導語：防火墻技術在網絡安全的運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0前言

所謂網絡安全，實質上也就是網絡上的信息安全。網絡安全所涉及的領域是非常廣泛的，但是在當前許多的公用通信網絡中，都存在著各種各樣的安全漏洞和威脅，隨著網絡技術的不斷發展，各種各樣的網絡安全技術也相應的出現了，比如說身份驗證、訪問授權、加密解密技術、防火墻技術等等，雖然出現了許許多多的新的網絡安全技術，但是在眾多的網絡安全技術中，防火墻技術的應用仍然最為廣泛。防火墻實質上是一個系統，該系統位于兩個網絡之間，并且負責執行控制策略，通過防火墻，可以使得內部網絡與Internet或者其它的外部網絡相互隔離，從而有效的保護內部網絡的安全。通過防火墻，主要可以實現對于不安全服務和非法用戶的過濾，同時還能夠有效的控制對站點的訪問，時刻監視Internet安全，一旦出現安全風險，防火墻還可以起到及時預警的作用。

1防火墻技術概述

所謂的防火墻，指的是設置在兩個或者多個不同網絡或者網絡安全域之間信息的唯一出入口，所有的網絡信息要想進入內部網絡，必須要通過這一個出入口，因此防火墻成為了一個提供信息安全服務和實現網絡和信息安全的基礎設施，同時防火墻技術也成為了目前人們公認的最有效的網絡安全保護手段。防火墻可以對訪問權限進行有效的控制，從而實現對涉及用戶的操作進行審查和過濾，從而有效的降低計算機網絡安全風險。

1.1計算機防火墻技術

防火墻技術之所以能夠實現對計算機網絡的保護，主要就是因為防火墻可以將內部網絡與互聯網進行分離，正是因為防火墻有著很強的隔離性，所以才使得防火墻技術在計算機網絡安全領域中被廣泛的加以運用。一般在對防火墻進行使用的過程中，所依靠的都是包的外源地址和數據包協議，通過它們來對防火墻進行設置，從而實現有效的隔離。除此之外，防火墻的實現還可以通過服務器的軟件，但是這種方式在實際應用中較為少見。在防火墻技術出現之初，它的功能僅僅局限于對主機的限制和對網絡訪問控制加以規范，但經過多年的發展，防火墻的功能也進一步的得到了完善，當前，防火墻已經可以完成解密和加密等功能，除此之外，還能夠實現對文件的壓縮和解壓，從而使得計算機網絡安全得到了有效的保證。

1.2防火墻的主要功能

隨著網絡技術的不斷發展，防火墻的功能已經變得十分豐富，其功能主要有以下幾個方面：第一，防火墻可以對本機的數據進行有效的篩選和過濾，通過對信息的篩選和過濾，可以有效的避免非法信息以及各種網絡病毒的攻擊和入侵，從而保證計算機信息的安全；第二，防火墻還可以對網絡中一些特殊的站點進行較為嚴格的規范，因為在這些站點中往往存在著可以對計算機網絡安全進行破壞的一些病毒文件，所以通過對這些站點的規范，可以有效避免人們因為無意操作而給計算機網絡帶來的風險；第三，防火墻還能夠較為徹底的對一些不安全訪問進行攔截，外部人員如果想進入內部網絡，必須先要經過防火墻的審查，只有審查合格，防火墻才會允許進入，但是在防火墻的審查過程中，是有著非常多的環節的，如果任何一個環節的審查出現了問題，該訪問將會被防火墻過濾，從而有效的減少了網絡安全問題的出現；第四，防火墻還可以對網絡運行中所產生的各種信息數據加以保護，如果防火墻發現了網絡中出現有威脅網絡安全的非法活動，防火墻將于第一時間發出警報，并且采取相應的措施來對其進行處理，有效的避免網絡安全風險。

2防火墻的常用技術及其在網絡安全中的應用

2.1數據包過濾技術及其應用

數據包過濾技術主要分為組過濾和包過濾兩種，數據包過濾技術是一種較為通用的防火墻技術，并且它也較為廉價和有效。數據包過濾技術主要是在計算機網絡的網絡層和傳輸層發揮作用。它可以通過對分組包的源、宿地址、端口號機協議類型和標志確定是否允許其通過。而該技術所依據的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優點就在于其對于用戶來說是完全透明的，處理速度也非常的快，而且十分易于維護，因此在使用的過程中較為方便，通常包過濾都是被作為網絡安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的，所以我們也就不能夠看到入侵者的攻擊記錄，而且隨著計算機技術的不斷發展，攻破一個單純的包過濾式防火墻對于現代的黑客來說也較為簡單。當前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻，所以為了進一步的提升網絡的安全性，現在已經將包過濾技術作為網絡安全的第一道防線，而進一步發展起來了技術。

2.2服務技術及其應用

服務技術是在數據包過濾技術之后發展起來的，但現在服務技術已經成為了防火墻技術中使用頻率較高的一種技術，而且服務技術也擁有非常高的安全性能。服務軟件往往是運行在一臺主機上的，通過在這一臺主機上的運行來構成服務器，并且負責對客戶的請求進行截獲，然后再依據它的安全規則來決定該請求是否可以得到允許。如果得到了服務器的允許，該請求才能夠被進一步的傳遞給真正的防火墻。一般而言，服務器是外部可以見到的唯一的防火墻實體，所以說服務器對于內部用戶而言是完全透明的。除此之外，服務器還可以對協議特定的訪問規則進行應用，從而來執行基于用戶身份和報文分組內容的訪問控制。這種防火墻技術可以對網絡信息的交換進行完全的控制，并且還可以記錄整個會話的過程，有著很高的靈活性和安全性。但是服務技術也有著自身的缺陷，那就是有可能會對網絡的性能造成一定的影響，而且對于每一個服務器都要進行一次模塊的設計，并且建立起相應的網關層，所以其實現往往較為復雜。

2.3狀態監測技術及其應用

狀態檢測技術是一種在網絡層來實現防火墻功能的技術，狀態監測技術所使用的是在網關上執行安全策略的軟件模塊，這個模塊被稱為監測引擎。監測引擎不同于服務器，不會對網絡的正常運行造成任何影響。并且監測引擎還可以采用抽取有關數據的方法來對網絡通信的各層進行檢測，抽取相應的狀態信息，然后動態的加以保存并將其作為以后執行安全策略的一個參考。除此之外，監測引擎還可以支持多種協議及應用程序，還可以有效的實現應用和服務的擴充。相比于之前的兩種防火墻技術而言，狀態監測技術可以更好地對用戶的訪問請求進行處理，因為狀態監視器會抽取有關數據來進行分析，然后再通過對網絡配置和相應的安全規定的結合，來做出相應的接納、拒絕、身份認證、報警或者給該通信加密等一系列的處理動作。

作者:李慧清 單位:內蒙古化工職業學院

引用：

[1]趙俊.淺談計算機防火墻技術與網絡安全[J].成都航空職業技術學院學報：綜合版，2012.

[2]胡勁松.防火墻技術與網絡安全探討[J].湖北第二師范學院學報，2013.

[3]陳家遷.防火墻技術在網絡安全中的應用研究[J].計算機光盤軟件與應用，2011.