试论防火墙在网络安全中的应用方式

荣淑珍

【摘要】随着计算机网络技术的突飞猛进，网络安全的问题已经日益突出的摆在各类用户的目前。那么在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全呢？本文对此加以探究。

【关键词】网络安全 防火墙

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2013）04-0132-01

一、关于网络安全的基本情况

网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的信息。在网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享，去攻击网络系统和窃取信息。这种情况使得近几年的攻击频率和密度显著增长，大约有30%以上的用户曾经遭受过黑客的困扰，给网络安全带来越来越多的安全隐患。

我们可以通过很多网络工具，设备和策略来保护可信任的网络。其中防火墙是运用非常广泛和效果最好的选择，它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外，从而降低网络的整体风险。

为什么不把每个单独的系统配置好来经受攻击呢？遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代，Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。

二、关于防火墙基本概念介绍

防火墙指用于隔离计算机与网络、本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。防火墙可以看成是在可信任网络和不可信任网络之间的一个缓冲，所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

防火墙的基本功能是，在两个网络通信时，通过执行一种访问控制规则，允许你接受（Accept）的人和数据进入你的网络，同时将你拒绝（Deny）的人和数据拒之门外，最大限度地阻止网络中的木马、病毒和蠕虫来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。简单的概括就是，对网络进行访问控制。

三、关于防火墙的类型

1.包过滤防火墙

是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，以IP来确定是否允许该类数据包通过。当这些包被送上互联网时，路由器会读取接收者的IP并选择一条物理线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽。包过滤路由器的最大优点是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常作为第一到防线。弊端也是明显的，无法有效防止黑客常规的攻击。例如黑客对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换了，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地址来伪装他们发出的信息。在另一种情况下，黑客们使用一种他们自己编出的路由器攻击程序，这种程序使用路由器协议来发送伪造的路由信息，这样所有的包都会被重新路由到一个入侵者所指定的特别地址。

2.代理服务器

通常也称做应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访fn-j，但是它不适合单位用来控制内部人员访问外界的网络，对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务，即防火墙内外的计算机系统应用层的连接是在两个终止于代理服务的链接来实现的，这样便成功的实现了防火墙内外计算机系统的隔离。代理服务器是设置在InteiTlet防火墙网关上的应用，是在网管员允许下拒绝特定的应用或者特定服务。同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务器通常拥有高速缓冲，缓冲中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去接收同样的内容，既节约了时间，也节约了网络资源。

3.状态监视器

作为防火墙技术，其安全特性最佳。它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来，作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其他安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。状态监视器的配置非常复杂，而且会降低网络的速度。

四、关于防火墙的组建模式

1.双宿主机防火墙

它实际上是包过滤路由器网关的替代品，是防火墙模式中最简单的一种，也最不安全。由于结构简单，成本低，没有增加网络安全的自我防范能力，往往是黑客攻击的首选目标，一旦被攻破，整个网络也就暴露。

双宿主机防火墙切实的说就是横跨两个不同网络的主机，机器上安装两张以太网卡，每块网卡连接一个子网，每个网卡绑定一个IP地址，这台机器启动后，通过路由方式或者网络地址转换等方式，将连接的两个网络的数据相互交换，并在这个交换过程中依照设定好的包过滤规则，判断那些17CP/IP报文该丢弃，哪些报文可以接受并通过。

2.屏蔽主机防火墙

是包过滤器与应用网关的联合体，这种方式将两种防火墙地基本优点集于一身，进一步提升了安全性，是一种最经济的组合。

屏蔽主机防火墙的工作方式为：允许外界连接到包过滤器。

包过滤器将数据包全部送往应用网关，而不能直接穿透包过滤器达到内网计算机。包过滤器允许来自应用网关的数据包穿越，到达外网。内网计算机的数据包全部通过应用服务器才能外发，不允许直接外发。

3.屏蔽子网防火墙

屏蔽子网防火墙的结构和安全性能都非常好，只有当所以安全单元被破坏后，网络才能暴露，具有很强的抗攻击能力，但是需要较多的设备，成本也相应变得比较昂贵。

这种方法是在Internet和Intra-net之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Internet和Intranet分开。两个包过滤路由器放在子网的两端，在子网内构成一个缓冲地带，两个路由器一个控制Imranet数据流，另一个控制Intemet数据流，InlLemet和Intranet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。