術(shù)等等，雖然出現(xiàn)了許許多多的新的網(wǎng)絡(luò)安全技術(shù)，但是在眾多的網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)的應(yīng)用仍然最為廣泛。防火墻實(shí)質(zhì)上是一個(gè)系統(tǒng)，該系統(tǒng)位于兩個(gè)網(wǎng)絡(luò)之間，并且負(fù)責(zé)執(zhí)行控制策略，通過(guò)防火墻，可以使得內(nèi)部網(wǎng)絡(luò)與Internet或者其它的外部網(wǎng)絡(luò)相互隔離，從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。通過(guò)防火墻，主要可以實(shí)現(xiàn)對(duì)于不安全服務(wù)和非法用戶的過(guò)濾，同時(shí)還能夠有效的控制對(duì)站點(diǎn)的訪問(wèn)，時(shí)刻監(jiān)視Internet安全，一旦出現(xiàn)安全風(fēng)險(xiǎn)，防火墻還可以起到及時(shí)預(yù)警的作用。

1防火墻技術(shù)概述

所謂的防火墻，指的是設(shè)置在兩個(gè)或者多個(gè)不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一出入口，所有的網(wǎng)絡(luò)信息要想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必須要通過(guò)這一個(gè)出入口，因此防火墻成為了一個(gè)提供信息安全服務(wù)和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，同時(shí)防火墻技術(shù)也成為了目前人們公認(rèn)的最有效的網(wǎng)絡(luò)安全保護(hù)手段。防火墻可以對(duì)訪問(wèn)權(quán)限進(jìn)行有效的控制，從而實(shí)現(xiàn)對(duì)涉及用戶的操作進(jìn)行審查和過(guò)濾，從而有效的降低計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.1計(jì)算機(jī)防火墻技術(shù)

防火墻技術(shù)之所以能夠?qū)崿F(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)，主要就是因?yàn)榉阑饓梢詫?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行分離，正是因?yàn)榉阑饓τ兄軓?qiáng)的隔離性，所以才使得防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中被廣泛的加以運(yùn)用。一般在對(duì)防火墻進(jìn)行使用的過(guò)程中，所依靠的都是包的外源地址和數(shù)據(jù)包協(xié)議，通過(guò)它們來(lái)對(duì)防火墻進(jìn)行設(shè)置，從而實(shí)現(xiàn)有效的隔離。除此之外，防火墻的實(shí)現(xiàn)還可以通過(guò)服務(wù)器的軟件，但是這種方式在實(shí)際應(yīng)用中較為少見(jiàn)。在防火墻技術(shù)出現(xiàn)之初，它的功能僅僅局限于對(duì)主機(jī)的限制和對(duì)網(wǎng)絡(luò)訪問(wèn)控制加以規(guī)范，但經(jīng)過(guò)多年的發(fā)展，防火墻的功能也進(jìn)一步的得到了完善，當(dāng)前，防火墻已經(jīng)可以完成解密和加密等功能，除此之外，還能夠?qū)崿F(xiàn)對(duì)文件的壓縮和解壓，從而使得計(jì)算機(jī)網(wǎng)絡(luò)安全得到了有效的保證。

1.2防火墻的主要功能

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，防火墻的功能已經(jīng)變得十分豐富，其功能主要有以下幾個(gè)方面：第一，防火墻可以對(duì)本機(jī)的數(shù)據(jù)進(jìn)行有效的篩選和過(guò)濾，通過(guò)對(duì)信息的篩選和過(guò)濾，可以有效的避免非法信息以及各種網(wǎng)絡(luò)病毒的攻擊和入侵，從而保證計(jì)算機(jī)信息的安全；第二，防火墻還可以對(duì)網(wǎng)絡(luò)中一些特殊的站點(diǎn)進(jìn)行較為嚴(yán)格的規(guī)范，因?yàn)樵谶@些站點(diǎn)中往往存在著可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行破壞的一些病毒文件，所以通過(guò)對(duì)這些站點(diǎn)的規(guī)范，可以有效避免人們因?yàn)闊o(wú)意操作而給計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)；第三，防火墻還能夠較為徹底的對(duì)一些不安全訪問(wèn)進(jìn)行攔截，外部人員如果想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必須先要經(jīng)過(guò)防火墻的審查，只有審查合格，防火墻才會(huì)允許進(jìn)入，但是在防火墻的審查過(guò)程中，是有著非常多的環(huán)節(jié)的，如果任何一個(gè)環(huán)節(jié)的審查出現(xiàn)了問(wèn)題，該訪問(wèn)將會(huì)被防火墻過(guò)濾，從而有效的減少了網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)；第四，防火墻還可以對(duì)網(wǎng)絡(luò)運(yùn)行中所產(chǎn)生的各種信息數(shù)據(jù)加以保護(hù)，如果防火墻發(fā)現(xiàn)了網(wǎng)絡(luò)中出現(xiàn)有威脅網(wǎng)絡(luò)安全的非法活動(dòng)，防火墻將于第一時(shí)間發(fā)出警報(bào)，并且采取相應(yīng)的措施來(lái)對(duì)其進(jìn)行處理，有效的避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2防火墻的常用技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

