防火墙的网络安全技术机制研究

◆李秀强 刘小宝 戴 昭 李 茜 谢 帅

（国网济南供电公司 山东 250012）

防火墙的网络安全技术机制研究

◆李秀强 刘小宝 戴 昭 李 茜 谢 帅

（国网济南供电公司 山东 250012）

随着网络技术的不断发展，网络安全问题也随之越来越多，网络攻击事件不断发生，尤其是一些重要的政府部门或大型企业最容易受到黑客的攻击，若网络防护技术不过关，一旦遭遇黑客的攻击，这些企业和部门将会遭受巨大的经济损失。防火墙是最早出现的一种网络安全产品，技术相对较成熟，安全系数很高，已然受到了广大网络用户和部门单位的信赖。

防火墙；网络安全技术；措施

0 引言

在日益复杂的网络环境中，防火墙已经成为抵挡不良网络信息入侵的关键，防火墙的核心就是在一个相对不稳定的网络环境中构建出一个较安全的子网平台。本文描述了防火墙的类型、设计原则等并简要分析了防火墙的安全策略及发展前景。

1 防火墙的概念及功效

防火墙可以阻断外界不良网络信息对本地网络的攻击，防火墙防护的范围很广，它不仅负责保护本地网络不受外界网络的攻击，还要保证内部信息不会被泄露出去，防火墙还起着过滤信息的作用，既可以分析外界传递的有效信息，又可以筛选出外界不良信息，拥有超强的信息处理能力。

2 防火墙的主要类型

2.1 过滤型防火墙

过滤型防火墙多应用于数据流通量较大的网络中，它的处理对象是流经本地网络的每一个数据包的包头，并可以作出是否接收的决定。过滤型防火墙相对于其他类型的防火墙最明显的一个优势就是速度快，因为它检查的部位有限，仅仅是数据包包头，并不会对数据包携带的其他内容进行检测。相对应的缺点就是此类防火墙在工作维护上没有太高的要求且无法对数据包的内容进行细致的核查，而且这种防火墙在工作时所有可能用到的端口都是开放型的，很容易受到外界不良信息的攻击。

2.2 状态检测型防火墙

状态检测防火墙在网络层上有一个检查引擎装置，可以用来检测截获外来信息，并自动判断是否接收。这种防火墙安全度相对较高，并且具有很好的扩展性。这种防火墙的处理系统透明化，性能也比较高，安全性相对于其他防火墙有很大的提升，而且状态检测型防火墙配置较方便，应用范围很广。

2.3 代理型防火墙

代理型防火墙的服务器一般是对网络流通的数据包进行检查并且可以通过用户身份验证，筛选出符合要求的数据包，代理型防火墙的服务器可以很好的将内部网络和外部网络分开，一方面保证内部网络信息不被泄露，另一方面可以抵御外部不良网络信息。这种防火墙的安全性能很高。

3 防火墙的安全技术设计原则

3.1 便捷性

防火墙的便捷性并不能因其采用的多重安全防护措施而降低，防火墙一系列的设计、安装、调整等程序都要在同一个界面下完成，操作和管理都十分便捷。而且防火墙内外网卡实行透明化，内部服务器也不需再增加额外的配置，安全方便。

3.2 成本低

对于一般的网络用户来说，构建一套网络安全系统都会增加额外的成本，包括购买安全设备的费用、设计安装费用、调整管理费用等，而使用防火墙来进行网络防护，用户可以选择费用较低的共享版本或者免费版本，节省了很多额外的花费。

3.3 可扩展性

一套安全的网络防护系统，并不可能保持永久的安全性，网络环境在不断的更新换代，网络防护系统也应根据相应网络环境的改变而升级，这就要求原先的防火墙系统具有很强的可扩展性。

3.4 严格选择产品型号

选择防火墙产品时，应保证防火墙拥有一个稳定的监控体系，可以随时监控绝大多数的攻击，以便提前采取防护措施。防火墙最好还要有认证用户身份信息的功能，防止不法分子冒充合法用户攻击网络。防火墙还应设置有多重防御层，当第一道防线不能阻挡攻击时，后面的防护层至少可以阻挡或者可以拖延时间，最重要的是要能隐藏内部信息，要让不法网络攻击者看不到网络系统内部的状况，无法展开攻击。

4 防火墙安全技术的实现方案

4.1 部署内部防火墙

内部防火墙一般部署在服务器的入口处。设计内部防火墙时可以设置用户的访问权限，只给用户提供必需的资源，防止不必要的浪费。内部防火墙还应可以认证用户身份信息，防止不法分子冒充合法用户来攻击网络。内部防火墙应有记录网络运行的日志信息的性能，以便可以及时发现不法攻击行为，实施相应的安全策略。

4.2 部署外部防火墙

外部防火墙应可以有效的将内部网络和外部网络隔离开，防止外界网络的攻击。在设计外部防火墙时同样可以设置特定的访问权限，只有被授权过的网络用户才有资格访问内部网络，外部防火墙还应设有地址隐藏功能，让外部网络无法捕捉到内部网络的信息，混淆攻击者的视线，有效保护内部网络不受攻击。

外部防火墙一般部署在内部网络和外部网络之间的部分，将内部网络和外部网络充分隔离开，保证外部信息到达内部网络之前先要达到防火墙，防火墙将传来的数据传给相应的处理服务器，由服务器判定是否接收外来信息。防火墙为连接内部网络和外部网络的唯一通道，因此能够对内部网络的所有访问做一个详细的记录，可以为后面的管理维护工作带来相应的参考依据。

5 防火墙网络安全技术的发展前景

5.1 智能性

网络安全面临的问题复杂多变，网络环境在不断进化，相应的网络攻击、网络病毒的种类也在不断变化，而当今防火墙的处理能力有限，面对一些复杂的网络病毒、不良信息等并不能很好的识别出来，这就需要防火墙具有智能识别的性能，智能型的防火墙必将成为以后的主流发展产品。

5.2 高效性

芯片技术和数码技术在不断发展，防火墙的内部系统将会更多的参与到网络的精细过滤程序中，防火墙为硬件和软件的组合体，软硬兼具的条件定能为网络用户提供更加安全有保障的性能服务。

6 总结

为了更好的保证网络安全，需不断完善防火墙各方面的性能，网络环境日新月异，防火墙的网络安全技术也应不断的创新，顺应多变的网络环境，这就需要深入了解防火墙的功能、原理、构造等，在不断的实践中完善提高防火墙的技术性能，提供给网络用户一个安全稳定的网络环境。

[1]商娟叶，刘静.基于防火墙的网络安全技术[J].电子设计工程，2010.

[2]张连银.防火墙技术在网络安全中的应用.科技资讯，2007.

[3]毕晓东.基于防火墙的网络安全技术初探[J].山东省农业管理干部学院学报，2007.

[4]阮灿华.基于防火墙的网络安全技术[J].福建电脑，2006.

[5]刘益洪，陈林.基于防火墙的网络安全技术分析[J].通信技术，2008.

[6]阎晶，王伟，宁宇鹏等.防火墙原理与技术[M].北京：机械工业出版社，2005.

[7]刘彦保.防火墙技术及其在网络安全中的应用[J].安全教育学院学报，2011.

[8]钟乐海.网络安全技术.电子工业出版社，2012.