第一篇：防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的具體應(yīng)用

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的具體應(yīng)用

摘要：隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用也越來(lái)越廣泛，可以說(shuō)在現(xiàn)代人的生活中，人們是離不開(kāi)網(wǎng)絡(luò)的。但網(wǎng)絡(luò)技術(shù)除了給人們帶來(lái)先進(jìn)生活理念，給社會(huì)帶來(lái)巨大的經(jīng)濟(jì)效益的同時(shí)，其存在的安全問(wèn)題也對(duì)信息技術(shù)、法規(guī)、監(jiān)督、標(biāo)準(zhǔn)等方面帶來(lái)了新的挑戰(zhàn)。而防火墻系統(tǒng)作為防御網(wǎng)絡(luò)惡意攻擊的最主要手段，越來(lái)越受到人們的重視，所以防火墻系統(tǒng)如何通過(guò)完善自身的安全系統(tǒng)來(lái)避免信息安全問(wèn)題的發(fā)生也是我們值得探討的課題。本文就以此為切入點(diǎn)，全面、具體的闡明防火墻的應(yīng)用手段和技術(shù)重點(diǎn)。

關(guān)鍵詞：計(jì)算機(jī)；互聯(lián)網(wǎng)；防火墻

防火墻系統(tǒng)是防御網(wǎng)絡(luò)攻擊的最有效手段。它可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，向用戶(hù)發(fā)出系統(tǒng)升級(jí)的提示信息，當(dāng)計(jì)算機(jī)受到外部網(wǎng)絡(luò)黑客或木馬的惡意攻擊時(shí)，它會(huì)第一時(shí)間進(jìn)行防御，確保個(gè)人信息的安全性。是企業(yè)的電子商務(wù)、政府的電子政務(wù)工作安全、順利進(jìn)行的基礎(chǔ)。

1防火墻系統(tǒng)的優(yōu)點(diǎn)和不足 1.1包過(guò)濾的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)：防火墻對(duì)路由器的過(guò)濾工作可以保證用戶(hù)信息的安全，過(guò)濾過(guò)程用戶(hù)清晰可見(jiàn)。

缺點(diǎn)：防火墻對(duì)路由器的過(guò)濾雖然可以在一定程度上保護(hù)用戶(hù)的信息安全，但卻不能完全避免網(wǎng)絡(luò)的惡意攻擊。因?yàn)檫^(guò)濾器對(duì)一些黑客的惡意攻擊不能夠立即執(zhí)行安全防護(hù)，還有一些系統(tǒng)不支持包過(guò)濾，這就使其不能對(duì)用戶(hù)信息進(jìn)行有效保護(hù)。

1.2代理技術(shù)的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：代理技術(shù)可以確保防火墻與互聯(lián)網(wǎng)之間的連接通信，當(dāng)用戶(hù)對(duì)外部互聯(lián)網(wǎng)進(jìn)行訪(fǎng)問(wèn)和賬戶(hù)登錄時(shí)，外部防火墻就可以將信息轉(zhuǎn)發(fā)到Intranet用戶(hù)的防火墻。這就意味著用戶(hù)對(duì)外部互聯(lián)網(wǎng)的所有交互信息都要通過(guò)代理軟件來(lái)完成。無(wú)論何時(shí)，用戶(hù)都不可能直接與服務(wù)器進(jìn)行連接，這就在一定程度上保證了用戶(hù)網(wǎng)絡(luò)信息的安全性。另外，代理技術(shù)還能對(duì)應(yīng)用層進(jìn)行及時(shí)的審查和監(jiān)控，一旦發(fā)現(xiàn)不符合安全協(xié)議，可疑性較大的服務(wù)器，代理網(wǎng)關(guān)就立刻向用戶(hù)發(fā)出警告，確保用戶(hù)受到來(lái)自不明網(wǎng)絡(luò)的安全威脅。除此之外，代理技術(shù)還可以對(duì)用戶(hù)的信息提供加密型服務(wù)，保障用戶(hù)的個(gè)人隱私不被泄露。

缺點(diǎn)：代理技術(shù)受到自身原因和外部因素的制約，導(dǎo)致其運(yùn)行速度較慢。受外部服務(wù)器種類(lèi)和服務(wù)協(xié)議不同的影響，代理技術(shù)并不能根據(jù)不同的協(xié)議做出調(diào)整，這就是使低層協(xié)議的安全受到威脅。由于這些缺點(diǎn)，代理技術(shù)正逐漸被取代。