2.1數(shù)據(jù)包過(guò)濾技術(shù)及其應(yīng)用

數(shù)據(jù)包過(guò)濾技術(shù)主要分為組過(guò)濾和包過(guò)濾兩種，數(shù)據(jù)包過(guò)濾技術(shù)是一種較為通用的防火墻技術(shù)，并且它也較為廉價(jià)和有效。數(shù)據(jù)包過(guò)濾技術(shù)主要是在計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)層和傳輸層發(fā)揮作用。它可以通過(guò)對(duì)分組包的源、宿地址、端口號(hào)機(jī)協(xié)議類型和標(biāo)志確定是否允許其通過(guò)。而該技術(shù)所依據(jù)的信息主要是來(lái)源于IP、TCP或者UDP包頭。包過(guò)濾的主要優(yōu)點(diǎn)就在于其對(duì)于用戶來(lái)說(shuō)是完全透明的，處理速度也非常的快，而且十分易于維護(hù)，因此在使用的過(guò)程中較為方便，通常包過(guò)濾都是被作為網(wǎng)絡(luò)安全的第一道防線。但是包過(guò)濾路由器一般都是沒(méi)有用戶的使用記錄的，所以我們也就不能夠看到入侵者的攻擊記錄，而且隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，攻破一個(gè)單純的包過(guò)濾式防火墻對(duì)于現(xiàn)代的黑客來(lái)說(shuō)也較為簡(jiǎn)單。當(dāng)前的黑客往往都采用“IP地址欺騙”的方式來(lái)攻破包過(guò)濾式防火墻，所以為了進(jìn)一步的提升網(wǎng)絡(luò)的安全性，現(xiàn)在已經(jīng)將包過(guò)濾技術(shù)作為網(wǎng)絡(luò)安全的第一道防線，而進(jìn)一步發(fā)展起來(lái)了技術(shù)。

2.2服務(wù)技術(shù)及其應(yīng)用

服務(wù)技術(shù)是在數(shù)據(jù)包過(guò)濾技術(shù)之后發(fā)展起來(lái)的，但現(xiàn)在服務(wù)技術(shù)已經(jīng)成為了防火墻技術(shù)中使用頻率較高的一種技術(shù)，而且服務(wù)技術(shù)也擁有非常高的安全性能。服務(wù)軟件往往是運(yùn)行在一臺(tái)主機(jī)上的，通過(guò)在這一臺(tái)主機(jī)上的運(yùn)行來(lái)構(gòu)成服務(wù)器，并且負(fù)責(zé)對(duì)客戶的請(qǐng)求進(jìn)行截獲，然后再依據(jù)它的安全規(guī)則來(lái)決定該請(qǐng)求是否可以得到允許。如果得到了服務(wù)器的允許，該請(qǐng)求才能夠被進(jìn)一步的傳遞給真正的防火墻。一般而言，服務(wù)器是外部可以見(jiàn)到的唯一的防火墻實(shí)體，所以說(shuō)服務(wù)器對(duì)于內(nèi)部用戶而言是完全透明的。除此之外，服務(wù)器還可以對(duì)協(xié)議特定的訪問(wèn)規(guī)則進(jìn)行應(yīng)用，從而來(lái)執(zhí)行基于用戶身份和報(bào)文分組內(nèi)容的訪問(wèn)控制。這種防火墻技術(shù)可以對(duì)網(wǎng)絡(luò)信息的交換進(jìn)行完全的控制，并且還可以記錄整個(gè)會(huì)話的過(guò)程，有著很高的靈活性和安全性。但是服務(wù)技術(shù)也有著自身的缺陷，那就是有可能會(huì)對(duì)網(wǎng)絡(luò)的性能造成一定的影響，而且對(duì)于每一個(gè)服務(wù)器都要進(jìn)行一次模塊的設(shè)計(jì)，并且建立起相應(yīng)的網(wǎng)關(guān)層，所以其實(shí)現(xiàn)往往較為復(fù)雜。

2.3狀態(tài)監(jiān)測(cè)技術(shù)及其應(yīng)用

狀態(tài)檢測(cè)技術(shù)是一種在網(wǎng)絡(luò)層來(lái)實(shí)現(xiàn)防火墻功能的技術(shù)，狀態(tài)監(jiān)測(cè)技術(shù)所使用的是在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊，這個(gè)模塊被稱為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎不同于服務(wù)器，不會(huì)對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何影響。并且監(jiān)測(cè)引擎還可以采用抽取有關(guān)數(shù)據(jù)的方法來(lái)對(duì)網(wǎng)絡(luò)通信的各層進(jìn)行檢測(cè)，抽取相應(yīng)的狀態(tài)信息，然后動(dòng)態(tài)的加以保存并將其作為以后執(zhí)行安全策略的一個(gè)參考。除此之外，監(jiān)測(cè)引擎還可以支持多種協(xié)議及應(yīng)用程序，還可以有效的實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。相比于之前的兩種防火墻技術(shù)而言，狀態(tài)監(jiān)測(cè)技術(shù)可以更好地對(duì)用戶的訪問(wèn)請(qǐng)求進(jìn)行處理，因?yàn)闋顟B(tài)監(jiān)視器會(huì)抽取有關(guān)數(shù)據(jù)來(lái)進(jìn)行分析，然后再通過(guò)對(duì)網(wǎng)絡(luò)配置和相應(yīng)的安全規(guī)定的結(jié)合，來(lái)做出相應(yīng)的接納、拒絕、身份認(rèn)證、報(bào)警或者給該通信加密等一系列的處理動(dòng)作。

作者:李慧清 單位:內(nèi)蒙古化工職業(yè)學(xué)院

引用：

[1]趙俊.淺談?dòng)?jì)算機(jī)防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學(xué)院學(xué)報(bào)：綜合版，2012.

[2]胡勁松.防火墻技術(shù)與網(wǎng)絡(luò)安全探討[J].湖北第二師范學(xué)院學(xué)報(bào)，2013.

[3]陳家遷.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011.