网络安全中防火墙技术的研究

崔嘉

[摘要]论文针对目前网络发展的需要以及防火墙技术的重要性，描述了防火墙的原理和基本功能，并通过对防火墙技术的分析，增强了计算机网络安全防护能力和防御能力。

[关键词]网络安全；防火墙技术

1 引言

随着社会的发展，计算机的应用也越来越广泛，网络安全逐渐受到社会各界的广泛关注。在计算机网络安全中，防火墙技术是一个非常重要的手段，发挥着非常重要的作用。在计算机网络安全方面，目前已经提出了几种技术保护手段，而防火墙技术就是其中较为典型的技术之一，不但安全保护效果好，还可以提供健康安全的营造运行环境，为网络安全提供强大的技术支撑保障。

2 防火墙技术分析

2.1 防火墙的组成和基本技术

防火墙的组成主要包含四个部分，分别是服务访问规则、验证工具、网关、过滤器。防火墙基本技术包括包过滤、应用网关和代理服务等。就包过滤技术而言，主要是选择数据包，它按照系统预设的筛选规则，针对数据流中所有数据包进行深入的检查，包括源地址、目的地址、TCP连接状态等，从而对数据包进行判断，确定其是否可以通过防火墙。包过滤技术的优点是用户无须登录，也不需要改动应用程序，对于用户来说，它是透明的。包过滤技术的缺点是因为过滤器的缘故，在内部系统与外部系统之间，可以直接进行数据包的交换，对于主机和路由器而言，其允许的所有服务，都将作为攻击对象。一般情况下，包过滤技术仅仅是最外层的防线，当前通常被用于路由器中。应用网关技术是在网络应用层上，建立两种功能，即过滤、转发。针对网络服务协议，采用数据过滤逻辑，在过滤的过程中，统计数据包，并进行分析，从而形成报告。代理服务的含义是由于包过滤技术、应网关技术具有一定的缺点，因此便引入了代理服务技术。

2.2 防火墙的基本功能

第一，过滤危险服务，只有经过授权的服务，才可以通过防火墙。第二，针对访问站点进行有效的控制，屏蔽非法用户，并过滤特殊站点访问，从而杜绝非法访问。第三，集中安全保护。若在一个子网中，将软件集中于防火墙，而非分散到主机，防火墙的保护作用会更加集中。第四，集中安全管理。针对企业内部网，防火墙对其进行集中安全管理，而不需要在所有机器上设置安全措施。第五，提高保密性。防火墙能够防止Finger和DNs域名服务，同时对服务信息进行封锁。第六，日志记录和统计。使用防火墙系统，可以对访问站点进行记录，并提供统计数据。第七，策略执行。防火墙能够制定安全策略并执行。

2.3 非法攻击防火墙的基本方法

防火墙可以有效地防范网络安全，然而却也有一定的局限性。防火墙无法防范的攻击还有很多，比如不通过防火墙的攻击、人为因素的攻击等。

非法攻击包括三种方式。

第一，通过子网进行攻击。对于防火墙来说，此类网址已经获得了信任，因此这种方法更容易被攻击者采用。

第二，攻击和干扰互相配合。这种方法主要是在攻击的过程中，确保防火墙的繁忙，使之忘却应当履行的防护职能。

第三，内部攻击。需要强调的是，在安装防火墙之后，禁止随意访问，内部人员就不能在空闲时期利用Teinet浏览邮件，因此便会引发个别人员的不满。从而对防火墙进行攻击，威胁网络安全。

当前，黑客攻击防火墙的方法有五种。

第一，IP地址欺骗。若要攻击并突破防火墙，这种方法是最常见的，而且其它攻击方法也是在这种方法的基础上发展起来的。黑客通过假冒的IP地址，伪造并冒充成内部数据分组，这种攻击方法极具危险性。

第二，IP分段攻击。处理方法一般选择对IP数据进行分组分段，只支持最大的IP分段长度，在发送之后，并不立刻组装单个分段，而是将其路由至目的地，将其集中于原始IP分组，除IP头外，对于每个分组来说，包含的所有内容就是一个ID号、一个分段补偿值。由此便可以清晰的识别各分段，对于每个被分段的分组来说，能够对防火墙系统的安全造成极大的威胁。

第三，TCP序号攻击。若要绕过防火墙系统，TCP序号攻击是最有效的，同时也是最危险的。利用Internet中安全漏洞，能够欺骗安全系统。这种攻击方法基于三步握手序列。它假设IP地址欺骗能够将假造的IP分组送入内部系统。

第四，计算机病毒攻击。计算机病毒，可以视之为一种将自身复制为更大程序的代码段，在程序运行之初，它便开始执行，通过将病毒复制，并对其它程序造成影响。病毒能够经过防火墙，驻留于E-mail消息内。

第五，特洛伊木马攻击。特洛伊木马：在合法程序内隐藏，并伪装预定功能，然而，通常用于绕过安全屏障，如防火墙。除此之外，还有很多攻击方法，比如IP隧道攻击、前缀扫描攻击、报文攻击等。

4 使用防火墙的几点考虑

整体防护。在网络安全理论体系中，有一项木桶理论，其含义是木桶盛水量不在于其本身的高度。而在于构成木桶最短木条的高度。这在网络安全的含义是，若要确保网络安全，最重要的是对最薄弱之处的保护。所以对于防火墙技术，应该综合运用，防御技术做到密切配合，实现联防联动，弥补各个技术的不足之处，唯有如此，才可以确保网络安全，做到整体防护。

防火墙的评估。对于当前防火墙而言，通常集众多功能于一身，对于其功能和性能的评估，通常选择独立评价，测试方法也是相互对立的，功能测试注重的是功能的多少，而性能测试注重的是应用性能，然而，这些都无法完全彰显防火墙实际性能。经过测试之后，经常会出现性能很高，然而在实践过程中，表现的性能很低，这也是当前防火墙技术面临的主要问题之一。所以防火墙的评估，应当使性能和功能相结合，才可以最大程度地评价出防火墙的真实性能，确保评估有效性，从而充分发挥防火墙的作用。

性价比问题。通常来说，防火墙的使用者大多是大客户，管理成本会很高。因此企业应该做到的是根据企业需求，结合风险评估，正确判断防火墙的安全防范能力，预估企业可承受的风险范围，从而制定出科学的解决方案。对于高端的防火墙产品来说，其价格可能极高，其建设期也会很长，而对于低端产品来说，可能是免费的。因此应该充分重视防火墙的性价比问题，并考虑维护费用。

管理决定安全。不管是传统防火墙，还是当代智能防火墙，若要确保网络安全，都离不开人的参与，然而由于网络管理员的能力和素质参差不齐，并非都能满足职业要求，因此管理也是网络安全的重要环节。各种规则构成了防火墙的灵魂，同时也是管理的最难之处，一旦出现错误配置。则难以确保网络安全。而且若规则顺序发生改变，也会对网络安全造成影响，因此规则越多，那么检查和验证的难度也会越大。所以，从业人员的专业能力、管理制度都决定着防火墙的管理效能的实现。

5 结束语

由于计算机的应用日益普遍，关于计算机网络安全受到社会的高度重视，安全保护技术越来越多，本文针对防火墙技术进行分析，其原理是信息隔离，在交换信息时，形成防护屏障，不仅能够屏蔽掉危险信息，而且还可以强化计算机网络安全防护能力，增加防御能力。在计算机网络安全中，防火墙技术能够发挥出监督和跟踪作用，确保访问信息的明确。