2防火墻技術(shù)的種類(lèi)

防火墻作為從源頭上避免網(wǎng)絡(luò)攻擊的一種手段，對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全發(fā)揮著巨大作用。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，防火墻技術(shù)也在進(jìn)行著一系列的升級(jí)換代。以目前使用的防火墻系統(tǒng)為例，它不僅僅能夠?qū)τ?jì)算機(jī)外部網(wǎng)絡(luò)通信的情況進(jìn)行監(jiān)督和防范，還能夠自動(dòng)分辨和屏蔽一些網(wǎng)絡(luò)不良信息。用戶(hù)對(duì)計(jì)算機(jī)執(zhí)行操作命令時(shí)，防火墻還能對(duì)發(fā)出指令的數(shù)據(jù)包進(jìn)行過(guò)濾，只選擇符合安全標(biāo)準(zhǔn)的指令進(jìn)行執(zhí)行，這在一定程度上避免了因用戶(hù)自身下達(dá)的錯(cuò)誤命令而導(dǎo)致的安全威脅。所以說(shuō)，防火墻是用戶(hù)進(jìn)行網(wǎng)絡(luò)信息交換安全有效進(jìn)行的綠色屏障。除此之外，防火墻自身還具備自我升級(jí)就和自我免疫的功能，這也是致力于防火墻系統(tǒng)研究人員的智慧和結(jié)晶。防火墻的分類(lèi)主要以以下兩大常見(jiàn)種類(lèi)為主：

2.1包過(guò)濾型

包過(guò)濾防火墻結(jié)合了網(wǎng)絡(luò)層和傳輸層技術(shù)，它能夠迅速分辨出數(shù)據(jù)信息的來(lái)源、IP地址、端口序列號(hào)、協(xié)議種類(lèi)等信息，并對(duì)各項(xiàng)內(nèi)容進(jìn)行快速掃描，辨別信息來(lái)源的安全性，選擇出符合安全要求的數(shù)據(jù)信息進(jìn)行傳輸，對(duì)于一些不符合要求的危險(xiǎn)信息自動(dòng)丟棄。

2.2應(yīng)用代理型

應(yīng)用代理型防火墻主要致力于應(yīng)用層的檢測(cè)和監(jiān)督。它能夠?qū)W(wǎng)絡(luò)流量進(jìn)行全程的監(jiān)督和監(jiān)管。它還能夠根據(jù)不同的應(yīng)用程序設(shè)定相應(yīng)的代理服務(wù)，確保流量監(jiān)督工作有序的進(jìn)行。

另外，應(yīng)用代理防火墻還是防火墻中的典型代表。它的運(yùn)行位置還可分為邊界防火墻、個(gè)人防火墻和混合防火墻，具有便捷、高效、全方位的特點(diǎn)。

3防火墻技術(shù)在實(shí)踐中的應(yīng)用 3.1屏蔽主機(jī)網(wǎng)關(guān)

防火墻的實(shí)際應(yīng)用很廣泛，屏蔽主機(jī)網(wǎng)關(guān)就是一項(xiàng)非常重要的應(yīng)用。當(dāng)用戶(hù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)信息交互活動(dòng)時(shí)，防火墻就會(huì)對(duì)安裝在內(nèi)部網(wǎng)絡(luò)上的兩個(gè)不同的路由器進(jìn)行包過(guò)濾，對(duì)符合過(guò)濾規(guī)則的數(shù)據(jù)包作為連接外部的主機(jī)，這就避免了外部未授權(quán)的不明程序?qū)τ脩?hù)產(chǎn)生惡意攻擊。

當(dāng)用戶(hù)對(duì)本地網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)或賬戶(hù)登錄時(shí)，由于沒(méi)有路由器的限制，防火墻就會(huì)對(duì)網(wǎng)盾的主機(jī)進(jìn)行過(guò)濾，確保了本地網(wǎng)絡(luò)的安全性。但是不能忽略的一點(diǎn)就是，一旦網(wǎng)絡(luò)黑客設(shè)法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行登錄，那內(nèi)部網(wǎng)絡(luò)的各項(xiàng)信息依然會(huì)受到惡意威脅。

