陈惠娟

（新会广播电视台，广东 新会 529100）

1 防火墙的概念及功能

防火墙是网络安全的首道门户和重要屏障，它实现了内部网络与外部网络之间，内部不同网络区域之间的安全隔离与访问控制，保证了网络系统及网络服务的安全性、稳定性与可靠性。防火墙可以根据不同的安全策略，对数据包进行检查，从而控制进出防火墙的信息流，防止已知的或不可预测的入侵行为。防火墙主要有以下的功能：

1.1 数据包过滤

网络上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络，并与预先设定的访问控制规则进行比较，进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网络的访问，但由于不能检测数据包的具体内容，所以不能识别具有非法内容的数据包，无法实施对应用层协议的安全处理。

1.2 防止信息外泄

防火墙通过对内外网络、内部不同区域网络进行划分，实现了各网络及网段的隔离，限制各网络之间的互访，从而保障了网络内部敏感数据的安全，避免内部信息的外泄。

1.3 网络ⅠP地址转换

网络ⅠP地址转换是一种将私有ⅠP地址转化为公网ⅠP地址的技术，它被广泛应用于各种类型的网络和互联网的接人中。网络ⅠP地址转换一方面可隐藏内部网络的真实ⅠP地址，使内部网络免受黑客的直接攻击，另一方面由于内部网络使用了私有ⅠP地址，从而有效解决了公网ⅠP地址不足的问题。

1.4 虚拟专用网络

虚拟专用网络将分布在不同地域上的局域网或计算机通过加密通信，虚拟出专用的传输通道，从而将它们从逻辑上连成一个整体，不仅省去了建设专用通信线路的费用，还有效地保证了网络通信的安全。

1.5 日志记录与事件通知

进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

2 防火墙的分类

根据防火墙的不同工作原理，可以分为包过滤防火墙、应用网关防火墙和状态监测防火墙三类：

2.1 包过滤防火墙

包过滤防火墙把接收到的每个数据包同预先设定的包过滤规则进行比较，决定对数据包进行阻止或放行。包过滤防火墙一般都安装在路由器上，工作在OSⅠ网络参考模型的网络层和传输层，过滤的规则是根据数据包头的地址、端口号和协议类型等标志确定是否允许通过。因为与应用层无关，包过滤防火墙具有非常好的传输性以及扩展能力，它的处理速度是最快的。但是因为无法判定应用层的信息，所以可能会被黑客用欺骗技术攻破，同时由于其过滤规则的不完善，所以也存在一定的漏洞，安全性比较低。

2.2 状态监测防火墙

状态监测防火墙把网络中的不同连接阶段表现为状态，状态的改变表现为连接数据包不同标志位参数的不同。在建立连接时，状态监测防火墙检查预先设定的安全规则，符合规则的连接允许通过，并记录相关信息，动态生成状态表。状态监测防火墙的内部放置了分布探测器，这些探测器安置在各种应用服务器和相关网络节点上，不仅能防范外网的入侵也能制止内部的隐患，具有双重防范作用。状态监测防火墙比包过滤防火墙更为安全，但由于多了记录、检测和分析这些步骤，可能会导致网络整体性能的下降。

2.3 应用网关防火墙

应用网关防火墙工作在OSⅠ网络参考模型的最高层，即应用层。它允许设置比包过滤防火墙更严格的安全策略，通过对每个应用层的数据包进行检查，从而有效提高了网络的安全性。它的特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现检测和控制应用层通信流的作用。应用网关防火墙对硬件的要求较高，灵活性较低。

3 防火墙的局限性

防火墙还是存在一定的局限性，不能完全保证网络中计算机的绝对安全。比如防火墙防外不防内，不能防止来自网络内部的攻击；防火墙不能防止规则配置不当或错误配置引起的安全威胁，只有对其规定好的配置规则进行工作，对于实时的攻击或异常的行为不能做出及时的反应；防火墙不能阻止被病毒感染的软件或文件的传输，不能预防来自应用层的攻击；防火墙也无法阻挡利用标准网络协议中的缺陷所发出的攻击，一旦防火墙放行了某些标准网络协议，网络就有可能被黑客利用该协议中的缺陷进行攻击。

4 防火墙的发展趋势

随着网络应用的不断发展，防火墙愈发成为网络的重要安全保障，未来防火墙具有如下的发展趋势：

4.1 智能技术的利用。传统防火墙的安全策略是静态的，静态防火墙只能识别一些已知的攻击行为，对于未知的攻击则显得力不从心。根据网络上的动态威胁，自动学习，自动生成安全策略并自动配置的智能防火墙会成为未来的发展趋势之一。

4.2 分布式技术的利用。分布式技术是发展的趋势，多台物理防火墙协同工作，组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙，不仅保证了大型网络安全策略的一致，而且便于集中管理，大大降低了投入的资金、人力及管理成本。

4.3 成为网络安全管理平台的一个组件。随着网络安全管理平台的发展，未来所有的网络安全设备将由安全管理平台统一调度和管理，防火墙需要向安全管理平台提供接口，成为多个安全系统协同工作的网络安全管理平台中的重要一员。

4.4 向模块化演进。防火墙的设计与开发离不开用户的需求，根据用户需求和网络威胁动态配置的模块化防火墙，可以实现更好的扩展性，而且在维护和升级等方面也更加方便，因此防火墙的模块化发展是未来的重要发展趋势之一。

4.5 深入应用防护。随着网络安全技术的发展，网络层和操作系统的漏洞将越来越少，但应用层的安全问题却越来越突出，将来防火墙会把更多的注意力放在深度应用防护上，支持更多的应用层协议，不断挖掘防护的深度和广度。

4.6 自身性能和安全性的提升。随着算法、芯片和硬件技术的发展，防火墙的检测速度、响应速度和性能也会不断提升，其自身的安全性也会得到有效的提高，从而为网络提供更高效、稳定的安全保障。

结语

防火墙技术是非常重要的一种网络安全技术，它简单实用，透明度高，可被用于消除网络通信过程中遇到的各种安全威胁，对提高网络的安全性以及保密性具有非常重要的作用。随着网络技术的发展，防火墙已从单纯拦截黑客的恶意攻击，逐步走向全面的网络安全管理，防火墙将会成为未来网络安全技术中不可缺少的一部分。

[1]朱衡.网络安全技术的应用与分析[J].电脑编程技巧与维护，2009（08）.

[2]韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯.2010(1).

[3]陈家迁.防火墙技术在网络安全中的应用研究[J].计算机光盘软件与应用.2011(23).