試論計算機防火墻的作用及技術(shù)原理

摘 要：防火墻，顧名思義就是讓網(wǎng)絡(luò)以及資源不受到網(wǎng)絡(luò)“墻”外“火災(zāi)”影響的設(shè)備。防火墻基本上屬于一組緊密結(jié)合的進程，或者是一個獨立的進程，在服務(wù)器或者是路由器上運行從而對于網(wǎng)絡(luò)應(yīng)用程序的通信流量進行一定的控制；加強兩個或者兩個以上的網(wǎng)絡(luò)之間的訪問控制，最主要的目的在于確保一個網(wǎng)絡(luò)不會受到另一個網(wǎng)絡(luò)所帶來的攻擊。根據(jù)不完全統(tǒng)計，在連入到了Internet的計算機當中，受到防火墻保護的占據(jù)了三分之一。隨著不斷遞增的網(wǎng)絡(luò)犯罪案件，防火墻技術(shù)也受到了越來越多的人的關(guān)注，希望能夠帶給人們更安全、更“干凈”的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：計算機；防火墻；功能；原理

隨著社會的進步，人們對于計算機知識的了解也在逐漸地深入，人們越來越注重放置于網(wǎng)絡(luò)之上的資料或者是在網(wǎng)絡(luò)上進行的交易等信息安全。計算機防火墻發(fā)揮著越來越重要的作用，因此，在文中主要對防火墻的主要功能以及技術(shù)原理進行了探討，希望還給計算機網(wǎng)絡(luò)一個安全的環(huán)境。

1 防火墻的主要功能

一般來說，計算機防火墻具有的功能有幾下幾個方面：將非法用戶以及不安全的服務(wù)過濾掉；對于特殊站點的訪問進行限制和控制；阻止電腦防御設(shè)施受到入侵者的騷擾；為Internet安全和預(yù)警提供了方便監(jiān)視的端點；在設(shè)計防火墻時，需要遵守“除非明確指出允許，否則就需要將其禁止”的安全防范原則；當組織機構(gòu)的安全策略出現(xiàn)了改變的時候，就可以加入新的服務(wù)；可以使用服務(wù)代理，如Telnet和FTP，編程的IP過濾語言，并且根據(jù)數(shù)據(jù)包的性質(zhì)來進行包過濾。另外，一部分的計算機用戶在防火墻的選擇上還需要考慮到：其一，雙重DNS（域名服務(wù)）；其二，掃毒功能；其三，網(wǎng)絡(luò)地址轉(zhuǎn)移功能（NAT）；特殊控制需求；其四，虛擬專用網(wǎng)絡(luò)（VPN），這一些特殊的功能要求[1]。

2 防火墻的原理以及實現(xiàn)方法

防火墻主要是對于內(nèi)部網(wǎng)絡(luò)以及危險區(qū)域之間的訪問負責。在防火墻不存在的時候，內(nèi)部計算機網(wǎng)絡(luò)之上的每一個節(jié)點都會暴露在危險區(qū)域之上的其他主機，也極容易受到外來主機的攻擊。因此，我們需要適當?shù)倪x用防火墻應(yīng)用到連接到因特網(wǎng)的內(nèi)部網(wǎng)絡(luò)上。對于防火墻的原理來說，我們也可以將其看成為一對開關(guān)，一個開關(guān)主要用于傳輸?shù)脑试S，另一個則是用于傳輸?shù)淖柚?。實際上來說，防火墻就代表了計算機用戶電腦使用的安全策略，并且在實現(xiàn)上所采用的方式也較為的靈活。

2.1 實現(xiàn)——邊界路由器

其一，實現(xiàn)，可以通過標準的路由器（由于該用途的路由器稱為 Screening Router，即篩選路由器、屏蔽路由器），因此在設(shè)置防火墻的時候，常用例如Cisco 路由器就很容易設(shè)置成功；其二，實現(xiàn)，可以通過PC機的路由器，但是需要使用軟件包。

2.2 實現(xiàn)，（Dual - homed Host）一臺雙端口主機

無論是內(nèi)部網(wǎng)絡(luò)，還是外部網(wǎng)絡(luò)，都可以對這臺主機進行訪問，但是內(nèi)部主機和外部主機之間不能夠進行直接的通信，可以設(shè)置三種類型的防火墻來加以實現(xiàn)：其一，（Proxy Server Fire-wall）代理費服務(wù)器防火墻；其二，（Ap-plication Gateway Firewall）應(yīng)用層網(wǎng)關(guān)防火墻；其三，（Circuit Gateway Fire-wall） 線（電）路層/級網(wǎng)關(guān)型防火墻[2]。

2.3 實現(xiàn)——子網(wǎng)上

在一個公共的子網(wǎng)上加以實現(xiàn)，這一個子網(wǎng)就相當于一臺雙端口主機，能夠建立出含有?；饏^(qū)以及單段網(wǎng)絡(luò)的防火墻。雖然說防火墻的功能具有多樣性，但是考慮到互聯(lián)網(wǎng)的開放性，因此，在某些方面也存在不足之處。例如：其一，如果攻擊沒有經(jīng)過防火墻，防火墻就不能夠加以防范。如，如果計算機用戶允許從客觀存在的保護網(wǎng)內(nèi)部不受限制的向外撥號，就會導致部分用戶形成PPP或者是SLIP等和Internet直接的連接。從而能夠?qū)⒎阑饓@過，導致一個千載的后門攻擊渠道的形成；其二，從目前的技術(shù)水平來說，很難徹底的對防火墻進行測試驗證，防火墻能夠?qū)τ诮^大多數(shù)的惡意攻擊進行有效地防范，但是我們卻不能夠清楚的掌握是不是在所有的情況下都是有效的，并且這也涉及到了軟件的及時更新以及更換等方面的問題。

總之，隨著網(wǎng)絡(luò)技術(shù)不斷進步與發(fā)展，網(wǎng)絡(luò)共享資源的逐漸增多，網(wǎng)絡(luò)不安全攻擊也越來越頻繁、多樣，因此，我們需要做好網(wǎng)絡(luò)安全防范，定期的對整個網(wǎng)絡(luò)設(shè)備進行檢測，防范于未然。目前，我國防火墻依然處于發(fā)展階段，我們應(yīng)當密切的關(guān)注防火墻的最新進展，才能夠促進網(wǎng)絡(luò)全面、健康的發(fā)展下去。

參考文獻

[1]許侃.計算機網(wǎng)絡(luò)防火墻的應(yīng)用[J].電腦知識與技術(shù)，2010，（02）.

[2]玄文啟.基于計算機網(wǎng)絡(luò)的防火墻技術(shù)及實現(xiàn)[J].中國科技信息，2010，（20）.