3.2屏蔽路由器

防火墻系統(tǒng)能夠?qū)崿F(xiàn)路由器的屏蔽技術(shù)。一般廠(chǎng)家會(huì)對(duì)路由器進(jìn)行屏蔽技術(shù)的授權(quán)，如果路由器本身不具有屏蔽的功能，用戶(hù)通過(guò)主機(jī)操作也能夠?qū)崿F(xiàn)。因?yàn)槠帘温酚善魇怯脩?hù)與外部信息連接的唯一途徑，所有收發(fā)的數(shù)據(jù)包都必須經(jīng)過(guò)這項(xiàng)考驗(yàn)，安裝在路由器IP層的過(guò)濾軟件可對(duì)信息進(jìn)行實(shí)時(shí)篩選，便捷安全。

3.3屏蔽子網(wǎng)

防火墻系統(tǒng)能夠?qū)ψ泳W(wǎng)進(jìn)行屏蔽。通過(guò)其與外部建立的獨(dú)立子網(wǎng)，分別由路由器對(duì)子網(wǎng)內(nèi)部、外部進(jìn)行子網(wǎng)掩碼的分離。

虛擬機(jī)管理程序（hypervisor）是虛擬機(jī)管理器的運(yùn)行核心，不同于傳統(tǒng)的操作系統(tǒng)。在基礎(chǔ)物理硬件的管理與配套上，服務(wù)器虛擬化的核心部的安全性直接關(guān)系到虛擬機(jī)的安全性。如果虛擬機(jī)管理器的安全機(jī)制不健全，被一種惡意軟件利用其漏洞獲取了一個(gè)高層次的協(xié)議端口，就可以享有高于操作系統(tǒng)的硬件部署的特權(quán)，這就給其他用戶(hù)造成極大的安全威脅。

IAAS常常將一臺(tái)物理機(jī)器的使用權(quán)劃分給多個(gè)虛擬機(jī)。對(duì)于同一物理服務(wù)器上的虛擬機(jī)用戶(hù)可以無(wú)限制的互相訪(fǎng)問(wèn)，不需要以防火墻和交換機(jī)做橋接，這就給虛擬機(jī)互相攻擊的提供了便利條件，所以說(shuō)必須保證防火墻對(duì)虛擬機(jī)的高度隔離，是IAAS安全問(wèn)題解決的關(guān)鍵。

綜上所述，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，防火墻的防御工作是一項(xiàng)復(fù)雜而漫長(zhǎng)的任務(wù)，我們必須針對(duì)網(wǎng)絡(luò)傳播中的任何可能發(fā)生的威脅進(jìn)行有效的防護(hù)，才能保證用戶(hù)的信息安全?？傊?，網(wǎng)絡(luò)是把雙刃劍，計(jì)算機(jī)在給人們帶來(lái)了快捷與高效的同時(shí)，其中的安全隱患也給人們帶來(lái)了一些損失和困擾。所以我們要共同努力，構(gòu)建一個(gè)和諧的網(wǎng)絡(luò)傳播環(huán)境。

參考文獻(xiàn)： [1]劉玉莎.防火墻技術(shù)的研究與探討[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2010(09).[2]郭偉.數(shù)據(jù)包過(guò)濾技術(shù)與防火墻的設(shè)計(jì)[J].江漢大學(xué)學(xué)報(bào),2011(03).[3]朱艷琴，錢(qián)龍華，陳承勤.計(jì)算機(jī)組網(wǎng)技術(shù)教程[M].北京：北京電子希望出版社,2011

第二篇：計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類(lèi)似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;

2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為;

●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪(fǎng)問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀(guān)防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:

1)利用路由器本身對(duì)分組的解析,以訪(fǎng)問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;

2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪(fǎng)問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶(hù)化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶(hù)防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶(hù)化的防火墻工具套具有以下特征:

1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;

2)針對(duì)用戶(hù)需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶(hù)可以自己動(dòng)手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題:

配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);

對(duì)用戶(hù)的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):

1)是批量上市的專(zhuān)用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;

3)裝有專(zhuān)用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶(hù)的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無(wú)從保證;

2)由于大多數(shù)防火墻廠(chǎng)商并非通用操作系統(tǒng)的廠(chǎng)商,通用操作系統(tǒng)廠(chǎng)商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠(chǎng)商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。

第三篇：aj-dphba計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

、.~ ① 我們‖打〈敗〉了敵人。

②我們‖〔把敵人〕打〈敗〉了。

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類(lèi)似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能: ●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);●管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為;●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪(fǎng)問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀(guān)防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是: 1)利用路由器本身對(duì)分組的解析,以訪(fǎng)問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪(fǎng)問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶(hù)化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶(hù)防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶(hù)化的防火墻工具套具有以下特征: 1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;2)針對(duì)用戶(hù)需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶(hù)可以自己動(dòng)手構(gòu)造防火墻;4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題: 配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);對(duì)用戶(hù)的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些

