计算机网络防火墙技术

【摘 要】随着计算机网络技术的迅速发展,网络资源的共享变得越来越频繁,然而带来的网络安全问题也随之日益突出.本文介绍了防火墙技术的概念和功能,并对防火墙技术分类及其优缺点进行了阐述.

【关 键 词】计算机网络；防火墙技术

一、计算机网络防火墙的概念

防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋.而计算机网络防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合,是在被保护网络和外部网络之间的一道屏障.在逻辑上,计算机网络防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全.它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的.

二、防火墙的功能

（1）入侵检测功能.主要包括反端口扫描、检测拒绝服务攻击、检测缓冲区溢出攻击、检测CGI/IIS服务器入侵、检测木马及其网络蠕虫攻击等多项功能.（2）强化网络安全策略.防火墙能够实现集中安全管理,可以将所有安全软件配置在防火墙上,而不是分布在内部网络的所有主机上.（3）网络地址转换.网络地址变换是将内部网络或外部网络的IP地址转换,可分为源地址转换SourceNAT（SNAT）和目的地址转换DestinationNAT（DNAT）.SNAT用于对内部网络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网络的非授权访问或恶意攻击.并将有限的IP地址动态或静态的与内部IP地址对应起来,用来缓解地址空间的短缺问题,节省资源,降低成本.DNAT主要用于外网主机访问内网主机.（4）网络操作的审计监控.要求对使用身份标识和认证的机制,文件的创建,修改,系统管理的所有操作以及其他有关安全事件进行记录,提供有关网络使用情况的统计数据,以便系统管理员进行安全跟踪.一般防火墙设备可以提供三种日志审计功能：系统管理日志、流量日志和入侵日志.当网络受到扫描或攻击等可疑活动时,防火墙能进行报警,并提供详细信息.

三、防火墙技术的分类及其优缺点

1．滤防火墙技术.它依据系统内事先设定的过滤逻辑,通过设备对进出网络的数据流进行有选择的控制与操作.数据滤技术作为防火墙的应用有三种；第一种是路由设备在完成路由选择和数据转发的同时进行滤；第二种是在工作站上使用软件进行滤；第三种是在一种称为屏蔽路由器的路由设备上启动滤功能.目前较常用的方式是第一种.滤作用在网络层和传输层,以IP包信息为基础,对通过防火墙的IP包的源,目的地址,TCP/UDP的端口标识符及ICMP等进行检查.滤防火墙技术具有以下优缺点.优点：滤技术不用改动客户机和主机上的应用程序；单独的,放置恰当的数据滤路由器有助于整个网络；数据滤技术对用户没有特别的要求；大多数路由器都具有数据滤功能.缺点：在过滤过程中判别的只有网络层和传输层的有限信息；在许多过滤器中,过滤规则的数目是有限制的,随着规则数目的增加,设备性能会受到很大影响,导致数据滤器使用户难以使用需要的规则；当前的过滤工具并不完善,或多或少的存在一些局限性；由于缺少上下文关联信息,数据滤路由器不能有效地过滤诸如UDP,RPC,FTP一类的协议；数据滤技术对安全管理人员素质要求较高.

2．应用防火墙技术.应用级技术通过在OSI的最高层检查每一个IP包,从而实现安全策略.技术与滤技术完全不同,滤技术在网络层控制所有的信息流,而技术一直处理到应用层,在应用层实现防火墙功能.它的功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络.应用级防火墙技术具有以下优缺点：优点主要体现在以下几点：能生成各项记录；易于配置；能灵活,完全地控制进出流量,内容.通过采取一定措施,按照一定的规则,用户可以借助实现一整套的安全策略；能过滤数据内容；可以方便地与其他安全手段集成.缺点主要体现在以下几点：对用户不透明,多要求客户端做相应改动或安装客户端软件,这给用户增加了不透明度；速度比路由器慢；对于每项服务可能要求不同的服务器；除了一些为而设的服务,服务器要求对客户或过程进行限制；服务器不能保证免受所有协议弱点的限制；不能改进底层协议的安全性.