曾柯

绵阳中学实验学校2014级21班



关于防火墙技术在计算机安全构建中的应用研究

曾柯

绵阳中学实验学校2014级21班

近些年，计算机越来越普及，其应用价值不断提升，在现代社会发展进程中发挥了举足轻重的作用。然而，频频发生的计算机安全问题严重制约了计算机的发展与应用价值的发挥。本文简要阐述了防火墙的概念、分类及其在计算机安全构建中的应用，并在此基础上探讨了如何部署防火墙，以期为相关领域的研究提供理论参考。

防火墙技术 计算机安全 构建策略

1　防火墙概述

1.1防火墙定义

防火墙是计算机安全体系中十分重要的防护设备之一，其可将外界网络与本地网络隔离开来，可在一定安全策略下检查两个及两个以上的网络之间所传输的连接方式和数据包，进而可依据网络之间数据传输安全性的判定结果来决定一些通信是否允许进行传输。经过防火墙同意的信息和数据将会进入乙方网络，未经防火墙同意的信息和数据则会被拒之门外。受防火墙保护的网络称之为私有网络或内部网络。合格的防火墙应具备以下五个方面的特点：其一是防火墙自身不会受到各类病毒、木马程序的影响；其二是防火墙便于用户管理；其三是外部网络传送数据至内部网络时需通过防火墙；其四是只有合法的授权数据才能通过防火墙；其五是防火墙技术对高新科技的运用。

1.2防火墙的分类

目前，防火墙的类型主要有代理服务型防火墙、包过滤防火墙与复合型防火墙。

1.2.1代理服务型防火墙

代理服务型防火墙主要由客户程序段、服务器端程序等构成，其中间节点与客户端程序及外部服务器均处于相连状态，内外网之间的直接连接并不存在。代理服务型防火墙可向用户提供审计、日记等服务功能。

1.2.2包过滤防火墙

包过滤防火墙通常安置于路由器中，其在筛选目标地址、IP源地址时需以IP信息包为基础，在数据过滤中可确保计算机安全。包过滤防火墙具有简单易行、灵活有效等优势，但同时也存在有难以有效防控“假冒IP”、防御作用仅能在网络层与传输层实现、无法防御网络内部攻击威胁等缺陷。

1.2.3复合型防火墙

作为新一代防火墙技术，复合型防火墙集和了智能IP识别技术，高效分组识别应用、协议等目的可得到实现，对应用的访问控制也可得到进一步强化。智能IP识别技术的运用不仅摒弃了传统复合型防火墙技术，还创新性地采用了特有快速搜索算法、零拷贝流分析等新技术。复合型防火墙在计算机安全构建中的运用有助于实现内容过滤、病毒防御的整合，更可对隐蔽的网络信息安全实现有效防控。

2　防火墙技术在计算机安全构建中的应用

2.1防火墙技术的作用

2.1.1为计算机网络安全提供屏障

防火墙的应用对计算机内部网络安全性的提升及计算机与网络所面临风险的降低有着重要作用。只有经过严格选择的应用协议才能被防火墙允许通过，这一特性保障了计算机的网络环境安全。此外，防火墙在网络连接状态下可有效避免网络受到基于路由的各类攻击，且其在发现攻击或拒绝攻击等状况下均会及时通知防火墙的管理员。

2.1.2强化网络安全策略

防火墙技术还可配置一些加密、口令、身份验证等安全应用，以防火墙为主、集中安全管理的配置方案可得到实现。较之其他将安全问题分散在各个主机上的网络安全策略相比，防火墙技术更加坚固与经济。

2.1.3对网络访问与存取进行审计监控

防火墙往往会以日志记录的形式记录下防火墙的数据，同时还可将网络使用的统计数据提供给用户。一旦有危险性的数据通过防火墙，防火墙可发出警报并向管理员提供网络是否受到了攻击和检测的详细情况，这对分析计算机和网络所面临的威胁具有十分重要的参考价值。此外，防火墙还可通过划分内部网络实现内部网络中的重点网段隔离，网络攻击对整个网络所造成的影响可大大降低。

2.2防火墙的部署措施

针对各类网络攻击与威胁，防火墙可及时作出防御与相应，攻击行为可被隔绝在计算机网，计算机所面临的风险随之可得到降低。因此，防火墙需放置在不可信任与可信任网络之间，其是计算机与不可信任网络连接的唯一纽带。科学合理地部署防火墙可有效实现对内部网络安全性的保护。

2.2.1防火墙的选用

除前文所述三种防火墙类型外，目前还出现了一种状态监测型防火墙，其安全性能显著高于代理服务型防火墙与包过滤性防火墙，但其耗费成本较高，管理也具有较大难度，因而只有对安全性要求特别高的单位或个人才会使用监测型防火墙。在选用防火墙时，我们需从用户需求、安全技术成本及系统成本等因素加以综合考虑。

2.2.2防火墙的部署

为了有效阻止外部网络的入侵，技术人员首先需在外部网络与内部网络接口处进行防火墙安装；有些单位具有较大的内部网络规模，且具有VLAN（虚拟局域网），此时需在每个虚拟局域网之间设置防火墙；通过公网进行连接的各个分支机构与总部之间也需设置防火墙。

2.2.3防火墙的部署原则

在部署防火墙时需坚持无论是外部网络还是内部网络的连接处，只要具有出现恶意入侵与攻击的可能性就应进行防火墙安装的原则。负责整个内部网络中数据转发以及与DMZ区域内的关键应用连接的核心路由器或核心交换机属于网络的重要核心区域。作为网络风险最为集中的区域，DMZ区域是网络安全维护中最为关键的区域，因而在设置防火墙过程中既需保证对访问的审核与安全性，还需保证DMZ区内关键应用的友好性与可用性。换言之，在部署防火墙时，我们不仅需重视网络的边界，还需重视诸如DMZ的关键区域。关键区域的防火墙面对内部网络用户，保护重要资源与服务的访问控制、完善安全日志的收集是在关键区域部署防火墙的根本目的。对于边界防火墙，其不仅需提供出战控制、NAT服务的授权，同时还需防御诸如入侵、渗透等在内的外来威胁。在部署防火墙时，技术人员需将各类防御职能分派给两种防火墙，分派依据为防火墙所提供的应用以及网络的结构，前文所提及的DMZ区域是内部防火墙的保护重点，提供监测与警告是其主要作用。

3　结束语

防火墙技术可为计算机网络安全提供保障，可强化网络安全策略，同时还可对网络访问与存取进行审计监控，因而其部署在计算机安全构建中十分有必要。技术人员在部署防火墙技术时，不仅需考虑不同防火墙类型的性能，还需考虑部署的成本与经济效益。

［1］ 杭同喜.浅谈计算机网络安全及防火墙技术［J］.电脑知识与技术，2016，16：54-55

［2］ 张雯，李婧.防火墙技术及其在校园网络安全中的应用［J］.科技展望，2016，24：4

［3］ 马利，梁红杰.计算机网络安全中的防火墙技术应用研究［J］.电脑知识与技术，2014，16：3743-3745