计算机网络安全及防火墙技术【试析计算机防火墙技术及其应用】

　　【 摘 要 】 随着计算机网络技术的普及，计算机网络安全变得尤为重要。计算机网络防火墙作为重要网络保护手段，其不仅能对流入、流出的网路信息进行扫描，以避免相应攻击，同时也能为用户提供相应服务，以方便用户并保证其使用安全。文章主要从计算机防火墙概念及功能、计算机防火墙分类及特点、计算机防火墙工作原理、计算机防火墙应用、计算机防火墙发展趋势等方面出发，对计算机防火墙技术及其应用进行分析。
　　【 关键词 】 计算机；防火墙技术
　　0 引言
　　随着计算机网络技术不断的发展，网络已经成为人们生活、工作、学习必不可少的一部分。网络在给人们带来安全的同时，也给人们带来了一定安全隐患。就目前来看，网络犯罪和黑客网站在不断地增多，这就使得人们对网络安全越来越重视。计算机防火墙就技术的出现，在一定程度上维护了网络安全。如何将计算机防火墙技术更好地应用到实际中，已经成为相关部门值得思索的事情。
　　1 计算机防火墙概念及功能
　　所谓的防火墙就是不同网络或网络安全域信息之间的一系列部件组合。其作为不同网络和安全域之间信息唯一出入口，也能以企业的安全政策形式对出入的信息流进行控制；防火墙本身有较强的抗攻击能力，其能更好地为企业服务；防火墙作为基础设施，不仅能为企业提供信息安全服务，同时也能为实现网络和信息安全创造条件；也可以将防火墙看作一个逻辑上的分离器、限制器或分析器，能对内部网络和Internet之间的活动进行监控，以保证内部网络安全。综上所述，可以看出防火墙是沟通Internet和内部网络唯一的桥梁。
　　2 计算机防火墙分类及特点
　　2.1 计算机防火墙分类
　　就目前来看，防火墙主要有包过滤防火墙、代理服务型防火墙、复合型防火墙、其他类型的双宿主主机过滤及加密防火墙等。
　　包过滤防火墙一般会安置在路由器上，而且大部分商用路由器都有包过滤功能，包过滤防火墙则能以IP信息包为基础对IP源地址、目标地址、封装协议类型、端口等进行相应筛选。
　　代理服务型防火墙一般是由服务器端程序和客户端程序组成的，其中客户端程序和中间节点是相连的，而中间节点又与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接地连接,同时提供日志(Log)及审计(Audit)服务。
　　复合型防火墙，能更好地将包过滤和代理服务有效地结合在一起，使其形成新的防火墙，所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
　　双宿主主机防火墙和主机过滤防火墙都是由堡垒主机提供相应代理服务的。双宿主主机防火墙一般是由堡垒主机来充当网关的，并在网关上运行防火墙软件，要想保证内网网络通信，就必须通过堡垒主机。而主机过滤防火墙则将过滤路由器和外部网连接起来，并在堡垒机上安装内部网，使堡垒机成为外部网唯一节点，以保证内部网络不受非授权用户攻击。
　　在此基础上，加密路由器也能通过路由器信息流进行相应加密和压缩，使外部网络传输将相关信息传输到目的端，可以更好地对信息进行解压缩和解密。
　　2.2 计算机防火墙特点
　　防火墙作为计算机安全框架一部分,其在设计过程中必须满足计算机安全需求，然而，其在实际应用过程中也有劣势。
　　2.2.1防火墙优势
　　在正常情况下，防火墙不仅能对计算机网络整体安全进行配置，同时也能完成安全策略，并将其控制在关键策略可以接受的范围内；也可以对某些****进行限制，防火墙是允许访问Web服务器的，而对于一些其他Telnet端口和其他域来说，则是禁止访问或是授权访问的。
　　在实际应用过程中，因防火墙功能强大，其不仅可以作为网络安全屏障，对网络安全策略进行强化，同时也可以通过网络地址转换功能以缓解地址源紧张问题，也可以为用户提供相应服务；防火墙可以对网络安全进行强化，就是以防火墙为中心的安全方案配置，其最大的优势是能将相应软件配置在防火墙上，并将相应网路安全问题分散到不同主机上进行对比分析，以实现防火墙对网络进行集中安全管理的经济性；同时其也具有网络地址转换功能，不仅能缓解IP地址址源紧张问题，也可以对ISP进行更换而需要重新编号的麻烦。
　　防火墙也可以对Internet使用状况进行登记查询并对Internet连入代价和潜在带宽瓶颈进行确认。防火墙还可以配置WWW和FTP服务，以方便相应用户对此类服务进行访问，也可以保护和禁止相关网络系统的访问；防火墙还具有审计功能，只要计算机中有足够的磁盘空间或是记录功能，其就能将经过防火墙的网络流记录在其中，一旦有危险信息出现的时候，防火墙也能将相关信息反映给防火墙管理人员，以便使管理人员能及时解决相应问题，以保证网络安全。从中可以看出，防火墙在实际应用过程中是不需要对其安全性和可用性进行权衡的，其功能也是比较专一的，应用范围也相对广泛。
　　2.2.2防火墙劣势
　　防火墙劣势是其在使用过程中，对已经授权的访问并不能采取相应保护，毕竟防火墙允许保护系统正常通信的信息是需要通过防火墙的。如果其应用程序本身就存在一定错误，防火墙不能发挥其作用以阻止其攻击，也就是说其是已经经过授权的。防火墙工作是按照配置规则进行的，一旦按照随意规则进行配置，就会使防火墙功能减弱。同时防火墙对于那些已经授权用户合法访问的攻击是不能更好发挥其作用的。此外，防火墙也不能对脆弱的管理措施进行修复，更不能阻止不经过防火墙的恶意攻击。
　　3 计算机防火墙工作原理
　　因防火墙采用的技术是有区别的，且形式多样。在对其工作原理进行分析的时候，有必要先了解防火墙形式。防火墙的形式不仅有取代系统已有装备的TCP/IP协议，也有在已有协议上建立自己的软件模块，还有完全独立的形式。但是大部分防火墙的工作方式是一致的，都是以对相应数据进行分析，来决定是否拦截相应信息的。不同防火墙在工作过程中，其IP地址都是经过过滤的。其在实际工作中都会对IP包头进行相应检查，并以IP地址和目标地址为依据，来决定通过或丢弃。然而，很多时候仅靠地址对数据进行过滤是远远不够的，毕竟目标主机上会有多种通信服务。