計(jì)算機(jī)防火墻發(fā)展現(xiàn)狀及應(yīng)用前景

摘要：隨著網(wǎng)絡(luò)技術(shù)越來(lái)越廣泛的傳播，網(wǎng)絡(luò)攻擊不斷升級(jí)，為了抵御不斷產(chǎn)生的網(wǎng)絡(luò)攻擊，對(duì)防火墻的技術(shù)需求也日益增加，本文探討了計(jì)算機(jī)防火墻技術(shù)的發(fā)展現(xiàn)狀，分析了計(jì)算機(jī)防火墻未來(lái)的走向和發(fā)展趨勢(shì)。

關(guān)鍵詞：計(jì)算機(jī)；防火墻；發(fā)展現(xiàn)狀；應(yīng)用前景

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 07-0000-01

一、計(jì)算機(jī)防火墻的分類及主要功能

（一）計(jì)算機(jī)防火墻的分類。計(jì)算機(jī)防火墻從原理與技術(shù)上劃分，主要包括包過(guò)濾型技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)以及代理服務(wù)技術(shù)三種形式。

1.包過(guò)濾型技術(shù)。包過(guò)濾型技術(shù)是計(jì)算機(jī)防火墻發(fā)展過(guò)程中最基本的形式，它主要作業(yè)于以O(shè)SI網(wǎng)絡(luò)參考模型為主的網(wǎng)絡(luò)層和傳輸層。通過(guò)對(duì)數(shù)據(jù)流里的每個(gè)數(shù)據(jù)包的源地址、使用端口等進(jìn)行檢測(cè)來(lái)確定數(shù)據(jù)包的合理性，一些難以達(dá)到過(guò)濾條件的數(shù)據(jù)包將會(huì)被停止使用，只有達(dá)到過(guò)濾要求的數(shù)據(jù)包，才能會(huì)被轉(zhuǎn)發(fā)到指定的目的地。這類的防火墻安裝快捷、使用方便、便于操作，通常情況下會(huì)被安裝在路由器上。

2.狀態(tài)監(jiān)測(cè)技術(shù)。狀態(tài)監(jiān)測(cè)技術(shù)主要通過(guò)抽取一些相關(guān)數(shù)據(jù)來(lái)達(dá)到監(jiān)測(cè)網(wǎng)絡(luò)各層的目的，并根據(jù)過(guò)濾條件做出正確的安全決策。狀態(tài)監(jiān)測(cè)技術(shù)不僅會(huì)詳細(xì)分析每個(gè)數(shù)據(jù)包信息，而且還能對(duì)信息進(jìn)行過(guò)濾，這種信息過(guò)濾功能能夠有效防止出現(xiàn)安全漏洞。

3.代理服務(wù)技術(shù)。代理服務(wù)技術(shù)中的轉(zhuǎn)發(fā)功能主要通過(guò)在OSI網(wǎng)絡(luò)參考模型的應(yīng)用層上設(shè)立協(xié)議過(guò)濾的方式來(lái)完成，它以網(wǎng)絡(luò)服務(wù)應(yīng)用協(xié)議為主要依據(jù)，以某個(gè)特定的數(shù)據(jù)過(guò)濾邏輯為手段來(lái)達(dá)到監(jiān)視及控制通信流的效果。代理服務(wù)技術(shù)的每個(gè)應(yīng)用服務(wù)均可設(shè)立專門的代理，這樣能夠有效地保障網(wǎng)絡(luò)安全。

（二）計(jì)算機(jī)防火墻的主要功能

1.計(jì)算機(jī)防火墻為網(wǎng)絡(luò)安全提供有力保障。毫無(wú)疑問(wèn)，防火墻能夠促進(jìn)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全性的提高，并能夠?qū)⒉话踩姆?wù)加以過(guò)濾，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如防火墻能夠阻止不具備安全性的NFS協(xié)議進(jìn)入網(wǎng)絡(luò)系統(tǒng)中，為這樣有利于粉碎攻擊者借助一些安全性低的協(xié)議攻擊計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的目的。與此同時(shí)，防火墻還能完善網(wǎng)絡(luò)安全措施，通過(guò)設(shè)置合理的網(wǎng)絡(luò)安全方案，能將安全軟件配置全部集中于防火墻上，有利于集中式系統(tǒng)管理的實(shí)現(xiàn)。同時(shí)，防火墻還具備VPN（具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系）的支持功能，借助VPN這一重要平臺(tái)，能將各企業(yè)單位布在世界各地的LAN或?qū)Ｓ米泳W(wǎng)有效地組成一個(gè)整體，防止資源的濫用，為信息資源共享提供了強(qiáng)大的技術(shù)支持。

