◆刘敏龙

(浙江工业大学 浙江 310000)

防火墙网络安全技术探析

◆刘敏龙

(浙江工业大学 浙江 310000)

本文从防火墙网络安全技术的相关概述入手，着重分析了防火墙网络安全技术的改进技术，并探索了防火墙关键技术及防火墙技术的发展趋势。

防火墙；网络安全；技术

0 引言

随着互联网的发展，人们的生活和工作对网络的依赖程度越来越高。网络安全问题不仅会导致信息泄露，而且会严重影响财产安全，计算机网络安全问题已经成为人们使用网络的首要问题。防火墙技术是解决网络安全问题最为简单有效的方案。但是，防火墙是不变的，而网络安全问题是时刻变化发展的，只有不断发展防火墙网络安全技术，使之与互联网的发展相适应才能够真正解决网络安全问题，同时对互联网的发展和应用有着深刻意义。

1 防火墙网络安全技术的相关概述

1.1 防火墙的基本概念

防火墙本来指用于防止火灾蔓延的建筑物的隔断墙，在计算机网络环境下，防火墙被引申为保护网络安全的防护墙。防火墙主要包括分离器、分析器和限制器。通常情况下，防火墙是主机、软件和路由器的多种组合。但是，从本质上来说，防火墙属于计算机网络保护装置，用于保护网络和用户资源。而从技术方面来说，防火墙技术属于一种访问控制技术，主要在不安全网络和机构网络之间设置障碍，组织非法信息访问网络，进而保护网络的安全性。

1.2 防火墙网络安全技术的工作原理及特征

首先，从防火墙网络安全技术的工作原理来说，其工作原理使防火墙按照预先规定的规则和配置对通过防火墙的数据进行监控，并对没有授权的数据进行限制。并且，防火墙会记录相关信息的联接来源、闯入者企图以及服务器的通信量，以便于网络管理人员的跟踪共和监测；其次，从防火墙的特性来说，所有计算机网络信息都必须通过防火墙。并且，只有被计算机网络允许的、受到网络保护的信息才能够通过防火墙。另外，防火墙会记录所通过的信息和活动，并对网络供给进行告警和检测。

1.3 防火墙网络安全技术的主要功能

首先，防火墙网络安全技术具有认证功能，能够对信息身份进行认证，以保证数据发送者的可靠性和真实性；其次，防火墙网络安全技术具有完整性功能，能够对未授权修改的信息进行探测和标记，保证信息的完整性；其三，防火墙网络安全技术具有访问控制功能，能够控制访问者，并决定是否允许访问者进入，以避免恶意攻击和不允许访问的访问者进入网络系统；其四，防火墙技术具有审计功能，能够连续记录系统的重要事件，并将所记录的信息提供给网络系统的管理人员；最后，防火墙技术具有访问执行功能，之后信息完整性检测和信息认证都通过之后，信息才会通过防火墙进入网络内部。

1.4 防火墙网络安全技术的优点与不足

首先，防火墙网络安全技术的优点。第一，防火墙网络安全技术能够强化安全策略，保证符合规则和经过许可的信息通过防火墙，而避免不被允许的信息通过防火墙。第二，防火墙网络安全技术能够记录网上活动，加强网络管理人员对网络访问和网络操作的了解。第三，防火墙网络安全技术能够实现网段控制，隔开某个网段，限制网段中的安全问题在整个网络系统中的传播。第四，防火墙本身是一个安全检查点，能够将所有有疑问的访问数据截止在防火墙之外；其次，防火墙的缺点。第一，防火墙无法方案恶意知情者，恶意知情者能够通在内部网络中进行恶意攻击。第二，防火墙不能防备全部的发完了威胁，有些科技水平较高的恶意攻击行为可以通过防火墙。第三，防火墙不能防范网络病毒，导致病毒侵袭严重。

