防火墙在网络安全访问控制的运用

摘要：简要介绍了防火墙技术及其在网络安全中的应用，列举了防火墙在网络安全访问中应用的几种模式，并分析了未来防火墙技术的发展趋势，旨在加强公众对防火墙技术的了解和认识，以便于维护网络的安全使用。

关键词：防火墙技术；网络安全；应用探究

当前，随着社会的进步和科学的发展，以互联网为代表的先进技术逐渐深入人们的工作和生活，并带来了巨大的便利。而互联网技术作为一把“双刃剑”，其网络安全问题也时刻威胁着人们的生产生活，尽管其影响力大、破坏性强，但在入侵过程中却往往难以被人察觉。从本质来说，网络安全能够通过访问控制和通信安全两种服务来保障自身安全，而防火墙是网络入口的首要防线，这种服务要达到最佳效果，需要防火墙技术与加密技术联合防护。实践证明，防火墙技术的网络防御效果显著，并且能够广泛用于各个领域，有效保障网络安全。随着科学的发展，防火墙技术也会不断进步与发展，实时保障用户的网络安全。

1概述

1．1基本概念

所谓防火墙，就其概念而言来源于建筑学，意指防止火灾从建筑物燃烧至另一建筑物的阻碍物，而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为：计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的，并且只有内部访问权的通信方允许通过的技术。实质上，防火墙即为一种隔离控制技术，以增强系统内部网络的可靠性，保障用户安全为目的。

1．2基本功能

作为保障用户网络安全的重要技术，防火墙主要有以下基本功能：（1）防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分，隔离重点网，以防出现局部网不安全造成全局网不安全的现象。此外，防火墙技术通过对进入系统的用户身份进行严格验证，对网络进行相应技术加密，能够有效防止入侵者窃取用户数据信息。（2）增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起，与传统防护模式中各个系统主机共同处理网络安全的解决方式相比，显然这种集中管理模式保障安全显得更为方便、高效。（3）保障网络安全。主要表现在防火墙可以阻止不安全的进程，减小入侵风险，保障网络安全。此外，防火墙还能拒绝部分来自路由的攻击，并报告给网络管理员，以尽可能减少对其他用户造成麻烦的情况。（4）网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

2防火墙的分类

2.1电路级网关防火墙

电路级网关防火墙是目前较为常见的一种防火墙，其本质是一个用于监控客户机或服务器的通用服务器，它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议，但缺陷在于对同一协议栈运行的不同应用无法及时识别，因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中，电路级网关防火墙的服务器会对客户端进行部分修改，当客户端发送相应的请求，服务器便对请求进行接收，并客户端完成网络的连接工作。可以看出，此类防火墙能够将网络信息进行隐藏，保障信息安全。

2.2应用级网关防火墙

应用级网关防火墙是一种应用服务器，主要在内、外部网络在进行网络交换申请服务时起连接的功能，其工作方式如下：（1）验证用户是否符合进入条件，如若验证成功，则将用户请求发送到内部网络的主机，此时也会对用户进行的操作进行实时监测；若发现危险或疑似危险则阻断访问。（2）当用户是由内部网络申请连接外部网络时，防火墙工作模式会先对内部网络发送的请求进行接收和检查，若合乎要求，防火墙将请求发送至外部网络。由此看出，这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好，它在内外网主机之间起连接作用，而不允许其直接连接，能够有效保障使用过程中的安全性。此外，这种服务器还能够对用户的操作记录得更加详尽。

2.3静态包过滤防火墙

静态包过滤防火墙作用于网格层，对进出内部网络的信息进行全面分析，再根据相应安全策略对信息过滤，其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础，允许授权信息进出，限制危险信息进出。当前，路由器被广泛用于网络的信息传输，连接在内、外部网路之间，因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术，因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用，运行速度快，且透明性较高。这种防火墙技术的工作运用同应用层没有关系，这就意味着不用对用户主机的应用程序进行修改，配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识；另外这种防火墙技术不能够对用户的操作进行鉴别。

2.4状态监测型防火墙

状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间，可以对网络通信进行跟踪监测，并对相关状态信息进行提取；此外，状态型监测防火墙还能对动态链接表中的状态和信息进行储存，并及时更新，通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑，相对而言，型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述，状态型防火墙能够有效减少端口开放时间，并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接，对部分网络安全隐患难以起到防护作用；此外，状态监测型防火墙不能够对用户操作进行鉴别。

3防火墙在网络安全访问控制中的应用

3.1双宿主主机模式

双宿主主机模式是通过主机的使用来实现的，这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间，以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信，它们都只能与网关进行通信，而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。

3.2屏蔽主机模式

屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成，其中堡垒主机位于内部网络，过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道，使得外部网络和内部网络都只能连接到堡垒主机，当内部网络有通信需求时，必须先到堡垒主机，堡垒主机再进行判断，并决定是否允许连接到外部网络。因此，入侵者要想实现对用户电脑的入侵，必须首先将主机攻克，方能到达内部网络，主机结构如图1所示。

3．3屏蔽子网模式

屏蔽子网包括堡垒主机以及两个包过滤器等部分，其内、外部网络主机间设置具有隔离功能的子网，以形成隔离区，设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下，内、外部网络都能够访问屏蔽子网，而不允许穿过子网进行通信，这种配置使得当堡垒主机被攻克时，内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护，因为必须攻克两个路由器和一个网关才能成功入侵。

4防火墙未来发展趋势与展望

防火墙技术作为保障网络安全的重要举措之一，未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展，可全面保障用户信息、应用程序与操作过程的安全，且会具有如下新的优点：（1）高速性。现阶段，防火墙的运行速度不够快的问题突出，而随着科学技术的发展，防火墙将会更多与芯片技术相融合，利用芯片提升计算的速度和精度，最终成为以芯片技术为主的全硬件型网关，大幅度提升网络安全。（2）智能化。现阶段，网络安全威胁主要包括病毒传播、网络攻击、内容控制，其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果，因此未来的防火墙技术一定是朝智能化方向发展的。（3）多元化。随着网络技术的不断发展，多种网络模式已被运用，未来的防火墙将会形成一种可随意伸缩的模块化解决方案，为不同网络设置不同技术的防火墙，为用户提供多元化的保障。

5结语

随着人们对网络技术的运用越来越多，依赖性越来越强，人们对网络安全也越加重视。实践表明，防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁，防火墙技术需要不断地更新和发展，在保障网络安全这条隐蔽的道路上，人们需要做的仍然很多。只有人人注重网络安全，采用先进技术，才能形成全方位的防御体系，保护人们的信息资源。

作者:张林 单位:中国航空动力机械研究所

参考文献

[1]刘洪.网络安全与防火墙技术的研究[D].沈阳工业大学,2003.

[2]宋开旭,曹庆旭.浅析网络防火墙技术[J].黔东南民族职业技术学院学报(综合版)，2006,02:26-29.