導語：防火墻在網(wǎng)絡(luò)安全訪問控制的運用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：簡要介紹了防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用，列舉了防火墻在網(wǎng)絡(luò)安全訪問中應(yīng)用的幾種模式，并分析了未來防火墻技術(shù)的發(fā)展趨勢，旨在加強公眾對防火墻技術(shù)的了解和認識，以便于維護網(wǎng)絡(luò)的安全使用。

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用探究

當前，隨著社會的進步和科學的發(fā)展，以互聯(lián)網(wǎng)為代表的先進技術(shù)逐漸深入人們的工作和生活，并帶來了巨大的便利。而互聯(lián)網(wǎng)技術(shù)作為一把“雙刃劍”，其網(wǎng)絡(luò)安全問題也時刻威脅著人們的生產(chǎn)生活，盡管其影響力大、破壞性強，但在入侵過程中卻往往難以被人察覺。從本質(zhì)來說，網(wǎng)絡(luò)安全能夠通過訪問控制和通信安全兩種服務(wù)來保障自身安全，而防火墻是網(wǎng)絡(luò)入口的首要防線，這種服務(wù)要達到最佳效果，需要防火墻技術(shù)與加密技術(shù)聯(lián)合防護。實踐證明，防火墻技術(shù)的網(wǎng)絡(luò)防御效果顯著，并且能夠廣泛用于各個領(lǐng)域，有效保障網(wǎng)絡(luò)安全。隨著科學的發(fā)展，防火墻技術(shù)也會不斷進步與發(fā)展，實時保障用戶的網(wǎng)絡(luò)安全。

1概述

1．1基本概念

所謂防火墻，就其概念而言來源于建筑學，意指防止火災(zāi)從建筑物燃燒至另一建筑物的阻礙物，而網(wǎng)絡(luò)上防火墻意指防止網(wǎng)絡(luò)入侵的阻擋技術(shù)。有些工程師將防火墻定義為：計算機系統(tǒng)中所有通信無論是由內(nèi)部到外部或是外部到內(nèi)部都必須經(jīng)過的，并且只有內(nèi)部訪問權(quán)的通信方允許通過的技術(shù)。實質(zhì)上，防火墻即為一種隔離控制技術(shù)，以增強系統(tǒng)內(nèi)部網(wǎng)絡(luò)的可靠性，保障用戶安全為目的。

1．2基本功能

作為保障用戶網(wǎng)絡(luò)安全的重要技術(shù)，防火墻主要有以下基本功能：（1）防止用戶內(nèi)部信息的泄露。使用防火墻技術(shù)能夠?qū)⒂嬎銠C內(nèi)部網(wǎng)絡(luò)進行劃分，隔離重點網(wǎng)，以防出現(xiàn)局部網(wǎng)不安全造成全局網(wǎng)不安全的現(xiàn)象。此外，防火墻技術(shù)通過對進入系統(tǒng)的用戶身份進行嚴格驗證，對網(wǎng)絡(luò)進行相應(yīng)技術(shù)加密，能夠有效防止入侵者竊取用戶數(shù)據(jù)信息。（2）增強網(wǎng)絡(luò)安全策略。防火墻能夠利用其執(zhí)行站點的安全模式把保障系統(tǒng)安全的相應(yīng)指令、加密等軟件與防火墻連接在一起，與傳統(tǒng)防護模式中各個系統(tǒng)主機共同處理網(wǎng)絡(luò)安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網(wǎng)絡(luò)安全。主要表現(xiàn)在防火墻可以阻止不安全的進程，減小入侵風險，保障網(wǎng)絡(luò)安全。此外，防火墻還能拒絕部分來自路由的攻擊，并報告給網(wǎng)絡(luò)管理員，以盡可能減少對其他用戶造成麻煩的情況。（4）網(wǎng)絡(luò)存取及訪問監(jiān)控審計。防火墻能有效記錄網(wǎng)絡(luò)活動并對可疑動作提供報警功能。為管理員提供誰在訪問網(wǎng)絡(luò)、在網(wǎng)絡(luò)上做什么等信息，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。

2防火墻的分類

2.1電路級網(wǎng)關(guān)防火墻

電路級網(wǎng)關(guān)防火墻是目前較為常見的一種防火墻，其本質(zhì)是一個用于監(jiān)控客戶機或服務(wù)器的通用服務(wù)器，它主要通過作用于OSI互聯(lián)網(wǎng)模型中的會話層或者TCP協(xié)議的TCP層來實現(xiàn)其功用。這種防火墻技術(shù)雖然也可應(yīng)用于多個協(xié)議，但缺陷在于對同一協(xié)議棧運行的不同應(yīng)用無法及時識別，因此此類防火墻也就不用設(shè)置相應(yīng)模塊來應(yīng)對不同的應(yīng)用。在實際工作中，電路級網(wǎng)關(guān)防火墻的服務(wù)器會對客戶端進行部分修改，當客戶端發(fā)送相應(yīng)的請求，服務(wù)器便對請求進行接收，并客戶端完成網(wǎng)絡(luò)的連接工作?？梢钥闯?，此類防火墻能夠?qū)⒕W(wǎng)絡(luò)信息進行隱藏，保障信息安全。

