防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用摘要：介紹了防火墻的概念、作用和功能。在防火墻工作原理的基礎(chǔ)上綜述了在網(wǎng)絡(luò)安全中的防火墻技術(shù)。關(guān)鍵詞：防火墻；工作原理；網(wǎng)絡(luò)安全1防火墻的概念防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第1頁(yè)。防火墻是指隔離在本地網(wǎng)絡(luò)與外地網(wǎng)絡(luò)之間的一道防御系統(tǒng)，防火墻是這一類防范措施的總稱。如果一個(gè)網(wǎng)絡(luò)與因特網(wǎng)相連，那么在這個(gè)網(wǎng)絡(luò)之內(nèi)的用戶就可以訪問(wèn)外部世界并與之通信。但同時(shí)，外部世界也可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和因特網(wǎng)之間插入一個(gè)中介系統(tǒng)，豎起一個(gè)安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡。它的作用與古時(shí)候的防火磚墻有類似之處，因此我們把這個(gè)屏障就叫做”防火墻”。防火墻的主要目的是防止外部網(wǎng)絡(luò)的未授權(quán)訪問(wèn)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，可按照用戶事先規(guī)定的方案控制信息的流入和流出，且本身具有較強(qiáng)的抗攻擊能力，可以監(jiān)督和控制使用者的操作。使用戶可以安全使用網(wǎng)絡(luò)，并避免受到黑客的襲擊，此外還提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全。它是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的由軟件或硬件設(shè)備組合而成的裝置，限制因特網(wǎng)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)以及管理內(nèi)部用戶訪問(wèn)外部的權(quán)限。換言之，防火墻在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)與一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)之間提供一個(gè)封鎖工具。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第1頁(yè)。2防火墻的作用和功能隨著安全性問(wèn)題上的失誤和缺陷越來(lái)越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段，也有可能來(lái)自配置上的低級(jí)錯(cuò)誤或者是不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，從而迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。一般的防火墻都可以達(dá)到以下目的：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶；②防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施；③限制人們?cè)L問(wèn)特殊站點(diǎn)；④為監(jiān)視Internet安全提供方便。由于防火墻是一種被動(dòng)技術(shù)，因此對(duì)內(nèi)部的非法訪問(wèn)難以有效控制，防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)。由于防火墻是網(wǎng)絡(luò)安全的一個(gè)屏障，因此一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)來(lái)降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)安全環(huán)境變得更安全。例如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻還可以同時(shí)保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第2頁(yè)。一般來(lái)講，防火墻可以實(shí)現(xiàn)以下一些安全問(wèn)題的解決：①保護(hù)脆弱的服務(wù)；②控制對(duì)系統(tǒng)的訪問(wèn)；③集中的安全管理；④增強(qiáng)的保密性；⑤記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)；⑥策略執(zhí)行。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第2頁(yè)。此外，防火墻還具有以下功能：①?gòu)?qiáng)化網(wǎng)絡(luò)安全策略；②對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)；③防止內(nèi)部信息的泄露；④過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包數(shù)據(jù)；⑤管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為；⑥封堵某些禁止的訪問(wèn)行為；⑦記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；⑧對(duì)需要保密的信息進(jìn)行授權(quán)的加密和解密；⑨對(duì)接收到的數(shù)據(jù)進(jìn)行完整性校驗(yàn)；⑩對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。3防火墻的工作原理天下的防火墻至少都會(huì)說(shuō)兩個(gè)詞：接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋，但幾乎沒(méi)有人會(huì)認(rèn)為這種原始防火墻能有多大用處。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)各式各樣。這些防火墻的形式也多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定接受還是拒絕。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第3頁(yè)。所有的防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第3頁(yè)。當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)?，F(xiàn)在我們“命令”（用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒絕了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。4計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)防火墻所涉及的技術(shù)主要有包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)。4.1包過(guò)濾技術(shù)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第4頁(yè)。這種技術(shù)的原理在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入和流出的IP包，拒絕發(fā)送可疑的包，用戶可以在路由表中設(shè)定需要屏蔽或需要保護(hù)的源/目的主機(jī)的IP地址或端口號(hào)，在外來(lái)數(shù)據(jù)包進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)之前，路由器先檢測(cè)源／宿主機(jī)地址，如地址不符，則將該包濾除。這種防火墻又稱為過(guò)濾式路由器。路由器作用在IP層，只在企業(yè)網(wǎng)絡(luò)與因特網(wǎng)采用直接IP連接的情況下才采用。而且因?yàn)樗粰z測(cè)數(shù)據(jù)包的IP地址，一旦破壞者突破此防線便可以為所欲為。所以在安全性要求較高的場(chǎng)合，通常還需要配合其他技術(shù)來(lái)加強(qiáng)安全性。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第4頁(yè)。4.2應(yīng)用網(wǎng)關(guān)技術(shù)該技術(shù)又稱為雙主機(jī)技術(shù)，采用主機(jī)取代路由器執(zhí)行控管功能，主機(jī)是內(nèi)外網(wǎng)絡(luò)連接的橋梁，是內(nèi)外聯(lián)系的唯一途徑，起著網(wǎng)關(guān)的作用，也稱為堡壘主機(jī)。在應(yīng)用網(wǎng)關(guān)上運(yùn)行應(yīng)用代理程序，一方面代替原服務(wù)器程序，與客戶程序建立連接，另一方面代替客戶程序，與原服務(wù)器建立連接，使合法用戶可以通過(guò)應(yīng)用網(wǎng)關(guān)安全地使用因特網(wǎng)，而對(duì)非法用戶不予理睬。常用的代理程序有WWWproxy,E-mailproxy等。與包過(guò)濾技術(shù)相比，應(yīng)用網(wǎng)關(guān)技術(shù)更加靈活；由于作用在用戶層，因此能執(zhí)行更細(xì)致的檢查工作。但軟件開(kāi)銷大，管理和維護(hù)比較復(fù)雜。其他常用的安全機(jī)制還有身份驗(yàn)證、訪問(wèn)控制、加密、日志、報(bào)警等。5結(jié)束語(yǔ)防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第5頁(yè)。計(jì)算機(jī)網(wǎng)絡(luò)在全球范圍內(nèi)得到了迅速發(fā)展，其應(yīng)用幾乎包括了人類生活和工作的全部領(lǐng)域，它帶給我們方便的同時(shí)也給我們制造了大量的問(wèn)題，計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，為了保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，應(yīng)混合使用多種安全防護(hù)策略，現(xiàn)代防火墻技術(shù)已從網(wǎng)絡(luò)安全的最底層逐步走向網(wǎng)絡(luò)層之外的其他安全層次，在完成傳統(tǒng)防火墻過(guò)濾技術(shù)的同時(shí)，還能為各種網(wǎng)絡(luò)提供相應(yīng)的安全服務(wù)。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用全文共6頁(yè)，當(dāng)前為第5頁(yè)。參考文獻(xiàn)：［1］劉東華，時(shí)信華.網(wǎng)絡(luò)與通信安全技術(shù)［M］.北京：人民郵電出版社，2002.［2］馬吉麗.防火墻的設(shè)立與計(jì)算機(jī)網(wǎng)絡(luò)安全［J］.黑龍江科技信息，2007（8）.［3］馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用［J］.甘肅科技，2007（4）.［4］余建斌.黑客的攻擊手段及用戶對(duì)策［M］.北京：人民郵電出版社，1998.ApplicationoftheFirewalltechnologyintheComputerNetworkSecurityAbstract:Thispaperfirstlyintroducestheconcept,effectionandfunctionofthefirewall.Nextly,tellsthestoryoffirewalltechnology