张 静 / 山东协和学院

计算机网络安全中的防火墙技术分析

张 静 / 山东协和学院

随着网络技术的迅猛发展, 安全性已成为网络互联技术中的关键问题。本文介绍了防火墙的定义, 较全面论述了防火墙的分类及防火墙在计算机网络安全中的应用价值, 简要分析了防火墙在计算机网络安全中的优势。

网络安全；防火墙；包过滤

引言

计算机网络安全问题主要有：信息在传输的过程中，数据被篡改和复制，以及拦截和查看，甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行，出现系统瘫痪或重要数据的泄漏，造成不可挽回的严重后果。为了构建安全可靠的网络安全环境，我国除了从法律和政策方面建立网络安全体系，还从技术方面进行完善。由于网络内部和外部环境的特殊性，因此防火墙技术是目前保护网络安全最为有效的技术。不仅能够对网络传输的数据进行检查，还能对整个网络进行监控。

1.防火墙概述

防火墙是一个软硬件结合的系统，处于专用网和公用网之间，为内部网构造一个安全屏障。其主要原理即在Intranet和Internet间建立一个安全网关，以达到保护内部网用户免受非法用户侵入的目的。

对一台联网计算机来说，所有进出的数据都必须经过一个特定的软硬件设备，这个设备就是防火墙。

对一个网络而言，所谓“防火墙”，是一套特定的方法和技术，能将内部网和外部网隔离开来。防火墙能在两个相互通信的网络之间建立一个访问控制，它能实现两个功能，一将不符合条件的用户或数据隔离在网络外部，二允许符合条件的用户或数据进入内部网。换句话说，数据通过防火墙，是内部网成员与外部通信的必要条件。

2.防火墙分类

按过滤和检测方式的不同，防火墙可分为包过滤型防火墙、状态检测型防火墙、网络地址转换型防火墙以及应用代理型防火墙。

2.1 包过滤型防火墙

包过滤型防火墙工作在 OSI 参考模型的网络层和传输层,它根据数据包头源地址, 目的地址, 端口号和协议类型等标志确定是否允许通过, 只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被阻挡丢弃。包过滤的优点是:一个过滤路由器能协助保护整个网络; 数据包过滤对用户透明;过滤路由器速度快、效率高。缺点在于只能根据数据包的来源、目标和端口等网络信息进行判断, 不能彻底防止地址欺骗; 一些应用协议不适合数据包过滤; 正常的数据包过滤路由器无法执行某些安全策略; 不能防范黑客攻击, 不支持应用层协议, 不能处理新的安全威胁。

2.2 状态检测型防火墙

状态检测型防火墙基于连接的状态检测机制, 将属于同一连接的所有包作为一个整体的数据流看待, 构成连接状态表, 通过规则表与状态表的配合, 对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息, 也可以是其他相关应用程序的信息, 因此, 与传统包过滤防火墙的静态过滤规则表相比, 它具有更好的灵活性、安全性、可伸缩性和扩展性以及应用范围广等优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞, 特别是在同时有许多种连接激活的时候, 或者是有大量的过滤网络通信的规则存在时。

2.3 网络地址转换（NAT）型防火墙

NAT 是一种用于把 IP 地址转换成临时的外部的、注册的 IP的地址标准, 用户必须要为网络中每一台机器取得注册的 IP 地址。在内部网络通过安全网卡访问外部网络时, 系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接, 这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时, 它并不知道内部网络的连接情况, 而只是通过一个开放的 IP 地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。NAT 过程对于用户来说是透明的, 不需要用户进行设置, 用户只要进行常规操作即可。

2.4 应用代理型防火墙

应用代理型防火墙是工作在 OSI 的最高层即应用层。其特点是完全"阻隔"了网络通信流, 通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。其优点是安全性较高, 可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,因而增加了系统管理的复杂性。