2.2應(yīng)用級網(wǎng)關(guān)防火墻

應(yīng)用級網(wǎng)關(guān)防火墻是一種應(yīng)用服務(wù)器，主要在內(nèi)、外部網(wǎng)絡(luò)在進行網(wǎng)絡(luò)交換申請服務(wù)時起連接的功能，其工作方式如下：（1）驗證用戶是否符合進入條件，如若驗證成功，則將用戶請求發(fā)送到內(nèi)部網(wǎng)絡(luò)的主機，此時也會對用戶進行的操作進行實時監(jiān)測；若發(fā)現(xiàn)危險或疑似危險則阻斷訪問。（2）當用戶是由內(nèi)部網(wǎng)絡(luò)申請連接外部網(wǎng)絡(luò)時，防火墻工作模式會先對內(nèi)部網(wǎng)絡(luò)發(fā)送的請求進行接收和檢查，若合乎要求，防火墻將請求發(fā)送至外部網(wǎng)絡(luò)。由此看出，這兩種工作的工作方式恰好相反。應(yīng)用級網(wǎng)關(guān)防火墻的優(yōu)勢在于方便配置、工作環(huán)境良好，它在內(nèi)外網(wǎng)主機之間起連接作用，而不允許其直接連接，能夠有效保障使用過程中的安全性。此外，這種服務(wù)器還能夠?qū)τ脩舻牟僮饔涗浀酶釉敱M。

2.3靜態(tài)包過濾防火墻

靜態(tài)包過濾防火墻作用于網(wǎng)格層，對進出內(nèi)部網(wǎng)絡(luò)的信息進行全面分析，再根據(jù)相應(yīng)安全策略對信息過濾，其篩選Internet防火墻路由器內(nèi)部網(wǎng)…堡壘主機原則是以所監(jiān)測到的數(shù)據(jù)包的初始信息為基礎(chǔ)，允許授權(quán)信息進出，限制危險信息進出。當前，路由器被廣泛用于網(wǎng)絡(luò)的信息傳輸，連接在內(nèi)、外部網(wǎng)路之間，因此是影響網(wǎng)絡(luò)安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產(chǎn)生作用的技術(shù)，因此從某種意義上說靜態(tài)包過濾防火墻也是一種包過濾路由器。靜態(tài)包過濾防火墻的優(yōu)勢在于簡單實用，運行速度快，且透明性較高。這種防火墻技術(shù)的工作運用同應(yīng)用層沒有關(guān)系，這就意味著不用對用戶主機的應(yīng)用程序進行修改，配置和使用都顯得較為方便。它的缺點在于這種防火墻需要對TCL、IP等相應(yīng)協(xié)議有較深的認識；另外這種防火墻技術(shù)不能夠?qū)τ脩舻牟僮鬟M行鑒別。

2.4狀態(tài)監(jiān)測型防火墻

狀態(tài)監(jiān)測型防火墻的作用機制在于使用了在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎來實現(xiàn)其作用和功能。這種防火墻工作在網(wǎng)絡(luò)層與鏈路層之間，可以對網(wǎng)絡(luò)通信進行跟蹤監(jiān)測，并對相關(guān)狀態(tài)信息進行提?。淮送?，狀態(tài)型監(jiān)測防火墻還能對動態(tài)鏈接表中的狀態(tài)和信息進行儲存，并及時更新，通過信息積累不斷為下面的通信檢查提供數(shù)據(jù)支撐。狀態(tài)監(jiān)測型防火墻的另一大優(yōu)勢在于可以為類似NFS的基于端口動態(tài)分配協(xié)議的應(yīng)用提供技術(shù)支持和類似DNS的無連接的協(xié)議提供應(yīng)用支撐，相對而言，型網(wǎng)關(guān)防護墻和靜態(tài)包過濾型防火墻則不能支持以上應(yīng)用。綜上所述，狀態(tài)型防火墻能夠有效減少端口開放時間，并提供相應(yīng)服務(wù)支撐。它的缺點在于會默許內(nèi)部主機與外部網(wǎng)絡(luò)不通過第三方直接連接，對部分網(wǎng)絡(luò)安全隱患難以起到防護作用；此外，狀態(tài)監(jiān)測型防火墻不能夠?qū)τ脩舨僮鬟M行鑒別。

