摘要：防火墙技术是针对计算机网络安全问题发展而起的一门专业技术，旨在提高信息系统对抗外来入侵的能力。本文研究并阐述了防火墙技术随着计算机网络技术发展和信息安全需求更新的发展和应用过程。

关键词：防火墙技术;网络安全;攻击防范

中图分类号：TP393.08 文献标识码：A 文章编号：1672-9129（2020）10-0009-01

1 防火墙的本质

计算机网络安全问题随着计算网络技术的发展日益严重，防火墙作为主要的计算机网络安全工具，位于受保护网络的边缘，保护网络避免受到外来入侵行为的窥视或破坏。

防火墙认为不同的网络有不同的安全等级要求，隔离技术能通过对具有不同安全等级要求的网络进行分类和相互隔离，达到保护特定系统、网络资源或者设备安全的目的。然而，防火墙在网络隔离的基础上还需要对在不同安全等级网络之间流动的数据进行识别和过滤，放行合法安全的通信数据，保证网络中正常的消息通信。

2 防火墙的分类

防火墙从实现方式上分为软件防火墙和硬件防火墙。软件防火墙一般是基于特定操作系统运行，我们熟知的Windows操作系统和Linux操作系统都自带有软件防火墙。硬件防火墙是专业的网络安全设备，通常会作为一个节点架设在网络系统中。国内外各家网络通信厂商都有全系硬件防火墙产品，用户可以根据实际需求进行选购。

防火墙按照核心技术的发展过程分为三个时期，第一个时期是基于访问控制技术发展，其中又分为包过滤技术、应用代理技术和状态监测技术三个发展阶段。第二个时期是将各种网络安全设备的功能都叠加到一台防火墙设备上，以简化网络系统的设计和开销。第三个时期是在第二时期的基础上实现防火墙中各系统资源和各网络安全功能的整体化设计和运行。

3 防火墙的发展过程与应用

3.1包过滤防火墙。包过滤防火墙是基于包过滤技术发展而来的防火墙产品。包过滤技术是根据数据IP包头信息对网络流量进行处理的一种访问控制技术。包过滤防火墙采用静态过滤方式，由管理员事先设置好包过滤规则，防火墙按照过滤规则对通过防火墙的每一个数据包进行条件匹配，并对匹配成功的数据包按照设置好的操作动作允许该数据包通过或者丢弃该数据包。

包过滤防火墙的优点在于其结构简单，如果过滤规则设置合理，能有效的阻隔大部分入侵行为。但是包过滤防火墙将每个数据包独立看待，即使有明显关联关系的数据包也需要分别设置包过滤规则。更严重的情况是，包过滤防火墙为了能放行从非安全网络到安全网络的某些访问数据包通过，必须设置极其宽松的包过滤规则，这使得攻击者也能很轻松的利用该条过滤规则将带有攻击行为的数据包从非安全网络发送到安全网络中。

3.2应用代理防火墙。应用代理防火墙是采用应用代理技术发展而来的一种防火墙产品。该类防火墙不是直接对数据包进行转发，而是通过对应的应用代理程序对通过的数据包进行接收、检查、转换和转发。

应用代理防火墙对每个数据包都经过其对应的应用代理程序分析审查等操作，响应延迟较大，容易形成网络瓶颈。另一方面，应用代理防火墙对每种应用都需要有应用代理程序支持，对于一些新的应用，如果其应用代理程序的开发滞后或者防火墙未及时更新，都会影响到该应用的数据包正常通过防火墙。

3.3状态监测防火墙。状态监测防火墙继承了包过滤防火墙对数据包的过滤方式，同时又采用状态监测技术对数据包进行动态判断。状态监测防火墙认为数据包之间存在一定联系，可以通过前面已经放行数据包的状态来对后续数据包进行预测和判断。例如TCP协议中的三次握手过程，如果前面已经有一个由安全网络到非安全网络的SYN数据包按照包过滤规则通过了防火墙，那么防火墙将其记录为一个会话，随后有从非安全网络发送而来的一个SYN+ACK的数据包到达防火墙时，防火墙会根据会话所记录的内容来判断该数据包是否为前序SYN数据包的后续数据包，而不再根据包过滤规则来判断。

3.4 UTM防火墙。UTM防火墙是防火墙第二发展时期的主要代表，它将传统的状态监测防火墙技术与入侵检测、病毒查杀等功能综合到一台防火墙上。UTM降低了企业在网络安全设备上的硬件购置开销，同时也降低了网络系统维护难度。但是，UTM防火墙因为多功能集合容易导致系统控制难度增加，造成系统稳定性问题。并且在UTM防火墙中数据包需要依次在各安全功能之间传递、检查和审计，很大程度的增加了系统开销。

3.5 NGFW防火墙。NGFW防火墙属于防火墙发展第三阶段的产品，虽然其对外提供的安全防护功能与UTM防火墙所提供的功能基本相同，但是相对于UTM防火墙只是多种安全功能的简单叠加，NGFW防火墙则对其所提供的网络安全功能进行深度整合。NGFW防火墙采用单一引擎对数据包进行分析，根据数据包特征选择若干个安全功能模块并行处理，提高分析效率。同时NGFW防火墙中采用多核级MIPS处理器、高速交换矩阵等特殊硬件架构，以提升整个系统的数据处理能力。

4 结语

本文对防火墙从出现到现今的整个发展过程和应用于网络安全防护过程进行了详细描述。现今，计算机网络技术仍然在高速发展，网络安全威胁也在快速更新，网络安全問题依然严峻，防火墙作为网络安全的主要工具，对其的研究创新也将随着整个计算机网络技术的发展而持续进行。

参考文献：

[1]徐慧洋，白杰，卢宏旺.华为防火墙技术漫谈[M]. 人民邮电出版社，2015

[2]王懿嘉. 计算机网络安全中的防火墙技术应用探析[J]. 计算机产品与流通，2020（5）：69

[3]杨婷. 计算机网络安全中的防火墙技术应用分析[J]. 数字技术与应用，2020（5）：177，179

作者简介：钱思佑，出生年月1983年9月，女，重庆市渝北区，博士，高级工程师，研究方向：信息安全，计算机网络，云计算.