特點(diǎn):

1)是批量上市的專(zhuān)用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;3)裝有專(zhuān)用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;4)保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置;5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶(hù)的認(rèn)同

。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性

無(wú)從保證;

2)由于大多數(shù)防火墻廠(chǎng)商并非通用操作系統(tǒng)的廠(chǎng)商,通用操作系統(tǒng)廠(chǎng)商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠(chǎng)商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;5)透明性好,易于使用。

第四篇：計(jì)算機(jī)防火墻與應(yīng)用——網(wǎng)絡(luò)安全技術(shù).論文

防火墻原理與應(yīng)用—網(wǎng)絡(luò)安全技術(shù)論文

摘要

計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)今信息時(shí)代的關(guān)鍵技術(shù)。當(dāng)前網(wǎng)絡(luò)安全問(wèn)題存在著計(jì)算機(jī)病毒，計(jì)算機(jī)黑客攻擊等問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題有其先天的脆弱性，黑客攻擊的嚴(yán)重性，網(wǎng)絡(luò)殺手集團(tuán)性和破壞手段的多無(wú)性，解決網(wǎng)絡(luò)安全問(wèn)題重要手段就是防火墻技術(shù)。走在中國(guó)特色的防火墻技術(shù)發(fā)展之路，是確保我國(guó)網(wǎng)絡(luò)安全的有效途徑之一。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文重點(diǎn)介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實(shí)現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過(guò)濾技術(shù)（Packet filtering),它是代表是在應(yīng)用層網(wǎng)關(guān)上實(shí)現(xiàn)的防火墻功能。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能 前言

隨著網(wǎng)絡(luò)技術(shù)的普遍推廣，電子商務(wù)的展開(kāi)，實(shí)施和應(yīng)用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學(xué)研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡(luò)用戶(hù)群同樣需要掌握網(wǎng)絡(luò)安全知識(shí)。由于在早起網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在管理和使用上的無(wú)政府狀態(tài)，逐漸是Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢次發(fā)生，一些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種犯罪的工具，不僅影響到了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶(hù)正常使用，造成許多經(jīng)濟(jì)損失，而且還會(huì)威脅到國(guó)家的安全，一些國(guó)家的機(jī)密被黑客破壞造成網(wǎng)絡(luò)癱瘓。如何更有效的保護(hù)重要的信息數(shù)據(jù)，極高計(jì)算機(jī)網(wǎng)絡(luò)安全性已經(jīng)成為世界各國(guó)共同關(guān)注的話(huà)題，防火墻可以提供增強(qiáng)網(wǎng)絡(luò)的安全性，是當(dāng)今網(wǎng)絡(luò)系統(tǒng)最基礎(chǔ)設(shè)施，側(cè)重干網(wǎng)絡(luò)層安全，對(duì)于從事網(wǎng)絡(luò)建設(shè)與管理工作而言，充分發(fā)揮防火墻的安全防護(hù)功能和網(wǎng)絡(luò)管理功能只管重要。

1防火墻概述

1.1在計(jì)算機(jī)法網(wǎng)絡(luò)中，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)分開(kāi)的方法，它實(shí)際是一種隔離技術(shù)，它允許“可以訪(fǎng)問(wèn)”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將“不允許訪(fǎng)問(wèn)”的人和數(shù)據(jù)拒之門(mén)外，最大限度的阻止網(wǎng)絡(luò)中的和尅來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)，如果不能通過(guò)防火墻，人們就無(wú)法訪(fǎng)問(wèn)Internet，夜無(wú)法和其他人進(jìn)行通訊，它具有較強(qiáng)的抗攻擊能力，提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)建設(shè)。