3防火墻在網(wǎng)絡(luò)安全訪問控制中的應(yīng)用

3.1雙宿主主機模式

雙宿主主機模式是通過主機的使用來實現(xiàn)的，這臺主機擁有用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個接口。防火墻將雙宿主網(wǎng)關(guān)置于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，以阻斷IP層之間的數(shù)據(jù)傳輸。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的主機不能夠直接進行通信，它們都只能與網(wǎng)關(guān)進行通信，而內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信需要利用應(yīng)用層的數(shù)據(jù)共享或服務(wù)達成。

3.2屏蔽主機模式

屏蔽主機防火墻主要由堡壘主機和過濾路由器兩部分組成，其中堡壘主機位于內(nèi)部網(wǎng)絡(luò)，過濾器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。堡壘主機作為連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的唯一通道，使得外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)都只能連接到堡壘主機，當內(nèi)部網(wǎng)絡(luò)有通信需求時，必須先到堡壘主機，堡壘主機再進行判斷，并決定是否允許連接到外部網(wǎng)絡(luò)。因此，入侵者要想實現(xiàn)對用戶電腦的入侵，必須首先將主機攻克，方能到達內(nèi)部網(wǎng)絡(luò)，主機結(jié)構(gòu)如圖1所示。

3．3屏蔽子網(wǎng)模式

屏蔽子網(wǎng)包括堡壘主機以及兩個包過濾器等部分，其內(nèi)、外部網(wǎng)絡(luò)主機間設(shè)置具有隔離功能的子網(wǎng)，以形成隔離區(qū)，設(shè)置屏蔽子網(wǎng)的作用在于防止MAIL、Web服務(wù)器等公共服務(wù)直接通過內(nèi)外部網(wǎng)絡(luò)。通常情況下，內(nèi)、外部網(wǎng)絡(luò)都能夠訪問屏蔽子網(wǎng)，而不允許穿過子網(wǎng)進行通信，這種配置使得當堡壘主機被攻克時，內(nèi)部網(wǎng)絡(luò)仍然可以受到來自包過濾路由器的保護。這種屏蔽子網(wǎng)防火墻的最大好處在于為計算機多提供一層防護，因為必須攻克兩個路由器和一個網(wǎng)關(guān)才能成功入侵。

4防火墻未來發(fā)展趨勢與展望

防火墻技術(shù)作為保障網(wǎng)絡(luò)安全的重要舉措之一，未來必將得到發(fā)展和更新。筆者認為未來的防火墻技術(shù)將朝著多元化、智能化、高速化方向發(fā)展，可全面保障用戶信息、應(yīng)用程序與操作過程的安全，且會具有如下新的優(yōu)點：（1）高速性?，F(xiàn)階段，防火墻的運行速度不夠快的問題突出，而隨著科學技術(shù)的發(fā)展，防火墻將會更多與芯片技術(shù)相融合，利用芯片提升計算的速度和精度，最終成為以芯片技術(shù)為主的全硬件型網(wǎng)關(guān)，大幅度提升網(wǎng)絡(luò)安全。（2）智能化?，F(xiàn)階段，網(wǎng)絡(luò)安全威脅主要包括病毒傳播、網(wǎng)絡(luò)攻擊、內(nèi)容控制，其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果，因此未來的防火墻技術(shù)一定是朝智能化方向發(fā)展的。（3）多元化。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，多種網(wǎng)絡(luò)模式已被運用，未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案，為不同網(wǎng)絡(luò)設(shè)置不同技術(shù)的防火墻，為用戶提供多元化的保障。

5結(jié)語

隨著人們對網(wǎng)絡(luò)技術(shù)的運用越來越多，依賴性越來越強，人們對網(wǎng)絡(luò)安全也越加重視。實踐表明，防火墻在保障網(wǎng)絡(luò)安全方面成效顯著。為應(yīng)對復雜的網(wǎng)絡(luò)安全威脅，防火墻技術(shù)需要不斷地更新和發(fā)展，在保障網(wǎng)絡(luò)安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網(wǎng)絡(luò)安全，采用先進技術(shù)，才能形成全方位的防御體系，保護人們的信息資源。

作者:張林 單位:中國航空動力機械研究所

參考文獻

[1]劉洪.網(wǎng)絡(luò)安全與防火墻技術(shù)的研究[D].沈陽工業(yè)大學,2003.

[2]宋開旭,曹慶旭.淺析網(wǎng)絡(luò)防火墻技術(shù)[J].黔東南民族職業(yè)技術(shù)學院學報(綜合版)，2006,02:26-29.