防火墙技术应用的新发展

开篇：润墨网以专业的文秘视角，为您筛选了一篇防火墙技术应用的新发展范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【摘 要】互联网已广泛运用到教育、科研、军事、商业、文化等各个领域，连接着世界上亿万人口。随着计算机网络爆炸式的发展，因特网给人们的生活带来了极大地方便，同时也面临着各种威胁。如何使用有效的方法将网络存在的威胁降低到人们可接受的范围内受到了各界的广泛关注。防火墙的漏洞扫描、入侵检测等进行网络风险防范成为安全首要关注问题，也很有必要。

【关键词】网络安全；功能类型；配置

The New Development of the Application of Firewall technology

JIN Fei ZHANG Xiao-jin LUO Di-wen

（Jiaxing Vocational and Technical College，The information technology branch，Jiaxing Zhejiang，314026，China ）

【Abstract】Today the Internet has been widely applied to various fields of education， scientific research， military， commercial， cultural，With the development of computer network， the Internet to people's lives brought great convenience， while also facing various threats. How to use effective methods to reduce the threat of the network has been widely concerned by people. Firewall vulnerability scanning， intrusion detection and other network risk prevention become the main concern of security， it is necessary.

【Key words】Network security； Function type；Configuration

网络安全是当今各国发展所面临重要问题。据有关数据统计，全球每年因网络安全所造成的经济损失高达数百亿美元。在我们国家，每年因为黑客的有意入侵、计算机各种病毒的破坏而造成的经济损失同样巨大。如何建立比较安全的网络体系，是当今社会一直所关注的问题。

1 研究背景

防火墙（FireWall），它是目前最为广泛使用的网络安全防护设备。从专业角度讲，防火墙是位于两个或多个相对可信与不可信网络之间的访问和控制集合。防火墙的本意是指用石器所堆砌的墙作为阻挡物，是用来防止木质结构物在着火时的火势蔓延影响相邻物体的安全保障。后被人们称之为“防火墙”，其实防火墙就相当于阻挡威胁侵犯的一个“门”。有了这扇门，建起了各房间的“人”的沟通通道，检测着进出这些门的“人”的流量，同时也给进出门的“人”给予不同的待遇。这个门就相当于防火墙里设置中的“安全策略”，所以“防火墙”并不是完全的隔离，而是带有细丝网过滤的墙。而细丝网就是用来设置哪些信息可以通信，哪些信息被阻止，哪些资源可以有条件的访问，哪些资源不能访问等。其目的就是保护两个相对网络间可信网资源不被来自不可信网的攻击。

我们如今所说的网络防火墙是借鉴如上“防火墙”的喻义，设在两个信用级别不同的网络之间的一道安全防御系统。使内部的局域网（LAN）之间或LAN网络与Internet之间互相隔离、限制互访，从而实现不同网络间的安全通信。

2 防火墙概述

2.1 防火墙的定义

防火墙（Firewall）是可信网络（一般为局域网）和不可信网络（如：Internet）之间的一道安全栅栏，是指设置在两个网络之间的一套组件（既可以是一组硬件，也可以是一组软件，还可以是软、硬件的组合），并用来检测和控制两个不同网络之间的通信，允许通过合法的信息，阻止通过非法信息，以达到对交互流动信息的合法性检测和访问控制，保护信息网络的安全。

2.2 防火墙的功能

防火墙会对经过它的网络数据进行检测，对经过的数据流进行有目的地过滤，有效避免非法操作在目标计算机或网络中被执行。比如：防火墙可以关闭不使用的端口，来禁止特定端口的信息流过；可以禁止来自黑名单站点的访问，从而防止来自不明入侵者的所有通信。

（1）网络安全的屏障

防火墙通过其内部的过滤技术，能极大地提高一个局域网内部的安全性，过滤掉一些不安全的服务和操作命令，从而大大降低整个局域网运行的风险。因为只有防火墙安全策略中允许的协议、该协议数据包才能顺利地通过防火墙，让局域网内部的网络运行环境更安全可靠。同时，防火墙可以保护网络免受基于路由的入侵，保护网内服务器免受拒绝服务的攻击等，并通知系统管理员引起警惕。

2.2.2 强化安全策略

通过以防火墙为中心的安全策略的配置，能集口令、加密身份认证、日志记录和审计等功能与一体，配置在防火墙上，简化了安全管理，与网络安全问题分散在局域网内部各个节点上相比，集中安全管理更方便、有效和经济。

2.2.3 监控审计

如果所有资源的访问都经过防火墙，那么，防火墙就能逐一记录下这些访问并形成日志记录，同时也能监测到网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并向网络管理员提供网络是否受到监测和入侵的详细信息。

2.2.4 防止内部信息的泄露

通过利用防火墙对局域网内部的屏蔽，可实现局域网内部网段的隔离，防止网内重点或敏感信息受外部网络窥探而造成隐密信息外泄。另外，隐私是局域网内非常关心的问题，一个内部网络中不引人注意的细节可能被外部入侵者的利用并由此而暴露了内部网络的某些安全漏洞，防火墙通过地址转换、端口映射等隐蔽了那些可能透露内部细节的服务。