1.2防火墻的功能 防火墻的訪(fǎng)問(wèn)控制功能；訪(fǎng)問(wèn)控制功能是防火墻設(shè)備的最基本功能，其作用就對(duì)經(jīng)過(guò)防火墻的所有通信進(jìn)行連通或阻斷的安全控制，以實(shí)現(xiàn)連接到防火墻的各個(gè)網(wǎng)段的邊界安全性，為實(shí)施訪(fǎng)問(wèn)控制功能過(guò)濾，如電子郵件附件的文件類(lèi)型可以等可以將IP與MAC地址綁定以防止盜用IP的現(xiàn)象發(fā)生，可以對(duì)上網(wǎng)時(shí)間段進(jìn)行控制，不同時(shí)段執(zhí)行不同的安全策略，防火墻的訪(fǎng)問(wèn)控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規(guī)則允許的訪(fǎng)問(wèn)，其他的都是禁止的，至此一定的安全策略，過(guò)濾掉不安全服務(wù)和非法用戶(hù)，利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將有限的IP地址動(dòng)態(tài)或靜態(tài)地址與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)環(huán)節(jié)地址空間短缺的問(wèn)題?？梢赃B接到一個(gè)單獨(dú)的網(wǎng)絡(luò)上，在物理上與美不網(wǎng)絡(luò)隔離開(kāi)并部署WWW服務(wù)器和FTP服務(wù)器，作為向外部外發(fā)內(nèi)部信息的地點(diǎn)。防火墻支持用戶(hù)基于用戶(hù)身份的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制，不僅具有內(nèi)置的用戶(hù)管理及認(rèn)證接口，同時(shí)夜支持用戶(hù)進(jìn)行外部身份證認(rèn)證。防火墻可以根據(jù)用戶(hù)認(rèn)證的情況動(dòng)態(tài)地址調(diào)整安全策略實(shí)現(xiàn)用戶(hù)對(duì)網(wǎng)絡(luò)的授權(quán)訪(fǎng)問(wèn)。1.3 防火墻技術(shù)

按照實(shí)現(xiàn)技術(shù)分類(lèi)防火墻的基本類(lèi)型有：包過(guò)濾型，代理服務(wù)器和狀態(tài)包過(guò)濾型。包過(guò)濾通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾是一種安全篩選機(jī)制，它在控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。包過(guò)濾是一種有效的安全手段。它在網(wǎng)絡(luò)層和傳輸層其作用，它根據(jù)分組數(shù)據(jù)包的源宿地址斷及協(xié)議類(lèi)型，來(lái)確定是否允許分組包通過(guò)，包過(guò)濾的有點(diǎn)是它對(duì)用戶(hù)是透明的，處理速度快且易維護(hù)，通常作為第一道防線(xiàn)。

代理服務(wù)技術(shù)：代理服務(wù)系統(tǒng)一般安裝運(yùn)行在雙宿主機(jī)上，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓展，比包過(guò)濾防火墻安全，由于安全性能較高，所以是使用較多的防火墻技術(shù)代理服務(wù)軟件運(yùn)行在一臺(tái)主機(jī)上構(gòu)成代理服務(wù)器，負(fù)責(zé)客戶(hù)的請(qǐng)求，根據(jù)安全規(guī)則判斷這個(gè)請(qǐng)求是否允許，如果允許才能傳給真正的防火墻。代理系統(tǒng)是客戶(hù)機(jī)和真實(shí)服務(wù)器之間的中介，完全控制客戶(hù)機(jī)和真實(shí)服務(wù)器之間的流量并對(duì)流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性對(duì)多用戶(hù)的透明，且對(duì)每一個(gè)服務(wù)器都要設(shè)計(jì)一個(gè)代理模塊，建立應(yīng)對(duì)的網(wǎng)關(guān)層實(shí)現(xiàn)起來(lái)比較復(fù)雜。

代理技術(shù)的優(yōu)點(diǎn)：1提供的安全級(jí)高于包過(guò)濾型防火墻。2.代理服務(wù)型防火墻可以配置成唯一的可被外部看見(jiàn)的主機(jī)，以保護(hù)內(nèi)部主機(jī)免收外部攻擊。3.可能強(qiáng)制執(zhí)行用戶(hù)認(rèn)證。4.代理工作在客戶(hù)機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話(huà)，所以能提供較詳細(xì)的審計(jì)日志。1.4 防火墻系統(tǒng)的優(yōu)點(diǎn)

可以對(duì)網(wǎng)絡(luò)安全進(jìn)行集中控制和管理；防火墻將受信任的專(zhuān)用網(wǎng)與不受信任的公用網(wǎng)隔離開(kāi)來(lái)，將承擔(dān)分險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上在機(jī)構(gòu)上形成了一個(gè)控制中心，大大加強(qiáng)了網(wǎng)絡(luò)安全性，并簡(jiǎn)化了網(wǎng)絡(luò)管理。由于防火墻在結(jié)構(gòu)上的特殊位置，使其方便的提供了監(jiān)視管理與審計(jì)網(wǎng)絡(luò)的使用及預(yù)警衛(wèi)解決IP的地址危機(jī)提供了可行方案，防火墻系統(tǒng)則正處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換MAT的最佳位置，MAT有助于緩和IP地址空間不足，并使得一個(gè)結(jié)構(gòu)改變Internet服務(wù)提供商時(shí)而不必重新編址。防火墻系統(tǒng)可以作為Internet信息服務(wù)器的安裝地點(diǎn)，對(duì)外發(fā)布信息。新一代的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過(guò)率越高，防火墻性能越好?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓防火墻受保護(hù)的一邊的IP地址不至于暴露在沒(méi)有保護(hù)的另一邊，但是啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣(mài)點(diǎn)之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線(xiàn)速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。

