基于防火墙技术对网络安全防护的认识

基于防火墙技术对网络安全防护的认识

摘要：随着计算机信息技术不断发展，计算机网络在各个行业得到了广发应用，并影响和改变着人们的生活方式。计算机网络带来便利的同时其网络安全性问题值得关注，防火墙技术作为重要的网络安全防护手段，能够有效的防御网络威胁和恶意攻击，确保网络安全。本文首先介绍防火墙技术相关概念，然后对防火墙技术策略及主要功能进行了分析，最后防火墙技术发展做出了展望。

关键词：计算机网络；防火墙；网络安全；防护认识

中图分类号：tp393

随着计算机科学技术的不断发展，信息网络的不断成熟和完善，计算机网络在社会发展和人们生活中越来越发挥着重要的作用，它正深刻的改变着人们信息交流方式，实现了真正地资源共享。计算机网络带来便利的同时其网络安全性问题值得关注，为此，为了保护计算机网络安全，为了确保信息共享通畅，很多网络安全维护技术相继提出，其中防火墙技术是其中最有效、最主要、最容易实施的方法之一，防火墙技术具有很强的网络防御能力和广泛的适用领域。作为计算机网络安全防护技术重要组成，防火墙通过监测和控制内网与外网之间的信息交换活动，从而实现了对计算机网络安全的有效管理。本文首先介绍防火墙技术相关概念，然后对防火墙技术策略及主要功能进行了分析，最后防火墙技术发展做出了展望。

1 防火墙技术概述

一般讲，防火墙是指利用一组设备，将受信任的内网与不受信任

的外网以及专用网与公共网进行隔离。防火墙的主要目的是依据计算机网络用户的安全防护策略，对流通于网络之间的数据信息实施安全监控，以防御未知的、具有破坏性的侵入。使用防火墙可以保护个人或企业专用网不容易遭受“坏家伙”入侵，同时也保证了内部网络用户与外部网络用户交流信息安全。

1.1 防火墙分类

按防火墙在计算机网络中的位置划分可以分为分布式防火墙和边界防火墙。其中分布式防火墙又可以划分为网络防火墙、主机防火墙；按防火墙实现手段可以划分为软件防火墙、硬件防火墙及软硬结合防火墙。

1.2 防火墙工作原理

一般来说，防火墙主要用来监控内网与外网之间的数据信息。防火墙技术对确保计算机网络安全起到了很重要的作用，在网络数据交流中，只有得到授权数据才能进行流通。防火墙主要由内网与外网之间的部件组合而成，在安装有防火墙的计算机网络中，内网和外网之间的网络数据信息通信必须经过防火墙监控，并且只有符合安全防护策略的数据信息才能经过防火墙，完成于内部计算机的信息通信。通常，防火墙具有十分顽强的防御能力和抗入侵能力，一般讲一个安全性能良好的防火墙通常具有下列性质：一是内网与外网之间的所有数据信息必须经过防火墙；二是只有符合受保护网络的安全防护策略并得到授权的数据通信才能够可以经过防火墙；三是防火墙对经过防火墙的所有数据信息、行为活动以及网络入侵行

