探析網(wǎng)絡(luò)安全技術(shù)中的防火墻技術(shù)

0 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的大范圍普及和應(yīng)用，我們的生活方式得到了明顯的創(chuàng)新和改變。由于計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用具有虛擬性、技術(shù)性、公眾性等的特點，使得網(wǎng)絡(luò)安全逐漸成為了人們所關(guān)注的問題。防火墻技術(shù)作為對計算機網(wǎng)絡(luò)起到保護作用的安全技術(shù)，是網(wǎng)絡(luò)環(huán)境安全健全的重要手段，它在現(xiàn)代的計算機網(wǎng)絡(luò)安全技術(shù)中是最主要的一種保護形式，基于此，文章在對防火墻結(jié)構(gòu)介紹的基礎(chǔ)上，分析了其在網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用狀況。

1 網(wǎng)絡(luò)安全技術(shù)中防火墻技術(shù)的介紹

科學(xué)技術(shù)的進步，推動了人們生產(chǎn)生活的極大創(chuàng)新，促使社會的文明程度進一步提升，人類社會進入到了信息化時代。網(wǎng)絡(luò)的普及一方面在給人們帶來便利的同時也給信息的安全性埋下了安全隱患。防火墻作為一種保護技術(shù)，主要指的是在不同信賴程度的網(wǎng)絡(luò)結(jié)構(gòu)之間，會設(shè)置一系列相關(guān)安全部件的組合，它的主要作用就是在眾多不同網(wǎng)絡(luò)之間可以設(shè)置一個唯一的安全信息入口，并且在用戶設(shè)置好的安全策略基礎(chǔ)上，對出入網(wǎng)絡(luò)的信息流進行有效的管理控制，能夠?qū)τ脩粜畔⑵鸬奖Ｗo作用。它在計算機網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用，具有十分明顯的抗攻擊能力，屬于是一種保護網(wǎng)絡(luò)安全的基礎(chǔ)性措施。

2 防火墻的類別種類

基于網(wǎng)絡(luò)安全的需要，人們對于防火墻的研究也取得了顯著的成就，從當(dāng)前的網(wǎng)絡(luò)安全技術(shù)構(gòu)成結(jié)構(gòu)來看，防火墻技術(shù)的種類類別出現(xiàn)了很多種，其中最為常用的有分組過濾型、應(yīng)用代理型以及復(fù)合型等三種形式，這三種不同的形式雖然保護的原理不同，各有各自的運行流程，但是，它們最終應(yīng)用目的是相同的，都是會對網(wǎng)絡(luò)安全起到保護作用的。

2.1 分組過濾型的防火墻技術(shù)

這一類型的防火墻技術(shù)也可以稱之為包過濾防火墻，這是一種最基礎(chǔ)的防火墻形式，具有簡單方便、快捷實效的特點，它是在各個不同的網(wǎng)絡(luò)之間相互連接的設(shè)備上對某些特定的IP、TCP端口號等予以許可或禁止，并對設(shè)備的數(shù)據(jù)包進行詳細的檢查分析，對數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)進行合理的限制。用戶普遍選擇這一類型的防火墻技術(shù)，主要是因為它的傳輸效率很高并且對用戶的開放性也很好。在實際的網(wǎng)絡(luò)應(yīng)用中，它的建立是遵循兩個原則的，一是針對于專用網(wǎng)絡(luò)來說，它只允許內(nèi)部地址的數(shù)據(jù)包通過，杜絕了不明來源的信息進入；二是針對于公共網(wǎng)絡(luò)來說，它只允許地址為80端口的數(shù)據(jù)包通過。

2.2 應(yīng)用代理型的防火墻技術(shù)