1.5.防火墻系統(tǒng)的局限性

防火墻系統(tǒng)存在著如下局限性：常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓展結(jié)構(gòu)來(lái)支持，對(duì)網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性，多樣性和開(kāi)放性衛(wèi)代價(jià)。防火墻系統(tǒng)的防范對(duì)象來(lái)自外部對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊，而不能防范不經(jīng)有防火墻的攻擊。比如通過(guò)SLIP和PPP的撥號(hào)攻擊，繞過(guò)了防火墻系統(tǒng)而直接撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，防火墻多這樣的攻擊很難防范。防火墻在技術(shù)原理上對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用。

結(jié)束語(yǔ) 網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來(lái)了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，安全受到人們?cè)絹?lái)越多的關(guān)注。如何保護(hù)各類(lèi)網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點(diǎn)，其中防火墻是運(yùn)用非常廣泛和效果做好的選擇。但是，防火墻技術(shù)也有它的不足之處，為了更好的維護(hù)網(wǎng)絡(luò)安全，還需要其他的技術(shù)相結(jié)合，以及更先進(jìn)的技術(shù)發(fā)現(xiàn)。

參考文獻(xiàn)

[1]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：北京人民郵電出版社.2004.50—75.[2]馮 元.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：科學(xué)出版社.2004.120—150.[3]穆紅濤.Internet實(shí)用技術(shù)[M].北京：大連理工大學(xué)出版社.2005.150—198.[4]張仕斌.網(wǎng)絡(luò)安全技術(shù)［M］.北京：清華大學(xué)出版社.2001.17—38.[5]梁亞聲.計(jì)算機(jī)網(wǎng)絡(luò)安全教程［M］.北京：機(jī)械工業(yè)出版社.2004.110—187.致謝

大學(xué)生活一晃而過(guò)，回首走過(guò)的歲月，心中倍感充實(shí)，首先誠(chéng)摯的感謝我的論文指導(dǎo)老師王紅衛(wèi)老師。他在忙碌的教學(xué)工作中抽出時(shí)間來(lái)審查、修改我的論文。還有教過(guò)我的所有老師們，你們嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣;他們循循循善誘的教導(dǎo)和不拘一格的思路給予我無(wú)盡的啟迪。

感謝大學(xué)中中陪伴在我身拜年的同學(xué)、朋友、感謝他們?yōu)槲姨岢龅挠幸獾慕ㄗh和意見(jiàn)，有了他們的支持、鼓勵(lì)和幫助，我才能充實(shí)的度過(guò)大學(xué)的學(xué)習(xí)生活。

第五篇：防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用分析

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用分析

【摘 要】隨著現(xiàn)代化科學(xué)技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)被廣泛的應(yīng)用在各個(gè)領(lǐng)域，逐漸人們生活、工作和學(xué)習(xí)中不可或缺的重要工具。但是計(jì)算機(jī)網(wǎng)絡(luò)在人們提供便利的同時(shí)也人們帶來(lái)了很多的問(wèn)題，在如今的信息化時(shí)代，人們?cè)絹?lái)越重視自身的信息安全。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用，可以有效地提高計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性和可靠性。本文分析了防火墻技術(shù)概述，闡述了防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。

【關(guān)鍵詞】防火墻技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全 運(yùn)用

在如今的信息化時(shí)代，互聯(lián)網(wǎng)快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了人們之間的信息和資源共享，打破了時(shí)間和空間對(duì)人們進(jìn)行信息交流的限制，與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也逐漸成為人們關(guān)注的焦點(diǎn)，防火墻技術(shù)作為一種的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全方面發(fā)揮著非常重要的作用。

