基于防火墙技术的计算机网络安全问题探讨

徐美红，封心充，孙 鹏，黄劲灿

1.广东省气象信息中心，广东 广州 510080

2.河南省开封市气象局，河南 开封 475004

随着网络信息时代进程的逐渐深入，网络安全成为了重要的问题，计算机的防火墙技术对网络安全问题成为了目前比较有效的安全技术手段。不过，对于网络安全，其实主要是系统的、全面的计算机管理问题，一般情况在计算机上的任何一个安全问题，可能导致全网的安全问题的产生，针对于这样的网络安全问题，主要是采用系统的管理的方法以及具体的网络安全管理措施。主要的安全措施包括，首先是行政法律手段，各种管理制度，专业措施等。可以这样说，在一个较好的安全措施主要就是多种方法来综合应用结果。一般在一个完整的计算机网络里，主要包括个人、设备、软件、数据等。这些部分在网络中有着非常重要的地位，所以必须从系统的整体角度上去看待这些问题，这样才可以取得有效的措施。

1 防火墙技术的涵义及工作原理

1）防火墙涵义。通常我们所说的防火墙主要就是指在一个或一组在两个网络之间来执行访问控制的系统。主要是包括硬件和软件。最大的作用的就是更好的保护计算机的安全，以便计算机不被可疑因素侵扰。在本质上，主要就是一种用来更好的允许或阻止网络业务来往的网络安全措施。一般情况下就是提供可以有效控制的网络通信。可以说防火墙在实质上其实就是用来有效的控制数据流通以及允许数据之间流通。所以，通常防火墙主要就是有两种相互对立的安全策略：首先，就是可以让没有特别拒绝的事情进入计算机。在这种特定的情况下，防火墙是仅仅拒绝规定的某一对象的，只要是不在拒绝的范围内的情况一般情况下都是可以得到允许的。通常这种策略在对数据包的阻挡能力还是比较小的。因此，安全性还是比较差的。其次，计算机主要是拒绝没有特别允许的事情。在这种情况主要就是与前面的情况相反，拒绝能力比较强，在这种安全策略中，计算机只接收被允许了的数据包，只要是不在允许情况中的数据包一律被拒绝；2）防火墙的工作原理。通常，防火墙用来控制Internet和Intranet之间相互联系的数据流。在应用中，计算机的防火墙主要是在被保护网和外部网之间的一组路由器，以及有适当软件的计算机的组合。可以说在网络安全中，防火墙在其中起到了关键的把关作用，就是在一般情况下只允许授权的通信通过。而且防火墙通常是由两个网络之间的成分集合而成的，基本上是有着以下的性质，只要是内部网络和外部网络之间的所有网络数据流必须经过防火墙。因为只有符合安全策略，这样的数据流才能通过防火墙，进入计算机。防火墙是有着非常强的抗攻击的免疫力。安全性能好的防火墙主要是有以下的属性：首先就是信息都必须通过防火墙，其次，在受保护网络的安全策略中允许的通信才可以通过防火墙。最后，就是通过防火墙的信息内容和活动以及对网络攻击进行检测和告警，从而来增强防火墙对各种攻击的免疫。

2 计算机网络安全中防火墙的技术

通常，计算机的防火墙种类是比较的多的，一般在不同的发展阶段，是需要运用不同技术的，所以，基于这种原因产生了多种类型的防火墙。一般防火墙采用的技术主要有以下几种：1）屏蔽路由技术。可以说。屏蔽路由技术是目前非常简单流行的防火墙技术。屏蔽路由器技术主要就是在网络层工作，运用包过滤或虚电路技术，在包过滤技术中主要就是通过检查IP的网络包来取得信息的。通常就是，先到达的物理网络接口，然后就是源IP地址，目标IP地址，传输层类型，源端口和目的端口等。在根据信息，来进行正确的判别，能否规则集中在某条目匹配，再对匹配包执行规则中要求的指定动作，一般就是允许或是禁止；2）基于代理的防火墙技术。通常在基于代理的防火墙技术通常被配置为“双宿主网关”，是有着两个网络接口卡的，同时接入内部和外部的网。因为网关是可以与两个网络通信的，所以，是可以安装在传递数据软件比较理想的位置上的。一般这种软件我们称之为“代理”，一般情况下，主要就是要为其所提供的服务定制的。在代理的防火墙技术中，代理服务是不允许直接与真正的服务相互通信，而是与代理服务器通信的，也就是用户的默认网关指向代理服务器。每个代理在用户和服务之间进行通信的处理。这样就可以对通过它的数据进行详细的审计追踪的，专家们认为，这种代理防火墙技术是比较安全的，主要就是由于代理软件可以根据防火墙后面的主机的脆弱来制定更好的防范已知的攻击；3）包过滤技术。在防火墙技术中的包过滤技术主要就是按照一定的信息过滤规则，来对进出内部网络的信息进行及时的限制，是可以允许授权的信息通过的，但是要拒绝没有授权的信息通过。在包过滤防火墙工作主要就是在网络层以及逻辑链路层之间的。主要就是可以截获所有流经的IP包，一般就是从其IP头到传输层协议头，有的可以是应用层协议数据中用来获取过滤所需的相关信息的。不过，按照顺序来与事先设定的访问控制的规则进行的匹配比较，以便执行相关的动作要求；4）一种改进的防火墙技术。这种改进的防火墙技术可以称为复合型防火墙技术。由于过滤型的防火墙安全性比较低，而且代理服务器型的防火墙在速度上比较慢，逐渐就出现了一种综合上述两种技术优点的改进型防火墙技术，这种防火墙技术保证计算机的安全性，而且还通过它的信息传输速度受到的影响不太大。这样对于那些从内部网向外部网发出的请求的，基于由于对内部网的安全威胁比较小，所以，可直接下载外部网建立连接，而且从外部网向内部网提出的请求，就是先通过包过滤型的防火墙，经过初步的安全检查，两次检查后确定没问题便可接受其请求，不然就进行丢弃处理。

[1]章楚.网络安全与防火墙技术[M].人民邮电出版社，2007.

[2]劳帼龄.网络安全与管理[J].高等教育出版社，2008.

[3]祁明.网络安全[M].高等教育出版社，2010.

[4]白以恩.计算机网络基础及应用[M].哈尔滨工业大学出版社，2006.