從其名稱來看，它是在某種特定代理技術(shù)的支持下來參與到一個 TCP連接的全過程，它的運行開展的核心技術(shù)就是代理服務(wù)器技術(shù)。那么什么是代理服務(wù)器技術(shù)？它是代表客戶處理在服務(wù)器連接請求的一種程序，它在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)的過程中承擔(dān)著中間轉(zhuǎn)接的作用，屬于是必不可少的環(huán)節(jié)。代理服務(wù)器在得到客戶的連接意愿后，會對客戶的請求進行核實，然后在特定的代理應(yīng)用程序作用下來連接請求，最后把處理的請求傳輸?shù)椒?wù)器上，等到服務(wù)器應(yīng)答后，再進行下一步的處理工作，把答復(fù)結(jié)果傳達到客戶手中。在它的作用下，可以對所有應(yīng)用層的信息數(shù)據(jù)包進行檢查，并把所獲得的檢查信息納入到?jīng)Q策過程中，以此來保障網(wǎng)絡(luò)的安全性。它的應(yīng)用特點就是便捷、安全。

2.3 復(fù)合型的防火墻技術(shù)

這種防火墻技術(shù)是綜合了前兩者等的新型防護墻，它的保護原理是在ASIC架構(gòu)的作用下，對防病毒和內(nèi)容進行過濾整合，統(tǒng)一集中到防火墻中，在這一過程中還會涉及到VPN等功能。它所采用的多宿主機結(jié)構(gòu)也大大提高了對網(wǎng)絡(luò)的保護能力，支持多網(wǎng)絡(luò)端口和多LAN的管理，也就實現(xiàn)了內(nèi)部私有網(wǎng)絡(luò)的安全劃分，動態(tài) NAT功能和端口重定向在原則上也是屬于復(fù)合型防火墻技術(shù)的一部分。除此之外，在對網(wǎng)絡(luò)的接口、IP地址等的管理作用下，還可以順利的實現(xiàn)對 IP地址和特殊性服務(wù)的帶寬控制，保證了帶寬的合理分配。

3 網(wǎng)絡(luò)安全技術(shù)中的防火墻作用分析

3.1 減少具有危險性服務(wù)的侵入

防火墻的作用就是保護計算機網(wǎng)絡(luò)的安全，那么對于一些帶有危險性質(zhì)的網(wǎng)絡(luò)服務(wù)，它就可以進行有效的判斷，實現(xiàn)對其的控制。在網(wǎng)絡(luò)數(shù)據(jù)的交換或者是傳輸?shù)倪^程中，會因為防火墻的保護作用，所進行的數(shù)據(jù)信息傳輸都是滿足防火墻的過濾保護要求的，因此，就不會輕易被沒有經(jīng)允許的外網(wǎng)所截取，具有很高的保密性和安全性，這樣也就確保了內(nèi)網(wǎng)運行的安全性，不會受到非法攻擊。

3.2 對特殊網(wǎng)站點訪問的控制

這也是防護墻技術(shù)的主要功能體現(xiàn)。很多的計算機網(wǎng)絡(luò)的使用者來說，很多需要被保護的主機，需要在考慮數(shù)據(jù)傳輸或者是網(wǎng)站訪問的安全性前提下，要對其進行特殊性的保護，進而可以允許其他主機進行數(shù)據(jù)的交換和傳輸。這樣做的目的是可以規(guī)避一些不必要的訪問，保證資源的安全完整，基于此，對于防火墻來說，就要在一些特殊情況下，拒絕對內(nèi)部網(wǎng)的非必要訪問，實現(xiàn)對網(wǎng)絡(luò)安全的有效保護。

3.3 安全保護的集中作用

在防火墻技術(shù)的應(yīng)用下，它可以把安全保護進行集中。這對于一個規(guī)模較大的內(nèi)部網(wǎng)絡(luò)運行來說，這是十分有必要的，而要實現(xiàn)對安全保護的集中管理，就要對其中的某些軟件進行改動或者是附加安全軟件放置于防火墻結(jié)構(gòu)中，這種做法會比分散的放置在各個不同主機中更能確保信息數(shù)據(jù)的安全性，尤其是對于一些密碼的輸入等重要信息來說，更要如此。

