防火墙技术及其在网络安全中的应用

2016-03-14◆梅强王华

网络安全技术与应用 2016年11期

关键词：代理服务器子网路由器

◆梅强王华

（江西工程学院江西 338000）

防火墙技术及其在网络安全中的应用

◆梅强王华

（江西工程学院江西 338000）

近年来随着信息技术的发展，也推动了各个领域的发展，同时网路技术应用极大的方便了用户，为用户搜集信息、储存信息以及应用信息等提供了有效途径，与此同时网络中也存在一些不法分子以及网络黑客，这些网络不法分子利用各种手段获取网络用户的信息，对用户信息安全构成威胁，而防火墙技术的应用极大的提高了网络安全性，为用户信息安全提供了保障。

防火墙技术；网络安全；应用

0 前言

目前网络已经逐渐被应用于军事、政治、经济、金融、个人生活等大大小小的领域，网络安全直接关系到国家信息安全以及用户个人信息及财产安全，因此，近年来网络安全问题越来越受到重视，防火墙技术是目前保证网络安全的关键技术之一，它通过各种软件与系统对网络用户信息进行保护，有效的提高了网络应用安全性，使用户可以放心进行网络信息共享，为互联网的应用与发展做出了巨大的贡献。

1 防火墙概述

防火墙是网络系统中用于隔离外界网络与本地网络的一种控制防御系统，它要对网络数据以及网络环境安全进行检测，做出通信决策，如果系统检查传输数据安全就允许通信，若传输数据不具备安全性就阻断数据信息，同时防火墙还能保护内部网络信息结构以及网络运行状态的安全，避免内部网络信息泄露，防火墙可以单一的向内部网络提供特有的审计安全控制点，以达到保护内部网络信息安全，阻断不良信息入侵的目的。防火墙的主要作用是在安全性能较小的网络环境下，为内部网络提供一个相对安全的环境，它不仅要对网络信息结构进行分析，还要对一些不良信息进行限制，是一种软硬件兼有的形式。

防火墙功能主要有以下几种，（1）控制网络站点的访问，防火墙具有允许某些外部网络主机可以访问内部网络，或者禁止某些外部网络主机访问内部网络的功能，同时防火墙还对一些特殊站点的访问权限进行控制。（2）对危险性服务信息的控制，防火墙可限制其他用户进入内部网络，将非法用户或者具有危险性的信息过滤出去，避免内部网络存在安全隐患。（3）防火墙具有集中进行安全保护的功能，防火墙能够将网络完全管理简单化，在防火墙系统中进行集中性的安全加固，而不是将安全性分布在各个不同主机上，特别对一些机密性极强的信息[1]。例如，用户口令、密码、身份信息等，要将这些机密信息集中放在防火墙系统中，使防火墙系统对其进行集中安全保护。（4）具有强化用户对网络站点资源私有的功能，防火墙能够成功的封锁内部网络资源信息，使因特网外部的主机不能获取该网络站点的地址，有效的保护了内部网络信息，使外部攻击者无法进入内部网络获取有用数据信息。

2 防火墙技术构建

2.1 屏蔽路由器技术

屏蔽路由器技术是构建防火墙技术的基础，该技术可以分别通过主机屏蔽实现，也可以使生产厂家在产品生产时直接实现，屏蔽路由器是连接外部网络与内部网络的主要通道，所有的网络数据、信息报文都要通过屏蔽路由器这一通道进行监测和检查，及时过滤掉不安全数据及报文，同时还需要在屏蔽路由器中安装相关网络地址层的信息过滤软件，有效的实现屏蔽路由器信息过滤作用，大多数路由器在生产时已经具备了信息过滤的选项功能，其用法也比较简单[2]。

2.2 屏蔽子网技术

屏蔽子网技术是指在外部网络与内部网络之间建立一个独立存在的子网，使子网将内部网络与外部网络隔离开，并用两台分组过滤器将子网与内网和外网隔离开，两台分组过滤器分别对内网与外网中的数据、报文进行控制和过滤，但内网和外网均不能穿过屏蔽子网进行通信。要想实现内网与外网的通信，可以在屏蔽子网中设置一个堡垒主机，使其对外网与内网进行代理通信，两方通信信息需要受到两台分组过滤器的过滤方能实现，以此保证内外网络安全通信。

