基于防火墙的网络安全技术的几点探讨

张朝日

摘 要：通过对防火墙的网络安全技术与防火墙的基本类型进行分析，研究了网络防火墙选择和架构的基本原则，对网络防火墙的设计与架构提出了相应的建议，为企业网络安全的管理提供建议。

【关键词】防火墙 网络安全 信息处理

随着网络技术的发展，特别是大数据时代的到来，大量的信息资源和数据处理都是通过网络进行传递和存储的，由于网络中的数据量每天都在以几何级数在增加，网络信息的安全成为当前计算机网络中的关键问题，也是网络安全首要解决的问题，防火墙作为计算机网络安全重要组成部分，是解决网络信息安全的重要组成部分。

1 防火墙的基本类型

1.1 包过滤防火墙（IP Filting Firewall）

主要是采用包过滤（Packet Filter）的方式，依据事先设置好的过滤逻辑，对数据包的源地址、目标地地址等数据进行监测，对网络层中的数据包进行有选择性的判断，然后在监测数据包制定的接口是否允许这些信息通过。例如有一些恶意的小Java程序以及电子邮件的病毒，都能够通过防火墙进行过滤。

1.2 代理服务器（Proxy Server）

主要功能是设置在网络上的防火墙网关，它用于高速缓存，对用户经常访问的网络站点内容进行过滤，方便下一位用户在访问下一个站点时，服务器就不用重复的获取数据，提高用户获取信息的效率。

1.3 状态监视技术（Stateful Inspection）

在信息传输的过程中，通过防火墙技术对每个数据包的头部、协议、地址、端、类型等信息进行监测分析，根据事先设定的要求，采用“会话过滤”（Session Filteeing）功能，为一个数据的传输建立一个回话过程，防火墙会自动的对每一个数据包进行监测，对数据包的信息进行保护。例如可以运用该技术过滤掉FTP连接中的PUT命令，避免网络内部信息的外泄。

2 防火墙的选择

2.1 网络安全体系设计的原则

2.1.1 安全性与便捷性

在实际应用的过程中，网络的便捷性与方便性往往会因为采用安全措施而降低，原因就是防火墙要对每一个数据包进行扫描，影响数据处理的速度。防火墙从安装、配置到系统调整等功能，都在一个GUI界面上完成，使得防火墙的应用十分方便，同时由于防火墙的透明设置也有利于网络的内部用户，不必增加额外任何配置就能够设置完成。

2.1.2 安全性与性能

网络的安全措施是靠网络资源来完成的，一般情况下，这些安全措施主要占有的是主机CPU和内存、网络带宽，在数据传输的过程中还需要对数据包进行扫描，这些都会导致网络的整体性能下降，造成网速过慢的情况，防火墙具有独特的状态包过滤技术，能够自动的、快速的在网络安全与网速之间找到平衡点。

2.1.3 安全性与成本

采用专门的网络安全措施，需要购买相应的软件、硬件措施，这样会额外的增加网络安全的成本，增加系统的额外开支。采用软件型的防火墙，成本使用低廉，安装方便，而且软件型防火墙有共享版本或者免费的版本，经过规划定制之后，系统的内部安全性就可以由企业内部的工作人员来完成。

2.1.4 安全性与可扩展性

防火墙对系统的安全进行防护虽然比较简单，但并不是说系统的就是比较相对的安全，这就要求系统能够具有良好的可扩展性。例如在防火墙的规则集中，除系统管理员外，阻塞外界所有的人员访问防火墙，运行用户用过Internet和内部网络访问Web服务器。

2.2 防火墙选择的原则

在对防火墙产品进行选择时，不仅要能够满足企业的网络安全防护的需要，同时还要求防火墙具能够做到多层防护的功能。

2.2.1 访问控制

设定必要的网络接入防护措施，根据企业的需要建立特定的访问控制体系，将网络攻击者在达到客户端之前进行阻止.

2.2.2 攻击监控

在防火墙内设置网段，建立网络攻击监控体系，对网络通讯信息进行监控，发现存在病毒攻击时，能够主动出击，进行防御.

2.2.3 加密通信

对通讯信息进行加密，保证网络通讯的核心信息的安全，使得攻击者不能修改通讯的敏感信息。

2.2.4 身份认证

建设防火墙身份认证，有效的阻止病毒的攻击.

2.2.5 多层防御

在攻击者突破防火墙时，主动关闭网络.

2.2.6 隐藏内部信息

使得网络攻击者得不到网络内部的基本信息.

2.2.7 安全监控中心

运用防火墙技术为网络管理提供安全管理体系，及时的对网络进行监控管理。

从网络的安全因素进行分析，防火墙技术对网络的安全提供首层保护措施，就需要对网络系统提供的服务、种类、时间、对象等因素进行控制，然后通过防火墙对各个要素进行监控，这样就会不可避免的消耗网络的资源或者限制资源的有效利用，因此，采用防火墙技术往往会对网络的服务、网速、性能等方面产生影响。同样，网络的安全往往还需要其他的软硬件设备投入，无形中会增加企业的开支。因此，网络安全的保障是需要进行一定的投入，需要对网络安全性能进行有效的设计和管理。

3 防火墙的架构

防火墙系统的基本结构一般由屏蔽路由器和代理服务器组成，共同实现对网络信息安全的保护。屏蔽路由器的功能是防止IP欺骗攻击，剔除网络中模仿IP地址攻击的病毒，它结构简单，成本较低，缺点是建立过滤规则比较困难。目前，一些商家已经开发出相应的过滤规则，以及用户身份的登陆协议，保证用户远程登陆的安全等。代理服务器主要是屏蔽一些用户的非法请求，对用户的身份认证、日志记录和用户的账户管理等功能容易实现。新一代的防火墙甚至可以阻止内部人员故意破坏数据，同时也能够将防火墙设置在网络之前，减少外来网络的攻击。防护墙建立一个可靠的规则集，并将所有的规则集中在一起，切断默认防火墙的不必要的服务，网络内部的人可以通过防火墙访问外网，然后，添加锁定规则，拒绝规则外的任何防火墙访问，除系统管理员外，任何人都不能访问防火墙。

4 小结

防火墙的核心思想是保证网络的安全，在具体的应用中需要根据具体的情况设计网络防火墙，应该重点的考虑防火墙的架构、应用和具体的实现情况，然后根据防火墙的应用设计不同网络环境。

参考文献

[1]阮灿华.基于防火墙的网络安全技术[J].福建电脑，2014（06）.

[2]刘益洪，陈林.基于防火墙的网络安全技术分析[J].通信技术，2015（04）.

作者单位

山东海警第一支队机要信息化科 山东省威海市 264200