房锟

摘 要：在当前社会不断发展的过程中，网络安全已成为人们关心的主要问题。阐述了防火墙技术在计算机网络中的安全防御作用，对不同类型的防火墙技术的工作原理、特点及缺点进行了分析，并提出了一种防火墙体系结构设计方案，能够较好地实现对网络的安全保护，以期为日后的相关工作提供参考，提高计算机网络环境的安全性。

关键词：计算机；网络安全；防火墙；安全设计

中图分类号：TP393.08 文献标识码：A DOI：10.15913/j.cnki.kjycx.2016.21.135

随着计算机网络技术的飞速发展，在计算机网络的应用中，各种不稳定因素日趋增多，网络安全的重要性日益凸显，计算机网络安全问题越来越受到社会各界的关注。面对计算机网络中存在的问题，采取相关措施保障计算机网络的安全具有关键的意义。其中，网络防火墙技术是连接内部网络与外部网络的第一道安全屏障，是最重要的“守护者”，能够有效保证计算机网络的安全、可靠。因此，研究防火墙的设计将为计算机网络的安全增加砝码。

1 防火墙在计算机网络安全中的应用

防火墙指的是一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障，用以保护内部网络免受外部非法用户的侵入，有效地控制内外网之间的网络数据流量。在网络安全防御系统中，防火墙是一个十分重要的组成部分，也是网络层防御的重要防线之一。

2 计算机网络安全中防火墙技术的分类

为了达到安全防御的目的，必须使内部网络和外部网络之间的所有数据流都经过防火墙；并且只有符合防火墙规则设置的数据流才能通过防火墙；防火墙本身要有非常强的抗攻击能力和自我免疫能力。这是多年来防火墙发展和更新的结晶。根据防火墙技术的分类，以下介绍几种常用的防火墙技术类型。

2.1 数据包过滤型

数据包过滤型防火墙技术是在对数据包读取的过程中，通过其相关信息判定这些数据的可信度及安全性，以此作为结果判断依据实施数据处理。一旦数据包没有得到防火墙的信息，那么也就无法进入到计算机操作系统之中。相对来讲，这种防火墙技术具有较高的实用性，通常在网路环境中均能够有效地为计算机网络安全提供保护，同时也能够在实际应用中对其推广应用。但是，因为这一技术是依照基本信息对其安全性实施判定，因此也就不能有效地过滤一些应用程序和邮件病毒。另外，如果一些数据伪造IP地址，也能够成功骗过防火墙数据包过滤，之后进入网络系统实施攻击和破坏，那么也就会对计算机网路安全产生严重影响。

2.2 代理型

这一类型的防火墙技术也就是代理服务器，其能够回应输入封包，阻断内部网和外部网之间的信息交流。代理型防火墙技术是在客户和服务器之间，因此对于客户机来讲，技术本身也就被认为是一台服务机器，不仅能够加强外部网络篡改内部网络阻力，同时就算是误用计算机内部系统，也不会出现从防火墙之外入侵计算机，而致计算机出现安全漏洞，能够显著提升计算机网络的安全性。目前，这一技术已经在逐渐向应用层面发展，专门针对入侵计算机应用层病毒实施相应的防护。但是，这一技术也有缺点，会提高计算机网络安全防护成本，并且对计算机管理人员专业水平和综合素质的要求较高。这会进一步增加网络管理压力。

2.3 监测型

这一防火墙技术能够主动完成网络通信数据监测任务，从而提高计算机网络安全性。起初，计算机防火墙的设计理念是过滤对计算机网络安全造成影响的信息和数据，那么这就首先需要成功应用监测型防火墙技术。这一技术在相关信息监测工作中有着十分重要的优势条件，可以显著提升计算机安全保障

能力。但是，这一技术的管理和成本投入比较高，因此到目前为止，这一技术也没有得到普及和应用。在实际网络环境下，可以依照实际情况选择合适的监测技术，从而降低在计算机网络安全基础上的投入成本。

3 一种计算机网络的防火墙安全设计

为了确定防火墙设计策略，进而构建实现策略的防火墙，应从最安全的防火墙设计策略开始。

3.1 开发环境

计算机操作系统：Windows XP Professional

运行环境：Java语言运行环境JDK1.7

程序编辑：UltraEdit-32

3.2 设计思路

采用代理的防火墙替代之前用户和互联网之间的连接。代理服务器作为服务器的中转站，其设计一定要满足以下要求：①确保可以及时接收客户端发送的请求，并解释；②能够成功创建与服务器的连接；③能够在接收相应服务器发来的信号之后再将其成功发送，并传输到客户端。依照这些要求，服务器的工作模型设计则如图1所示。