2.3 防火墙的类型

防火墙的实现方式多种多样，根据防火墙所采用的技术，防火墙主要分为数据包过滤、应用、复合型等几种。

2.3.1 包过滤型防火墙

包过滤型防火墙处于TCP/IP 协议的 IP 层，它是根据防火墙所定义好的访问规则，过滤审查每个数据包，并且对数据包与访问规则逐条匹配，从而决定数据包的转发或丢弃。访问规则设定作用范围由小到大，检查时按照从上到下的顺序进行，随着逐条检查深入，直到与访问规则匹配为止。如果没有可以匹配的规则，则按缺省的规则执行。防火墙的缺省规则应该是禁止一切数据包通过。包过滤型防火墙只能实现基于IP地址和端口号的过滤功能。

2.3.2 应用型防火墙

应用型防火墙是局域网与外部网的隔离点，起着监视和隔绝应用层数据流的作用。服务是运行在防火墙主机上的专门的应用程序，这些程序接受局域网内部用户对外部网络的服务请求并将它们转发出去。服务是按照应用层上的安全策略控制对外的服务请求数据包，确定是允许转发还是拒绝操作的服务系统。

2.3.3 混合型防火墙

混合型防火墙是把过滤和服务等功能统统结合起来形成新的防火墙，所用主机被称为“堡垒主机”，负责服务。当前的防火墙产品已不是单一的包过滤或服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以应对复杂的网络应用扩展，提高防火墙的灵活性和安全性。

2.4 防火墙的优缺点

2.4.1 防火墙的优点：

可以强化网络的安全策略，保护易受攻击的信息服务。防火墙中执行的网络安全策略，能够有效的过滤那些不安全的服务，拒绝可疑的访问，大大降低非法攻击的风险，提高网络安全系数。

控制对特殊站点的访问。通过端口映射，将邮件服务、WWW 服务和 FTP 服务等端口映射到公网地址，实现内部有限资源被外部网络访问，保护网内其他主机和信息资源。

实现网段控制。防火墙能够用来隔离网络中的网段，可以有效的避免一个网段中的问题扩散到整个网络。

2.4.2 防火墙的缺点

防火墙不能防范内部攻击。防火墙可以很好地防止外部用户获得内网敏感数据，但是它没法防止局域网内部用户偷窃数据、拷贝数据、破坏硬件和软件等行为。

防火墙访问过当控制。防火墙很可能由于安全策略设置过严或设置不当而阻止了一些合理的访问服务。

不能防范已感染病毒的文件。防火墙不能有效地防范网络中的所有病毒。

防火墙不是解决所有网络安全问题的万能药，而只是网络安全防护策略的一个组成部分。

3 防火墙VPN技术

3.1 虚拟专用网VPN（Virtual Private Network）

虚拟专用网是借用公共网络（Internet），通过加密机制形成一个安全、稳定的隧道，建立一个临时的、安全的连接，它是对企业内部网（Intranet）的扩展如图1。

3.2 VPN的优点及功能：

3.2.1 VPN的优点

成本较低：借用公网线路，节省专线成本。

网络结构灵活：易于实施和扩展。

管理方便：网络设备较少。

VPN是一种特殊的、虚拟的“点对点”（end to end）连接，它使用“隧道”（Tunnel）技术，使通信数据包在公共的Internet网络上专门开辟的“隧道”内传输。

3.2.2 VPN的功能

（1）加密数据：保证通过公网传输的信息不泄漏。

（2）信息认证和身份认证：保证信息的完整性、合法性。对不同的用户授有不同的访问权限。

3.2.3 VPN的应用

VPN主要通过一个IPSEC 协议族，构建应用于IP层上网络数据安全的一整套体系结构，包括以下主要协议：

（1）AH（Authentication Header）：为IP通信提供数据源认证、数据完整性保证，保护通信数据免受篡改，但是明文传输，适合用于传输非机密数据。

（2）ESP（Encapsulating Security Payload）：为IP数据包提供完整性检查、认证和加密，可提供机密性和防篡改性。

（3）IKE（Internet Key Exchange）：负责协商安全关联和建立隧道如图所示2。

IPSec有两种工作模式：

（1）隧道模式（Tunnel）

可以对网络层数据包头部和数据进行加密认证，协议数据包通过隧道传输。

（2）传输模式（Transport）

可以对网络层数据进行加密认证，即协议为应用层数据提供基本保护。

3.3 VPN的适用范围

（1）特别适用于移动办公的用户。

（2）适用距离范围相对比较远，站点分散较广的用户。

（3）对线路保密性和可用性有一定要求，带宽和时延要求相对不高。

4 总结

网络安全正面临着前所未有的挑战。已扩展到网络空间安全的国家战略层面，网络安全防护是一个过程，只有起点，没有终点。防火墙是保护局域网、防范黑客攻击最常用的手段之一，目前也正在与最前沿的其他安全技术有效结合，以更有效地防范各种新的攻击手段。

【参考文献】

[1]王艳.浅析计算机安全[J].电脑知识与技术，2010，（s）：1054-1055.

[2]谢希仁.计算机网络（第5版）[M].北京：电子工业出版社，2009：170-231

[3]张红旗，王鲁，等，编.信息安全技术[M].高等教育出版社，2010：235-254.

[4]张华贵，王海燕. 计算机网络在安全分析与对策[J].电脑知识与技术，2005，7 ：46-52.