2.3 屏蔽主机网关技术

屏蔽主机网关技术在构建防火墙中具有简单、安全、方便操作的特点，因此得到广泛应用，主要通过在内部网络中安装一个主机，在外部网络中安装一个分组过滤路由器，并在外部网络分组过滤路由器中设置一些特定过滤规则，使内部网络主机成为外部网络指定、唯一到达的主机，相当于对外部网络进行授权，使其可以访问内部网络，这有效的避免了内部主机受到不被授权的其他外部网络的入侵，即使内部网络既不具备子网又不具备屏蔽路由器，其变化仍不会对保护系统产生影响。

3 防火墙技术在网络完全中的应用

3.1 代理防火墙技术的应用

代理防火墙技术主要在网络应用层，通过对用户使用协议的分析，对用户网络操作行为进行控制，允许用户操作协议中存在的代理行为，禁止访问在协议中没有被允许的其他信息，通过有效的协议过滤方式，实现保证网络信息安全的功能，代理防火墙技术的应用主要包括以下几点：

（1）回路级代理服务器，这种代理服务器适用于多个协议，但不能对协议进行解释，需要以其他方式获取网络信息，因此，该代理服务器对修改用户程序要求较高，回路级代理服务器是一种具有国际标准的网络应用层保护技术，接受保护的网络用户，如果需要将本机与外部网络进行信息交流，在回路级代理服务器中检查用户的网络地址和通信目的地址，并经过确认，就可以与外部网络服务器进行连接，用户不需要登录防火墙，在使用过程中完全感觉不到防火墙系统的存在，用户网络与外部网络信息较为透明，极大的方便了用户使用，也充分保证了网络安全[3]。

（2）应用代理服务器，应用代理服务器是代理防火墙技术的关键部分，主要在网络应用层中为网络提供授权代理服务及授权检查，应用代理服务器既可以为用户授权也可以隐蔽网络内部地址信息，即使用户IP地址被盗用，盗用者也不能通过身份认证进行登录，由此可见，应用代理服务器在网络安全中的应用，使主机在访问受保护的内部网络时，必须要通过有效的身份认证，只有通过身份认证才能进行访问，以此保护网络安全。

3.2 状态检测防火墙技术的应用

状态检测防火墙技术通过在网络层获取信息，之后将信息交给防火墙，使防火墙在应用层中提取安全策略信息，并将提取出的信息进行分析对比，通过分析检测信息的安全性，进一步做出信息决策，状态检测防火墙技术应用主要表现如下：

（1）对网络各层进行控制与监测，及时发现网络层的安全漏洞，并将网络层存在的恶意攻击现象以及安全隐患进行记录，为网络系统管理员提供信息依据，以便网络管理员对漏洞进行修补，以此做到网络安全保护。（2）状态检测防火墙技术，对在检测时发现的安全问题进行自主匹配处理，判断攻击行为，并随时阻断攻击行为，对网络进行实时保护和控制，同时，在网络层以及网络高层状态下，仍能够有效的检测网络动态，使防火墙利用相同的信息处理方式以及策略对网络层的漏洞进行处理。

3.3 包过滤防火墙技术的应用

包过滤防火墙技术是在网络地址层实现的，可以利用网络路由器完成，在网络端口、主机等控制与访问方面应用效果更佳，它主要用来监视网络流出与流入的地址信息，并检查所有通过防火墙的网络地址信息、目标地址、源端口等。

包过滤防火墙技术主要应用于：对不安全的网络进行封锁、阻断地址信息欺骗行为、设置相应的服务端口，包过滤防火墙技术中对有所需要的系统进行开放，同时包过滤防火墙技术由CPU过滤处理报文，处理速度非常快，甚至可以忽略不计，此外，包过滤防火墙技术比较透明，对客户的正常使用没有影响，用户几乎感觉不到有该技术的存在。包过滤防火墙技术在网络安全应用中，在标准的路由器软件中都安装了相应的包过滤功能，不需要增加安装费用，一定程度上节省了用户的支出，此外该技术在应用中不需要用户进行密码和用户名登录，方便了用户的操作使用，包过滤防火墙技术运行速度较快，使用户轻松、方便的进行信息过滤，有效的提高了网络安全性。但包过滤防火墙技术访问控制列表还存在一定的复杂性，需要网络用户对网络服务进行深入了解，以便使包过滤防火墙技术应用效果最佳。