3.防火墙在计算机网络安全中的优势

防火墙技术与其他计算机网络安全技术相比，具有明显的优势，在安全防护中占据主要地位，提升计算机网络的防护水平。

3.1 准确识别网络攻击

计算机网络面临的安全攻击来自于不同层次，攻击种类呈现多样化的发展趋势，防火墙技术在不断变化的攻击行为中，主动识别攻击路径和方式，判断攻击行为的属性，提出有效的保护措施，防火墙技术处于更新、升级的状态，适应变化过快的攻击行为，体现准确识别的优势，保护计算机网络处于安全的环境中，优化计算机的运行，防止网络数据被恶意损坏、窃取。

3.2 高效保护网络系统

防火墙技术在计算机网络安全中具有较高的保护能力，表现出高效的保护水平。攻击者对计算机网络采取的攻击行为并不确定，防火墙迅速觉察具有危险性的攻击活动，在最短的时间内防止网络系统被攻击，一方面维持计算机网络系统的安全运行，另一方面保障计算机网络系统的整体性能，强化网络结构，体现高效率的保护能力。

4.防火墙在计算机网络安全中的应用价值

防火墙技术在计算机网络安全中确实得到广泛应用，体现防火墙技术的高效价值。针对防火墙技术的应用价值，做如下分析：

4.1 代理技术的应用价值

防火墙中的代理技术，具有一定的特殊性，其可在计算机网络运行的各项模块发挥控制作用，时刻体现强效状态。代理技术的价值体现为：该技术在内外网之间发挥中转作用，计算机网络的内网部分，只接受代理部分发出的请求，而外网请求直接被拒绝，该技术在内网、外网的分割方面，发挥主要作用，杜绝出现内外混淆的现象，所以代理技术在实现应用价值方面，同样面临技术压力。

4.2 检测技术的应用价值

检测技术以计算机网络的状态为主，属于新技术领域。检测技术的运行建立在状态机制的基础上，将外网传入的数据包作为整体，准确分析数据包的状态内容，检测技术将分析结果汇总为记录表，分为规则和状态，比对两表后识别数据状态。目前，检测技术应用于各层网络之间，获取网络连接的状态信息，拓宽计算机网络安全保护的范围，由此提高网络信息的运行效率。

4.3 协议技术的应用价值

协议技术主要是防止Dos攻击，Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态，促使计算机网络无法正常提供运行信息，此类攻击没有限制要求，基本处于无限制攻击状态。防火墙利用协议技术，在此类攻击中发挥主体保护，在协议技术参与下的防火墙技术，保护计算机的内部网络，提供各类网关服务，网关是连接服务器与信息的直接途径，待防火墙回应后，服务器才可运行。防火墙促使服务器处于高度安全的环境中，规避外网攻击，例如：当外网向内网发送请求信息时，防火墙通过SYN设置访问上限，降低服务器承担的攻击压力，同时完成数据包检测。

5.结束语

总而言之，随着计算机网络的快速发展和运用，网络为人们带来便捷的同时，也带来了一定的安全问题。由于网络安全不仅与技术和管理有联系，对网络的使用和维护等也有联系。虽然目前防火墙技术是防止网络威胁的主要手段，但是由于网络安全存在多方面，仅依靠防火墙技术是无法满足人们对网络安全的需求，因此，只有将网络安全与防火墙技术结合进行研究，才能提供更好的安全服务。

[1]孟庆威.浅析计算机网络安全技术[J].计算机光盘软件与应用,2013(6):170-171.

[2]王德山,王科超.试论计算机网络安全中的防火墙技术[J].网络安全技术与应用,2013(7):61-62.

[3]邵泽云,曹来成.网络防火墙新技术的发展与应用研究[J].信息安全与技术,2015(05):119-121.

[4]李江华.防火墙技术更新研究[J].集宁师范学院学报,2016(02):64-65.

[5]吴文臣.防火墙技术及其在网络安全中的应用[J].信息通信,2017(01):19-20.

张 静(1985－)，女，山东济宁人，硕士研究生，讲师，主要研究方向：计算机网络，网络防火墙，VPN。

2017年山东协和学院实验室开放项目(项目编号2017SYKF53)。