2.計(jì)算機(jī)防火墻為避免內(nèi)部信息的外泄提供了安全平臺(tái)。首先，借助防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的劃分，加快內(nèi)網(wǎng)重點(diǎn)網(wǎng)段的有效隔離，減少計(jì)算機(jī)潛在的網(wǎng)絡(luò)安全隱患，確保計(jì)算機(jī)整體網(wǎng)絡(luò)的正常運(yùn)行。其次，借助防火墻可以使一些如Finger，DNS等透漏內(nèi)部細(xì)節(jié)的服務(wù)隱藏起來(lái)。我們知道，當(dāng)前網(wǎng)絡(luò)安全中最突出的問(wèn)題便是隱私泄露問(wèn)題，網(wǎng)絡(luò)系統(tǒng)中任何一個(gè)毫不起眼的細(xì)節(jié)都會(huì)引起安全問(wèn)題，吸引外部攻擊都的注意力，從而使得隱私充分暴露。

3.計(jì)算機(jī)防火墻可以實(shí)現(xiàn)網(wǎng)絡(luò)存取和訪問(wèn)的監(jiān)控與審計(jì)。網(wǎng)絡(luò)使用統(tǒng)計(jì)數(shù)據(jù)對(duì)網(wǎng)絡(luò)需求及安全威脅分析有著至關(guān)重要的作用。當(dāng)網(wǎng)絡(luò)中的訪問(wèn)經(jīng)過(guò)防火墻時(shí)，防火墻能夠很快地將這些訪問(wèn)以日志的形式記錄下來(lái)，并提供重要的有關(guān)網(wǎng)絡(luò)安全使用情況的統(tǒng)計(jì)數(shù)據(jù)。若有一些不利于網(wǎng)絡(luò)安全的可疑動(dòng)作出現(xiàn)，防火墻將會(huì)自動(dòng)發(fā)出報(bào)警信號(hào)，同時(shí)將網(wǎng)絡(luò)攻擊的具體信息監(jiān)測(cè)下來(lái)。

二、計(jì)算機(jī)防火墻技術(shù)的發(fā)展現(xiàn)狀

（一）分布式防火墻技術(shù)。分布式防火墻技術(shù)是在過(guò)去傳統(tǒng)的邊界式防火墻技術(shù)所出現(xiàn)缺陷問(wèn)題的基礎(chǔ)上而產(chǎn)生的一種新興技術(shù)。從狹義上看，分布式防火墻技術(shù)主要是指存在于計(jì)算機(jī)網(wǎng)絡(luò)主機(jī)、服務(wù)器以及桌面機(jī)內(nèi)部，且能為計(jì)算機(jī)主機(jī)提供安全保障的具體軟件產(chǎn)品。從廣義上看，分布式防火墻技術(shù)是指目前一種新型的防火墻體系架構(gòu)，比如網(wǎng)絡(luò)防火墻，主機(jī)防火墻等等都屬于分布式防火墻技術(shù)產(chǎn)品。分布式防火墻技術(shù)主要優(yōu)點(diǎn)就是在每個(gè)主機(jī)上設(shè)置防護(hù)系統(tǒng)，能夠加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)與控制，解決網(wǎng)絡(luò)邊界之間存的通信問(wèn)題。此外，還具有支持網(wǎng)絡(luò)應(yīng)用加密與認(rèn)證功能。

（二）嵌入式防火墻技術(shù)。嵌入式防火墻技術(shù)主要指內(nèi)嵌在路由器或者交換機(jī)內(nèi)部的防火墻。有些路由器自身便帶有嵌入式防火墻，用戶也可通過(guò)自己購(gòu)買防火墻模塊，將其安裝到原有的路由器或者交換機(jī)中即可。由于影響互聯(lián)網(wǎng)使用的協(xié)議的因素多種多樣，因而并非通過(guò)嵌入式防火墻技術(shù)就能將所有的網(wǎng)絡(luò)訪問(wèn)服務(wù)問(wèn)題處理妥當(dāng)。加之，嵌入式防火墻系統(tǒng)作業(yè)于網(wǎng)絡(luò)的IP層，因而難以確保所有的用戶端計(jì)算機(jī)的安全性，使其不受到計(jì)算機(jī)病毒、木馬程序、蠕蟲(chóng)等各種的威脅。通常情況下，嵌入式防火墻系統(tǒng)處于一種無(wú)監(jiān)控狀態(tài)，在處理信息過(guò)程中或者進(jìn)行信息交換傳遞的過(guò)程中會(huì)將以往的網(wǎng)絡(luò)連接狀態(tài)忽略不計(jì)。