为进行监控、记录和报警，进一步的提高了防火墙防御各种恶意攻击的能力。

1.3 防火墙功能

（1）保护内部网络。防火墙能够增强计算机网络安全性，使得内部网络处于风险较小的环境中。对于内网中必要的服务例如nis 或nfs，防火墙通过采用公用的方式进行使用，有效地减轻了内网管理系统负担。（2）监控访问内网系统行为。防火墙具有监控外部网络访问内部网络行为的能力。排除邮件服务或信息服务等少数特殊情况，防火墙通过过滤掉不需要的外部访问，能够有效的阻止外网对内网的访问，起到保护内网安全的作用。（3）防止内网信息外泄。防火墙完成了内部网络的合理划分，实现了内网内部重点网络的隔离，从而限制了内网中不同网络之间的访问，确保了内网重要数据的安全。（4）监控网络数据访问行为。由于内网与外网之间的所有数据访问行为都要经过防火墙，因此防火墙能够记录访问行为日志，提供网络使用情况统计数据。当察觉疑似入侵行为时，防火墙做出报警，从而实现了对网络访问行为的有效监控。（5）网络地址转换。在全部ip地址中，一些特殊的ip地址被指定为“专用地址”，比如ip地址为192.168.0.0，其被指定为局域网专用的网段ip地址，这些ip地址应用于企业网络内部，但是在互联网中毫无意义。由于这些“专用地址”无法通过互联网路由，使得内部设备得到了一定程度的防入侵保护。当这些内部设备需要访问互联网时，网络地址转换（nat）可以将“专用地址”转换成互联网地址。

防火墙技术起到了完成网络地址转换的功能，其隐藏了服务器的真ip地址，有效地防止恶意攻击对服务器或内网的主机的攻击。

2 防火墙技术策略及未来发展趋势

2.1 防火墙技术策略

由于防火墙具有多种类型，因此不同的防火墙采用了不同的防火墙技术，常见的防火墙技术策略主要有以下几种：

（1）屏蔽路由技术。目前最为简单和流行的防火墙技术是屏蔽路由器。屏蔽路由器主要工作在网络层（有的包括传输层），其主要利用包过滤技术或虚电路技术。其中，包过滤技术通过检查ip 网络包，获得ip头信息，并根据这些信息，做出禁止或允许动作指令。比照相关的信息过滤规则，包过滤技术限制与内部网络进行通信的数据流，只有得到授权的数据信息才能通过，并且阻止没有获得授权的数据信息通过。采用包过滤技术的防火墙主要工作在网络层和逻辑链路层之间，其通过截取所有ip网络包获取过滤所需的有关信息，并与访问监控规则进行匹配和比较，然后执行有关的动作指令。

（2）基于代理防火墙技术。基于代理防火墙技术一般配置为“双宿主网关”，其主要包括两个网络接口卡，并且同时连接内网和外网。网关的特殊安装位置使得其能够与两个网络通信，并且是安装数据交换软件（这种软件被称为“代理”）的最佳位置。代理服务规定外网与内网不直接进行通信，而是通过代理服务器进行数据交换。代理服务完成用户和服务器之间的所有数据流交换，并且能够

审计追踪所有的数据流。目前，多数专家普遍认为基于代理防火墙更加安全，这是由于代理软件能够根据内部网络中主机的性能制定相应的监控策略，从而达到防御已知攻击的目的。

（3）动态防火墙技术。动态防火墙技术是相对静态包过滤技术提出的一种全新的防火墙技术。动态防火墙技术能够动态的创建相关规则，且能够很好的适应不断变化的计算机网络业务服务。动态防火墙对所有经过防火墙的数据流进行分析，获取相关的通讯及状态信息，并根据这些信息区分每次连接，并在此基础上创建动态连接表。与此同时，动态防火墙还要完成后续通讯检查工作，并应及时更新这些信息。当一次连接结束后，动态防火墙及时的将相应信息从连接表中进行删除。

2.2 防火墙技术的未来发展趋势

计算机网络安全不是绝对的而是相对的，防火墙技术不断发展和升级的同时，恶意攻击等行为也在不断升级，因此，维护计算机网络安全工作是永无止境的。随着计算机网络的快速发展，网络安全性需求也在不断提高，这也对防火墙技术提出了更高要求。未来防火墙技术发展趋势为：（1）防火墙将重点研发对网络攻击行为的监控和报警。（2）疑似入侵行为活动日志分析工具将发展为防火墙中重要的组成部分。（3）不断提高过滤深度，并开发病毒扫除功能。（4）安全协议开发将是防火墙技术研发的一大热点。

4 结束语

随着计算机网络的快速发展，防火墙技术也在不断升级，随着ip