3.4 網(wǎng)絡(luò)訪問的記錄和統(tǒng)計作用

防火墻會對任何的在內(nèi)外網(wǎng)之間進行流通的訪問和數(shù)據(jù)都有記錄，并以日志的形式進行總結(jié)，它是一項非常重要的數(shù)據(jù)情報，它的作用就是可以幫助人們來對可能出現(xiàn)的攻擊行為進行分析預(yù)測，建立預(yù)防防范機制，進而阻止外部不安全因素的攻擊，保證了網(wǎng)絡(luò)的安全。

4 計算機安全網(wǎng)絡(luò)技術(shù)中防火墻技術(shù)的應(yīng)用

4.1 安全服務(wù)的配置方面

這一方面中的安全服務(wù)隔離區(qū)主要是指把系統(tǒng)管理機群和服務(wù)器機群單獨的作為個體來劃分出來，安全服務(wù)隔離區(qū)嚴(yán)格來說并不是真正的完全獨立，它還是內(nèi)部網(wǎng)絡(luò)的構(gòu)成部分，保持兩者的獨立性主要是為了確保服務(wù)器數(shù)據(jù)和系統(tǒng)管理可以健康的運行。而對其的具體建立主要是靠網(wǎng)絡(luò)地址轉(zhuǎn)化技術(shù)實現(xiàn)的，把內(nèi)部網(wǎng)絡(luò)中需要進行保護的全部主機地址都映射為不同數(shù)量的公共網(wǎng)絡(luò)IP地址，這樣可以對內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)起到屏蔽和IP地址作用，而且這樣的做法也可以有效的降低成本費用。

4.2 配置訪問的具體策略

防火墻的安全策略是多種形式的，在它的眾多安全策略中，訪問策略是處于核心地位的，具有重要的作用。在進行設(shè)置之前，需要嚴(yán)格的遵循方案設(shè)計要求，按照標(biāo)準(zhǔn)的設(shè)計流程，循序漸進，合理有序。首先，對本單位的眾多以實施的應(yīng)用進行熟練的掌握，包含整個網(wǎng)絡(luò)線路；其次，在前者的基礎(chǔ)上對每一個具體應(yīng)用的源地址、目的地址以及 TCP進行詳細的了解；第三，對于每一個應(yīng)用的實際執(zhí)行頻繁狀況進行把握，對左右的構(gòu)成策略進行合理的調(diào)整，重新的進行排序；第四，再一次的確認無誤之后，再把配置投入到使用當(dāng)中，使其功能價值可以高效發(fā)揮。

4.3 日志監(jiān)控方面

它在計算機網(wǎng)絡(luò)安全技術(shù)中也是一種實用價值很高的安全保護措施，很多的管理人員在進行日志信息采集的過程中很容易出現(xiàn)對所有的與之相關(guān)的信息都全部收集，這樣的做法會浪費很多的時間成本，而且每一個防火墻所經(jīng)過的數(shù)據(jù)信息量是十分巨大的，如果稍有不慎，還會對所要采集的主要信息形成“漏掉”的風(fēng)險，給采集工作帶來很大的難度，基于此，對于信息收集人員來說，就要在采集時有所針對性，只選擇關(guān)鍵的信息就可以了，這樣不僅方便日志順利的形成，而且還可以保證其作用的真正高效發(fā)揮，同時也大大降低了信息采集的難度和復(fù)雜系數(shù)，除此之外，對于在進行信息的記錄工作開展時，要對系統(tǒng)的警告信息進行記錄，而對于流量信息則可以擇取重點進行記錄，不用全部記錄。

5 總結(jié)

隨著我國計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們生產(chǎn)生活的信息化、科技化水平有了顯著的提升。在計算機網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)是重要的構(gòu)成部分，也是當(dāng)前十分常見的一種保護措施，可以對計算機中的數(shù)據(jù)信息流起到很好的保護和保密作用，規(guī)避了不安全因素的侵入，從而保證了用戶信息的安全和完整，它自身所具有的優(yōu)勢特性要求在實際的應(yīng)用中，要考慮到諸多的方面，并加強這方面的研究創(chuàng)新，使其效用可以更高效的發(fā)揮。