3.3 防火墙安全控制程序的配置

在防火墙安全设计中，主要是合理配置防火墙安全控制程序，在其内部网络中有效连接PC2、Edge和Core，之后应用超级终端软件合理配置相关设备。其具体步骤为：①在PC2计算机中配置网络地址。相关设计为IP地址设置为10.10.10.15，子网掩码为255.255.255.0。②合理配置交换机2626B，并将其分成多个局域网。这一步骤只需要对Vlan1分配，其中，相关设计为IP地址设置为10.1.1.3/24，终端上的命令则分别是2626B（Vlan-1）#Vlan110tagged？25，2626B（Vlan-1）#ipaddress 10.1.1.3/24及2626B（config）#Vlan1。

3.4 双防火墙的设计

双防火墙方案的设计如图2所示。为了显著降低公共服务器的安全风险，在计算机网络防火墙设计中可以设计2个防火墙——第一个防火墙可以在Internet连接处设计，从而为服务器提供保护，确保计算机网络的安全运行；第二个防火墙可以设计在公共服务器和内部网络之间，其主要目的是对内部网络实施保护。在计算机网络安全防护中应用这种保护技术，同时在其之间设计DMZ网络，可以显著提高计算机网络的安全性。

4 计算机网络安全的防火墙体系结构

4.1 屏蔽路由器

屏蔽路由器是一种防侵扰安全结构，能够有效避免内部网络受到外部网络及参数网络侵扰。因为它是实现内部网络和外部网络的唯一通道，所以也就能够有效地对相关数据实施过滤。但是，由于是在IP层安装报文过滤软件的，这一软件本身也就有报文过滤设置选项，所以也就能够过滤一些简单的报文。但是，如果其被成功攻陷，就会出现用户识别问题。

4.2 双穴主机网关

双穴主机网关是采用一台堡垒主机作为防火墙，并且要在这台主机上安装两块网卡，这样就能够发挥防火墙的作用。堡垒主机系统软件不仅能够维护系统日志，同时也能够实施硬件拷贝日志和远程日志功能。这一功能为计算机网络检查和管理工作提供了便利。其缺点是在计算机受到攻击时，其攻击对象则很难被网管员确认。一旦堡垒主机受到攻击，那么之前的双穴主机网关也就退化成为最简单的路由器。

4.3 被屏蔽主机网关

在堡垒主机中只设置了1个网卡，以此连接内部网络和被屏蔽主机网关。在路由器上将过滤规则设立出来，同时单宿堡垒主机也要被设置成为唯一一个能够访问Internet的主机，以此控制未授权外部用户攻击内部网络。如果其保护的是一个虚拟扩展的本地网，并没有设置子网及路由器，那么堡垒主机及屏蔽路由器的配置也就不会受到内部网络变化的影响。有效限制堡垒主机及屏蔽路由器中的危险带。网关基本控制作用实现的决定因素是安装在其上的软件。如果网络安全的攻击者设法登录上去，那么也就会对内部网络其余主机的安全造成严重威胁。这一情况与双穴主机网关受到攻击的影响差不多。

5 结束语

总之，在网络技术不断发展的背景之下，防火墙安全问题研究具有巨大的社会价值和经济价值。我们要积极探索和完善计算机网络防火墙技术设计，实现计算机网络防火墙的规范化、标准化和现代化管理，切实提高计算机安全性。本研究提出的防火墙技术设计具有较高的安全性，并且操作也非常容易，具有较高的实用价值，所以在实际应用中可广泛推广。确保计算机网络信息安全是一项复杂的系统工程，相关的安全措施有很多，仅靠其中的某一项或几项是很难解决好网络安全问题的。因此，在具体工作中，还需要根据网络的实际情况制订细致而全面的多级安全防范措施，尽可能提高网络系统的安全性和可靠性，为社会发展提供基础保证。

参考文献

[1]包丽丽.关于计算机网络防火墙的安全设计与应用分析[J].科技与创新，2016（13）.

[2]袁玉珠.计算机网络防火墙的安全设计与应用研究[J].数字通信世界，2016（6）.

[3]闫伍岳.防火墙技术在计算机网络信息安全中的应用研究[J].计算机光盘软件与应用，2013（3）.

〔编辑：刘晓芳〕