计算机防火墙的应用探讨

    刘军

    摘要：防火墙通常被作为盾牌来保护计算机的安全运行。防火墙主要用于互联网络，防止非法系统不允许的情况下可破坏或窃取访问者机器的私人信息。非法活动在网络中出现的频率越来越高，防火墙安全保护技术已经成为现代社会必不可少的信息保护措施。防火墙会存在不同的问题，随着发展阶段的不同。文章对计算机防火墙的安全技术问题进行了讨论。

    关键词：计算机防火墙；网络安全保护；互联网

    计算机的网络安全可以被定义为机密性、完整性和可用性。就保密性而言，只能访问授权信息；可用性指不减少计算机系统应用内存的情况下，仍然可以按照授权用户的要求提供服务。防火墙系统可以决定哪些计算机可以请求访问内部服务。来自计算机网络的信息必须通过防火墙，由防火墙判断是否予以通行。数据通过防火墙，必须获得授权码或者是防火墙已经授权的数据。—旦防火墙系统受到攻击或被突破，其数据是迂回的，则不能提供任何防护。

    1.计算机防火墙定义及作用

    1.1计算机防火墙的定义

    通俗来讲，防火墙主要作用就是隔离开受保护的网络与不受保护的网络，通过类似于安检点的一种单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接（反之亦然）。一些防火墙偏重于阻塞传输流量，而另一些防火墙则是允许传输流。这两种机制看起来似乎自相矛盾，但这种机制恰恰反映了防火墙的早期设计思路，也给后续防火墙的设计改良提供了方向。总的来说，防火墙可以被理解成简单的两种机制，一种机制是输电线路阻塞环流，另一个机制是允许传输流。因为防护墙最初的设计理念总是信任内部网络和不信任外部网络的，所以初始防火墙过滤的只是外部的交流信息，对于网络用户和内部网络的交流则不作要求。当前防火墙过滤机制的变化，不仅从外部网络通信连接过滤，连接请求从内部网络的用户还需要过滤数据包，防火墙保护仍然遵守安全政策需求的沟通。

    1.2防火墙的作用

    防火墙，字面意思是确保网络的安全。防火墙内部存储着大量的数据，这些数据可以提供系统反馈信息、允许程序运行、需要返回的信息。防火墙只允许那些默认允许应用程序访问，其本身也起到避免黑客对系统造成损害的作用。下面简单介绍一些防火墙的功能。

    （1）过滤风险服务和非法用户，限制外来数据访问进入内部网络；（2）防止内部用户入侵国防网络设施；（3）只允许特定用户访问特定的网络站点；（4）为网络安全监测提供了方便；（5）防火墙的位置可以用来记录计算机程序对网络的访问；（6）可以用作部署NAT网络；（7）用于网络地址的位置变换，使用NAT技术，将有限的动态或静态IP地址与内部IP地址相对应，以节省地址空间。

    2.计算机防火墙的分类和结构

    2.1计算机防火墙的分类

    当今时代网络通信取得了飞速发展，网络访问信息基础设施得以不断增加，防火墙技术也在不断发展。目前防火墙的精细分类和基础功能都已经趋于完善。其中内部网络防火墙技术按照不同的方式和预防侧重点可分为多种类型，包括过滤防火墙、应用代理防火墙和监控状态防火墙，双主机主机防火墙和主机防火墙过滤类型等等。包过滤防火墙功能应用在网络层，主要是检查每个数据包的数据流，根据数据包的源地址、目的地址和端口来判断是否允许数据包通过。

    （1）应用程序在应用程序层代理服务器，其特点是完全“切断”网络流量，每个应用程序服务编制通过特殊的代理，实现监控、过滤、记录和报告的功能流的应用程序层。

    （2）状态监视器是使用一个网关来实现网络安全战略的软件引擎，收集的数据在每一层要通过网络通信实现监控，一旦某次访问违反安全规则，安全报警系统将拒绝此次访问，录入系统警报当前网络状态。

    （3）双主机主机防火墙和主机过滤防火墙所提供的是堡垒主机相应的代理服务。双主机主机防火墙通常是通过堡垒主机作为网关，网关防火墙软件并运行，保证网络通信，必须通过堡垒主机。防火墙和主机过滤器将连接路由器和外联网，并安装堡垒内部，使堡垒机外部网只有节点，确保内部网络从未经授权的用户。

    （4）复合防火墙，将信息包过滤和代理服务有效地结合在一起，形成新的防火墙，主机名为堡垒主机，负责提供代理服务。

    2.2计算机防火墙的结构

    目前计算机常用的几种典型的防火墙系统通常采用以下结构：

    （1）包过滤网关式防火墙。内部网络和外部网络之间的信息过滤器，它有两个网络接口，分别连接内部和外部网络，内部局域网（Local Area Network，LAN）和外部互联网直接通信，并能够完成两个网卡之间的IP数据包转发常见的路由功能，包过滤的过滤函数根据本地安全策略，确定哪些是可以通过网络接口的数据包，哪些数据包将被禁止，也就是说，信息包过滤网关相当于一个静态流量监控功能的路由器。这是包过滤防火墙的基本结构，包过滤防火墙价格低廉，人气很高，使用方便，但配置不当可能会导致防火墙网关机器和攻击数据包在允许范围内的服务和系统出现故障，等等。

    （2）双孔式网关防火墙。它是一种替换式的网关防火墙过滤装置，它与包过滤式网关防火墙都是防火墙网络和内部网络之间的防护装置。同样有两个网络接口，连接到内部和外部的网络。不同的是，双孔式网关防火墙禁止IP转发功能，使内部和外部网络IP数据流完全阻塞，通过提供代理服务网关功能的实现。因为只有一个特定类型的协议可以请求代理服务处理，所以双孔式网关防火墙意识到“默认拒绝”的安全策略，具有很高的安全性。双孔式网关防火墙是一个典型的应用代理防火墙，它完全“切断”内部和外部的网络流量，达到更高层次的安全控制，这是类型应用代理防火墙的特点类型的包过滤防火墙。

    这两个防火墙有一个共同点：都是通过防火墙与主机防火墙。如果突破防火墙主机，局域网络安全防御就被攻破了o

    3.计算机防火墙技术应用

    对于软件防火墙，公司经常使用微软IsAserVer软件。防火墙市场使用反响是很好的，但通过状态包过滤和链接，会让企业遭受新的攻击。信息包过滤允许保护网络数据和应用程序和电路为其服务，如果状态滤波器动态端口需要打开，与这些端口通信的数据端口最终将被关闭，需要将链路层安全动态信息包过滤，以保证安全性和易用性。同时通过防火墻还可以了解到其主要是记录和报告活动。使用这个记录和报告不仅可以简化用户，搜索用户组，也可以简化服务器，简化网络信息搜索，其通过使用接口、向导、模板和相应的管理工具可以直接为用户提供服务。

    4.计算机防火墙的发展趋势分析

    未来阶段的计算机系统有集中管理的发展趋势，其中最常用的是分层分布式安全管理的安全体系结构，它具有以下优点：管理结构可以降低管理成本，提高网络的安全性；集中管理系统对传统电脑的反应速度要求更高。这种类型的管理系统，可以提供一个良好的日志分析功能和审计功能，可以调整安全策略，合理降低网络安全威胁。

    5.结语

    防火墙技术是网络安全的关键，在互联网的发展和内部网络中，扮演着关键的角色。防火墙技术的发展是网络安全的重要组成部分，用户可以根据内部网络需求建立自己的内部计算机网络防火墙系统，从而实现对经济的防护功能。