2 防火墙网络安全技术的改进技术分析

2.1 安全数据结构防火墙

基于安全数据的防火墙主要指在安全数据结构上建立防火墙的技术。安全数据本身作为一种逻辑结构，为网络系统提供了安全模式。并且，安全数据网络结构具有一定的规则，系统在完成网络安全数据功能的时候必须遵循安全数据的相关规则，进而保证网络系统的安全性。具体来说，在网络运行之前，基于安全数据的防火墙的各个模块要进行初始化设置和数字签名，以便于之后的信息完整性检测。然后，防火墙各模块之间要进行双向认证和自身完整性检测，避免模块被修改。另外，安全数据防火墙模块内存要随时进行安全检测，以保证防火墙信息没有被修改。

2.2 流量调节防火墙

网络安全技术中的流量调节防火墙技术主要指对数据包进行排队，并对特定数据包赋予优先级别，进而较快特定数据包的传输。而在数据包传输的过程中，流量调节能够区分安全业务量的界别和类型，并对安全业务进行处理，进而解决网络拥塞问题。流量调节防火墙需要设置流量调节模块，并匹配流量调节策略，按照匹配规则选择优先级数据包进行传输。

2.3 Agent防火墙技术

Agent的执行过程主要包括事件接收、系统反应和事件发出这三个过程。Agent防火墙技术需要对系统内部各个部件的Agent进行设计，并规范各部件Agent之间的通信。并且，如果要对计算机防火墙增加系统或更改构造需要改变或增删Agent之间的互联模型，允许计算机指令分布到不同网络节点上，增强了防火墙结构的灵活性。

2.4 嵌入式防火墙

嵌入式防火墙技术主要针对内部网络安全问题。嵌入式防火墙技术集成了一解决各种安全问题的应用，为网络用户提供了安全、分布式、可管理的网络环境。并且，嵌入式防火墙采用公钥协议，增强了防火墙认证的透明度。而嵌入式防火墙主要包括可客户认证代理、认证服务器、票据服务器和防火墙代理这四个部件，能够有效防治外部网络和内部网络的攻击。

3 防火墙关键技术

防火墙关键技术主要包括数据包传送技术、包过滤技术、代理技术和地址翻译技术。其中，数据包传送技术主要负责向网络中传送数据包。而数据保中包含着 IP地质、目标端口、内部协议等。数据包在传输的过程中会通过不同的传输路径到达目的地，并且，在数据包到达目的地之后会被重新包装成原来的样子。目前，数据包传送技术已经十分成熟，被广泛运用到防火墙软件中。包过滤技术主要利用路由监视器度网络中的数据包进行监控，并拒绝发送和接收可疑的数据包，保证网络数据安全。代理技术主要依靠代理服务设备。而代理服务设备能够像防火墙一样输入封包并封锁其他的数据包，进而产生类似防火墙的安全防范效果。地址翻译技术主要指将数据包头的数据 IP地址转转换为其他的IP地址，使用共有IP地址来代替私有IP地址，节省可用IP地址空间。

4 防火墙技术的发展趋势

首先，过滤包技术的发展趋势。一些防火墙的生产商家将用户服务和用户认证拓展到防火墙上，使防火墙具备支持用户安全的策略的功能。在这种情况下，用户身份验证需要采用级网关技术。而包过滤技术的防火墙不具有用户验证功能。但是，包过滤防火墙可以采用多级过来技术，并采用信息鉴别的手段，通过多级过滤，排除假冒地质和不安全信息；其次，防火墙体系结构的发展趋势。随着计算机技术的发展，防火墙体系结构朝着安全、多功能和高速方向发展，运用网络处理器、FPGA、ASIC等提高防火墙的信息辨别速度。并且，随着芯片技术和算法的发展，防火墙技术会参与应用层的分析，进而为应用安全提供保障。

[1]宋柳松，吴少华，周安民.木马穿透个人防火墙技术研究[J].信息安全与通信保密，2007.

[2]鲁剑，杨树堂，倪佑生.基于白名单的深度包检测防火墙的改进方法[J].信息安全与通信保密，2005.

[3]黄志军，赵皑，徐红贤.网络安全与防火墙技术[J].海军工程大学学报，2002.