防火墙技术在网络安全的运用

0前言

所谓网络安全，实质上也就是网络上的信息安全。网络安全所涉及的领域是非常广泛的，但是在当前许多的公用通信网络中，都存在着各种各样的安全漏洞和威胁，随着网络技术的不断发展，各种各样的网络安全技术也相应的出现了，比如说身份验证、访问授权、加密解密技术、防火墙技术等等，虽然出现了许许多多的新的网络安全技术，但是在众多的网络安全技术中，防火墙技术的应用仍然最为广泛。防火墙实质上是一个系统，该系统位于两个网络之间，并且负责执行控制策略，通过防火墙，可以使得内部网络与Internet或者其它的外部网络相互隔离，从而有效的保护内部网络的安全。通过防火墙，主要可以实现对于不安全服务和非法用户的过滤，同时还能够有效的控制对站点的访问，时刻监视Internet安全，一旦出现安全风险，防火墙还可以起到及时预警的作用。

1防火墙技术概述

所谓的防火墙，指的是设置在两个或者多个不同网络或者网络安全域之间信息的唯一出入口，所有的网络信息要想进入内部网络，必须要通过这一个出入口，因此防火墙成为了一个提供信息安全服务和实现网络和信息安全的基础设施，同时防火墙技术也成为了目前人们公认的最有效的网络安全保护手段。防火墙可以对访问权限进行有效的控制，从而实现对涉及用户的操作进行审查和过滤，从而有效的降低计算机网络安全风险。

1.1计算机防火墙技术

防火墙技术之所以能够实现对计算机网络的保护，主要就是因为防火墙可以将内部网络与互联网进行分离，正是因为防火墙有着很强的隔离性，所以才使得防火墙技术在计算机网络安全领域中被广泛的加以运用。一般在对防火墙进行使用的过程中，所依靠的都是包的外源地址和数据包协议，通过它们来对防火墙进行设置，从而实现有效的隔离。除此之外，防火墙的实现还可以通过服务器的软件，但是这种方式在实际应用中较为少见。在防火墙技术出现之初，它的功能仅仅局限于对主机的限制和对网络访问控制加以规范，但经过多年的发展，防火墙的功能也进一步的得到了完善，当前，防火墙已经可以完成解密和加密等功能，除此之外，还能够实现对文件的压缩和解压，从而使得计算机网络安全得到了有效的保证。

1.2防火墙的主要功能

随着网络技术的不断发展，防火墙的功能已经变得十分丰富，其功能主要有以下几个方面：第一，防火墙可以对本机的数据进行有效的筛选和过滤，通过对信息的筛选和过滤，可以有效的避免非法信息以及各种网络病毒的攻击和入侵，从而保证计算机信息的安全；第二，防火墙还可以对网络中一些特殊的站点进行较为严格的规范，因为在这些站点中往往存在着可以对计算机网络安全进行破坏的一些病毒文件，所以通过对这些站点的规范，可以有效避免人们因为无意操作而给计算机网络带来的风险；第三，防火墙还能够较为彻底的对一些不安全访问进行拦截，外部人员如果想进入内部网络，必须先要经过防火墙的审查，只有审查合格，防火墙才会允许进入，但是在防火墙的审查过程中，是有着非常多的环节的，如果任何一个环节的审查出现了问题，该访问将会被防火墙过滤，从而有效的减少了网络安全问题的出现；第四，防火墙还可以对网络运行中所产生的各种信息数据加以保护，如果防火墙发现了网络中出现有威胁网络安全的非法活动，防火墙将于第一时间发出警报，并且采取相应的措施来对其进行处理，有效的避免网络安全风险。

2防火墙的常用技术及其在网络安全中的应用

2.1数据包过滤技术及其应用

数据包过滤技术主要分为组过滤和包过滤两种，数据包过滤技术是一种较为通用的防火墙技术，并且它也较为廉价和有效。数据包过滤技术主要是在计算机网络的网络层和传输层发挥作用。它可以通过对分组包的源、宿地址、端口号机协议类型和标志确定是否允许其通过。而该技术所依据的信息主要是来源于IP、TCP或者UDP包头。包过滤的主要优点就在于其对于用户来说是完全透明的，处理速度也非常的快，而且十分易于维护，因此在使用的过程中较为方便，通常包过滤都是被作为网络安全的第一道防线。但是包过滤路由器一般都是没有用户的使用记录的，所以我们也就不能够看到入侵者的攻击记录，而且随着计算机技术的不断发展，攻破一个单纯的包过滤式防火墙对于现代的黑客来说也较为简单。当前的黑客往往都采用“IP地址欺骗”的方式来攻破包过滤式防火墙，所以为了进一步的提升网络的安全性，现在已经将包过滤技术作为网络安全的第一道防线，而进一步发展起来了技术。

2.2服务技术及其应用

服务技术是在数据包过滤技术之后发展起来的，但现在服务技术已经成为了防火墙技术中使用频率较高的一种技术，而且服务技术也拥有非常高的安全性能。服务软件往往是运行在一台主机上的，通过在这一台主机上的运行来构成服务器，并且负责对客户的请求进行截获，然后再依据它的安全规则来决定该请求是否可以得到允许。如果得到了服务器的允许，该请求才能够被进一步的传递给真正的防火墙。一般而言，服务器是外部可以见到的唯一的防火墙实体，所以说服务器对于内部用户而言是完全透明的。除此之外，服务器还可以对协议特定的访问规则进行应用，从而来执行基于用户身份和报文分组内容的访问控制。这种防火墙技术可以对网络信息的交换进行完全的控制，并且还可以记录整个会话的过程，有着很高的灵活性和安全性。但是服务技术也有着自身的缺陷，那就是有可能会对网络的性能造成一定的影响，而且对于每一个服务器都要进行一次模块的设计，并且建立起相应的网关层，所以其实现往往较为复杂。

2.3状态监测技术及其应用

状态检测技术是一种在网络层来实现防火墙功能的技术，状态监测技术所使用的是在网关上执行安全策略的软件模块，这个模块被称为监测引擎。监测引擎不同于服务器，不会对网络的正常运行造成任何影响。并且监测引擎还可以采用抽取有关数据的方法来对网络通信的各层进行检测，抽取相应的状态信息，然后动态的加以保存并将其作为以后执行安全策略的一个参考。除此之外，监测引擎还可以支持多种协议及应用程序，还可以有效的实现应用和服务的扩充。相比于之前的两种防火墙技术而言，状态监测技术可以更好地对用户的访问请求进行处理，因为状态监视器会抽取有关数据来进行分析，然后再通过对网络配置和相应的安全规定的结合，来做出相应的接纳、拒绝、身份认证、报警或者给该通信加密等一系列的处理动作。

作者:李慧清 单位:内蒙古化工职业学院

引用：

[1]赵俊.浅谈计算机防火墙技术与网络安全[J].成都航空职业技术学院学报：综合版，2012.

[2]胡劲松.防火墙技术与网络安全探讨[J].湖北第二师范学院学报，2013.

[3]陈家迁.防火墙技术在网络安全中的应用研究[J].计算机光盘软件与应用，2011.