（三）智能防火墻技術(shù)。智能防火墻技術(shù)是通過(guò)人工智能學(xué)而形成的一種防火墻技術(shù)，種類繁多，主要包括防止入侵技術(shù)、防止攻擊技術(shù)、防止數(shù)據(jù)欺騙技術(shù)、防止掃描技術(shù)以及協(xié)議正?；榷喾N技術(shù)。智能防火墻技術(shù)主要是通過(guò)利用統(tǒng)計(jì)數(shù)據(jù)，常用訪問(wèn)記憶，以及訪問(wèn)策略等方法加強(qiáng)數(shù)據(jù)交換信息的智能識(shí)別，從而有效的控制網(wǎng)絡(luò)訪問(wèn)。智能防火墻技術(shù)是一種新型的計(jì)算模式，能夠有效識(shí)別網(wǎng)絡(luò)行為的特征值，消除匹配檢查所需要的海量計(jì)算。此外，還能夠有效地處理好拒絕服務(wù)（DDOS）的攻擊問(wèn)題、病毒傳播問(wèn)題以及高級(jí)應(yīng)用入侵問(wèn)題等，是當(dāng)前防火墻技術(shù)發(fā)展的主流趨勢(shì)，有著極大的發(fā)展前景。

三、計(jì)算機(jī)防火墻的應(yīng)用前景

（一）防火墻數(shù)據(jù)包過(guò)濾技術(shù)的應(yīng)用前景。防火墻數(shù)據(jù)包過(guò)濾技術(shù)的應(yīng)用實(shí)際上是指防火墻系統(tǒng)將會(huì)采用多級(jí)別，多層次過(guò)濾措施，進(jìn)行網(wǎng)絡(luò)安全防護(hù)功能。具體包括兩個(gè)方面：一方面，在分組層設(shè)置過(guò)濾技術(shù)，將一些達(dá)不到過(guò)濾條件的源路及虛假冒充的IP源地址全部過(guò)濾掉；另一方面，在應(yīng)用網(wǎng)關(guān)層設(shè)置過(guò)濾，監(jiān)控和監(jiān)測(cè)FTP，SMTP，Internet等提供的網(wǎng)絡(luò)通信數(shù)據(jù)服務(wù)。同時(shí)防火墻技術(shù)加入防病毒功能，在防止有害數(shù)據(jù)包攻擊的同時(shí)，可以有效的抵御各種病毒軟件，木馬程序的入侵導(dǎo)致的防火墻失效，更加有效的保障終端的網(wǎng)絡(luò)訪問(wèn)安全性。

（二）防火墻體系結(jié)構(gòu)的應(yīng)用前景。隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)帶寬需求日益增高，穿過(guò)防火墻的數(shù)據(jù)內(nèi)容將會(huì)越來(lái)越多，對(duì)防火墻處理數(shù)據(jù)交換信息的速率要求越來(lái)越高，同時(shí)由于多媒體傳播的廣泛應(yīng)用，因此對(duì)數(shù)據(jù)穿越防火墻時(shí)造成延遲呼聲也越來(lái)越高。當(dāng)前許多的防火墻開(kāi)發(fā)商主要針對(duì)網(wǎng)絡(luò)處理器的和ASIC的防火墻來(lái)設(shè)計(jì)開(kāi)發(fā)新產(chǎn)品，如根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)處理器的防火墻設(shè)設(shè)計(jì)了專門用于處理數(shù)據(jù)層面的任務(wù)引擎系統(tǒng)，靈活性高，從而減輕了CPU的使用負(fù)擔(dān)，加快了對(duì)數(shù)據(jù)的處理，提高了數(shù)據(jù)的流量。針對(duì)ASIC的防火墻設(shè)計(jì)了專門用于處理網(wǎng)絡(luò)數(shù)據(jù)流的各種硬件，這些則體現(xiàn)出了高速的處理能力，未來(lái)對(duì)數(shù)據(jù)的處理速率的需求膨脹將會(huì)是防火墻體系結(jié)構(gòu)的主要發(fā)展前景。

[作者簡(jiǎn)介]楊晉秀（1978-），女，土家族，籍貫：湖北，學(xué)歷：本科，職稱：助理講師，專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)。