论网络安全与防火墙技术

(内蒙古电子信息职业技术学院，内蒙古 呼和浩特 010010)
摘 要：文章针对信息网络安全内涵发生的根本变化，论 述了网络防火墙安全技术的分类及其主要技术特征。
关键词：网络安全；防火墙
中图分类号：TP393.08  文献标识码：A  文章编号： 1007—6921(2009)03—0323—01
1 防火墙在网络安全中的重要性

网络中以通过很多网络工具，设备和策略来保护不可信任的网络，其中防火墙是运用非常广 泛和效果最好的选择。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用 户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特 殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来 实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙成为了与不可 信任网络进行联络的惟一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护 其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪 的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。
1.1 防火墙安全技术的功能

可以把防火墙看成是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一 台有 访问控制策略的路由器，一台多个网络接口的计算机，服务器等，被配置成保护指定网络， 使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网 络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。 
1.1.1 本文讨论的防火墙主要是部署在网络的边界(Network Perimeter)，这个概念主 要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用 网络(VPN)的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下， 我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安 全，因为远程VPN客户端的安全将直接影响到整个防御体系的安全。
1.1.2 防火墙还可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙 。防火墙 将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到 组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网 络安全，并简化了网络管理。
1.1.3 防火墙可以有效记录网络活动。由于防火墙处于内网与外网之间，即所有传输的 信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提 供监视、管理与审计网络的使用和预警功能。
1.1.4 为解决IP地址危机提供了可行方案。由于Internet的日益发展及IP地址空间有限 ，使得用户 无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓 和IP地址空间的不足。
1.2 防火墙安全技术的弊端

尽管防火墙有如此多功能，但防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火 墙对绕过它的攻击行为无能为力。防火墙无法防范病毒，不能防止感染了病毒的软件或文件 的传输，对于病毒只能安装反病毒软件。
2 防火墙安全技术的特征

网络的核心区域包括核心交换机、核心路由器等重要设备，它们负担整个网络的核 心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统、ERP系统、CRM系统、对内或 对外的Web服务器、数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险 最集中的区域。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙 技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品 为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合 考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时 也能有效地控制安全系统的总拥有成本。 

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤 技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的, 应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用 ,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过 程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
3 防火墙安全技术的发展趋势

随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有：状态监 视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术 、代理服务技术和一些新技术是未来防火墙的趋势。

通过在内部网络中的每台工作站上部署防病毒，防火墙入侵检测，补丁管理与系统监控，我 们可以集中收集内部网络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。但这 仅仅是不够的，还有另外一个重要的部分，就是从网络结构上的接入层，汇聚层和核心交换 层设备上做好访问控制与流量管理。其次是网络结构的安全性，管理人员都知道，通过部署 多层交换机，实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方 法。入侵检测系统能与其他的网络设备联动，减少误报，共同响应与阻断威胁，将是未来的 发展趋势和重点。
4 结束语

网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加 密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒 特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防 止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不 易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法 是将普通的文本(或是可以理解的信息)与一串数字(密钥)的结合，产生不可理解的密文 的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥 加密技术和管理机制来保证网络的信息通信安全。
［参考文献］
［1］ 顾巧论计算机网络安全［M］北京：清华大学出版社，2004.
［2］ 李海泉，李健计算机系统安全技术［M］北京：人民邮电出版社，2001.