一、防火墻技術(shù)概述

（一）防火墻概述

防火墻是由計(jì)算機(jī)軟件設(shè)備和硬件設(shè)備共同組成的一種網(wǎng)絡(luò)隔離防護(hù)技術(shù)[1]，主要功能是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不被非法攻擊和入侵。防火墻技術(shù)依托于一種阻止或者允許計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行通信的安全機(jī)制，通過(guò)在計(jì)算機(jī)上設(shè)置過(guò)濾網(wǎng)絡(luò)，控制計(jì)算機(jī)的網(wǎng)絡(luò)通信，只有經(jīng)過(guò)授權(quán)才可以進(jìn)行通訊。從本質(zhì)上來(lái)講，防火墻是一種介于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)之間的保護(hù)設(shè)備，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)之間的所有信息通訊都要經(jīng)過(guò)防火墻的全面檢測(cè)。

（二）防火墻的功能

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中按照一定的安全標(biāo)準(zhǔn)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)系統(tǒng)中傳輸?shù)臄?shù)據(jù)包，一旦發(fā)現(xiàn)問(wèn)題，會(huì)立即阻止傳輸數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，阻止非法入侵者或者網(wǎng)絡(luò)黑客以非法手段獲取內(nèi)部信息數(shù)據(jù)或者訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)，能夠有效地過(guò)濾計(jì)算機(jī)網(wǎng)絡(luò)中的危險(xiǎn)因素，并且防火墻技術(shù)可以實(shí)時(shí)記錄和監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)中的多種操作，計(jì)算機(jī)網(wǎng)絡(luò)中的任何操作經(jīng)過(guò)防火墻，都會(huì)留下監(jiān)測(cè)記錄信息，為計(jì)算機(jī)網(wǎng)絡(luò)管理人員提供可靠的數(shù)據(jù)依據(jù)，當(dāng)發(fā)現(xiàn)非法操作時(shí)，會(huì)立即發(fā)出報(bào)警信號(hào)，引起計(jì)算機(jī)用戶(hù)的注意。

二、防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

隨著現(xiàn)代化科學(xué)技術(shù)的快速發(fā)展，防火墻技術(shù)經(jīng)過(guò)不斷的改進(jìn)和優(yōu)化，在計(jì)算網(wǎng)絡(luò)安全方面取得了顯著的成就。防火墻作為計(jì)算機(jī)網(wǎng)絡(luò)中一種重要的安全設(shè)備，在早期的應(yīng)用過(guò)程中，只能防御來(lái)自計(jì)算機(jī)外部的安全威脅，但是當(dāng)前的防火墻技術(shù)不僅可以有效地過(guò)濾來(lái)自外部計(jì)算機(jī)網(wǎng)絡(luò)的信息通訊，還可以全面監(jiān)測(cè)內(nèi)部用戶(hù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包和連接請(qǐng)求。為了確保計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)的信息安全，外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的所有信息通信都需要經(jīng)過(guò)防火墻的過(guò)濾。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用，可以有效地提高計(jì)算機(jī)網(wǎng)絡(luò)的自我免疫能力和抗攻擊能力。

（一）包過(guò)濾型防火墻技術(shù)

包過(guò)濾性防火墻技術(shù)是一種計(jì)算機(jī)網(wǎng)絡(luò)的分包數(shù)據(jù)傳輸技術(shù)，是防火墻技術(shù)的早期產(chǎn)品。在計(jì)算機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)信息都是以數(shù)據(jù)包為一個(gè)獨(dú)立單位進(jìn)行信息傳輸，大量的數(shù)據(jù)信息被分割成若干個(gè)大小不等的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包包含著數(shù)據(jù)的UDP/TCP目標(biāo)端口、源端口、目標(biāo)地址、源地址等一些特定信息[2]，防火墻檢測(cè)這些數(shù)據(jù)包的目標(biāo)地址和源地址信息是否正確，檢查這些數(shù)據(jù)包來(lái)源的站點(diǎn)是否是安全可信的，一旦發(fā)現(xiàn)數(shù)據(jù)包的源地址或者來(lái)源站點(diǎn)沒(méi)有安全憑證，防火墻會(huì)立即阻止這些數(shù)據(jù)包進(jìn)入用戶(hù)的計(jì)算機(jī)網(wǎng)絡(luò)。包過(guò)濾型防火墻具有成本低、簡(jiǎn)單實(shí)用的優(yōu)點(diǎn)，具有很高的性?xún)r(jià)比，有效地保障用戶(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全。但是包過(guò)濾型防火墻只能根據(jù)數(shù)據(jù)包的端口、目的地址和源地址等特定信息來(lái)檢測(cè)數(shù)據(jù)包的安全性，難以識(shí)別來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層的網(wǎng)絡(luò)攻擊。

（二）代理型防火墻技術(shù)

代理型防火墻彌補(bǔ)了包過(guò)濾型防火墻的缺陷，其安全性能要明顯好于包過(guò)濾型防火墻產(chǎn)品。代理型防火墻也被稱(chēng)為代理型服務(wù)器，其位于計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器和客戶(hù)機(jī)之間形成一個(gè)安全屏障，全面檢測(cè)兩者之間的數(shù)據(jù)交換。對(duì)于服務(wù)器來(lái)說(shuō)，代理型防火墻相當(dāng)于一個(gè)客戶(hù)機(jī)；對(duì)于客戶(hù)機(jī)來(lái)說(shuō)，代理型防火墻又相當(dāng)于一個(gè)服務(wù)器[3]。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器和客戶(hù)機(jī)之間進(jìn)行數(shù)據(jù)交換時(shí)，信息首先經(jīng)過(guò)代理型防火墻，代理型防火墻根據(jù)數(shù)據(jù)信息的請(qǐng)求訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)，然后代理型防火墻再將網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)給客戶(hù)機(jī)，這樣的過(guò)程使得計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部服務(wù)器和外部的計(jì)算機(jī)網(wǎng)絡(luò)之間不存在直接的數(shù)據(jù)通信，來(lái)自于外部網(wǎng)絡(luò)的惡意攻擊也難以進(jìn)入內(nèi)部用戶(hù)的網(wǎng)絡(luò)系統(tǒng)中，有效地保障了計(jì)算機(jī)網(wǎng)絡(luò)安全。代理型防火墻具有很高的安全性，并且針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用層的安全漏洞進(jìn)行了特別的設(shè)置，可以定期的自動(dòng)掃描和偵測(cè)網(wǎng)絡(luò)應(yīng)用層的運(yùn)行狀況，能夠有效地應(yīng)對(duì)來(lái)自于應(yīng)用層的病毒和入侵，而其缺點(diǎn)是代理型防火墻會(huì)影響整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的性能，在應(yīng)用過(guò)程中需要逐一設(shè)置用戶(hù)網(wǎng)絡(luò)的所有應(yīng)用類(lèi)型，極大地增加了計(jì)算機(jī)網(wǎng)絡(luò)管理的難度和復(fù)雜性。

（三）監(jiān)測(cè)型防火墻技術(shù)

監(jiān)測(cè)型防火墻是當(dāng)前防火墻技術(shù)發(fā)展的最新產(chǎn)品，其綜合了包過(guò)濾型防火墻和代理型防火墻的優(yōu)點(diǎn)，是一種新興的防火墻產(chǎn)品。監(jiān)測(cè)型防護(hù)墻可以實(shí)時(shí)的、主動(dòng)的監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各個(gè)層的數(shù)據(jù)信息，通過(guò)分析處理，判斷出計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各個(gè)層的網(wǎng)絡(luò)攻擊和非法入侵。并且，監(jiān)測(cè)型防火墻產(chǎn)品自身帶有探測(cè)器，這種分布式探測(cè)器位于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)和應(yīng)用服務(wù)器之間，不僅可以檢測(cè)到外部計(jì)算機(jī)網(wǎng)絡(luò)的惡意攻擊，還可以防范來(lái)自于內(nèi)部網(wǎng)絡(luò)的惡意破壞。

監(jiān)測(cè)型防火墻的安全性要高于包過(guò)濾型防火墻和代理型防火墻，但是其運(yùn)行成本相對(duì)也比較高，并且難以管理，所以在當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)中，主要還是以代理型防火墻技術(shù)為主，而監(jiān)測(cè)型防火墻技術(shù)主要被應(yīng)用在一些對(duì)安全性要求較高的特殊領(lǐng)域。

三、結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)在各個(gè)領(lǐng)域的逐漸深入，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題成為當(dāng)前人們關(guān)注的重點(diǎn)，防火墻技術(shù)作為一種重要的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的一道重要屏障。隨著現(xiàn)代化科學(xué)技術(shù)的快速發(fā)展，不斷完善和改進(jìn)防火墻技術(shù)，推動(dòng)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的廣泛應(yīng)用。

參考文獻(xiàn)：

[1]戴銳.探析防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].信息與電腦（理論版），2011，11：45-46.[2]張雪瑩，息海濤.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].科技與企業(yè)，2013，05：108.[3]陳玉芳，裴祥喜，劉坤峰，舒丹陽(yáng).防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值探析[J].煤炭技術(shù)，2013，08：225-226.