導語：防火墻在網絡安全訪問控制的運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：簡要介紹了防火墻技術及其在網絡安全中的應用，列舉了防火墻在網絡安全訪問中應用的幾種模式，并分析了未來防火墻技術的發展趨勢，旨在加強公眾對防火墻技術的了解和認識，以便于維護網絡的安全使用。

關鍵詞：防火墻技術；網絡安全；應用探究

當前，隨著社會的進步和科學的發展，以互聯網為代表的先進技術逐漸深入人們的工作和生活，并帶來了巨大的便利。而互聯網技術作為一把“雙刃劍”，其網絡安全問題也時刻威脅著人們的生產生活，盡管其影響力大、破壞性強，但在入侵過程中卻往往難以被人察覺。從本質來說，網絡安全能夠通過訪問控制和通信安全兩種服務來保障自身安全，而防火墻是網絡入口的首要防線，這種服務要達到最佳效果，需要防火墻技術與加密技術聯合防護。實踐證明，防火墻技術的網絡防御效果顯著，并且能夠廣泛用于各個領域，有效保障網絡安全。隨著科學的發展，防火墻技術也會不斷進步與發展，實時保障用戶的網絡安全。

1概述

1．1基本概念

所謂防火墻，就其概念而言來源于建筑學，意指防止火災從建筑物燃燒至另一建筑物的阻礙物，而網絡上防火墻意指防止網絡入侵的阻擋技術。有些工程師將防火墻定義為：計算機系統中所有通信無論是由內部到外部或是外部到內部都必須經過的，并且只有內部訪問權的通信方允許通過的技術。實質上，防火墻即為一種隔離控制技術，以增強系統內部網絡的可靠性，保障用戶安全為目的。

1．2基本功能

作為保障用戶網絡安全的重要技術，防火墻主要有以下基本功能：（1）防止用戶內部信息的泄露。使用防火墻技術能夠將計算機內部網絡進行劃分，隔離重點網，以防出現局部網不安全造成全局網不安全的現象。此外，防火墻技術通過對進入系統的用戶身份進行嚴格驗證，對網絡進行相應技術加密，能夠有效防止入侵者竊取用戶數據信息。（2）增強網絡安全策略。防火墻能夠利用其執行站點的安全模式把保障系統安全的相應指令、加密等軟件與防火墻連接在一起，與傳統防護模式中各個系統主機共同處理網絡安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網絡安全。主要表現在防火墻可以阻止不安全的進程，減小入侵風險，保障網絡安全。此外，防火墻還能拒絕部分來自路由的攻擊，并報告給網絡管理員，以盡可能減少對其他用戶造成麻煩的情況。（4）網絡存取及訪問監控審計。防火墻能有效記錄網絡活動并對可疑動作提供報警功能。為管理員提供誰在訪問網絡、在網絡上做什么等信息，當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

2防火墻的分類

2.1電路級網關防火墻

電路級網關防火墻是目前較為常見的一種防火墻，其本質是一個用于監控客戶機或服務器的通用服務器，它主要通過作用于OSI互聯網模型中的會話層或者TCP協議的TCP層來實現其功用。這種防火墻技術雖然也可應用于多個協議，但缺陷在于對同一協議棧運行的不同應用無法及時識別，因此此類防火墻也就不用設置相應模塊來應對不同的應用。在實際工作中，電路級網關防火墻的服務器會對客戶端進行部分修改，當客戶端發送相應的請求，服務器便對請求進行接收，并客戶端完成網絡的連接工作。可以看出，此類防火墻能夠將網絡信息進行隱藏，保障信息安全。

2.2應用級網關防火墻

應用級網關防火墻是一種應用服務器，主要在內、外部網絡在進行網絡交換申請服務時起連接的功能，其工作方式如下：（1）驗證用戶是否符合進入條件，如若驗證成功，則將用戶請求發送到內部網絡的主機，此時也會對用戶進行的操作進行實時監測；若發現危險或疑似危險則阻斷訪問。（2）當用戶是由內部網絡申請連接外部網絡時，防火墻工作模式會先對內部網絡發送的請求進行接收和檢查，若合乎要求，防火墻將請求發送至外部網絡。由此看出，這兩種工作的工作方式恰好相反。應用級網關防火墻的優勢在于方便配置、工作環境良好，它在內外網主機之間起連接作用，而不允許其直接連接，能夠有效保障使用過程中的安全性。此外，這種服務器還能夠對用戶的操作記錄得更加詳盡。

2.3靜態包過濾防火墻

靜態包過濾防火墻作用于網格層，對進出內部網絡的信息進行全面分析，再根據相應安全策略對信息過濾，其篩選Internet防火墻路由器內部網…堡壘主機原則是以所監測到的數據包的初始信息為基礎，允許授權信息進出，限制危險信息進出。當前，路由器被廣泛用于網絡的信息傳輸，連接在內、外部網路之間，因此是影響網絡安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產生作用的技術，因此從某種意義上說靜態包過濾防火墻也是一種包過濾路由器。靜態包過濾防火墻的優勢在于簡單實用，運行速度快，且透明性較高。這種防火墻技術的工作運用同應用層沒有關系，這就意味著不用對用戶主機的應用程序進行修改，配置和使用都顯得較為方便。它的缺點在于這種防火墻需要對TCL、IP等相應協議有較深的認識；另外這種防火墻技術不能夠對用戶的操作進行鑒別。

2.4狀態監測型防火墻

狀態監測型防火墻的作用機制在于使用了在網關上執行網絡安全策略的軟件引擎來實現其作用和功能。這種防火墻工作在網絡層與鏈路層之間，可以對網絡通信進行跟蹤監測，并對相關狀態信息進行提取；此外，狀態型監測防火墻還能對動態鏈接表中的狀態和信息進行儲存，并及時更新，通過信息積累不斷為下面的通信檢查提供數據支撐。狀態監測型防火墻的另一大優勢在于可以為類似NFS的基于端口動態分配協議的應用提供技術支持和類似DNS的無連接的協議提供應用支撐，相對而言，型網關防護墻和靜態包過濾型防火墻則不能支持以上應用。綜上所述，狀態型防火墻能夠有效減少端口開放時間，并提供相應服務支撐。它的缺點在于會默許內部主機與外部網絡不通過第三方直接連接，對部分網絡安全隱患難以起到防護作用；此外，狀態監測型防火墻不能夠對用戶操作進行鑒別。

3防火墻在網絡安全訪問控制中的應用

3.1雙宿主主機模式

雙宿主主機模式是通過主機的使用來實現的，這臺主機擁有用于連接內部網絡和外部網絡的兩個接口。防火墻將雙宿主網關置于內部網絡和外部網絡之間，以阻斷IP層之間的數據傳輸。內部網絡和外部網絡的主機不能夠直接進行通信，它們都只能與網關進行通信，而內部網絡與外部網絡的通信需要利用應用層的數據共享或服務達成。

3.2屏蔽主機模式

屏蔽主機防火墻主要由堡壘主機和過濾路由器兩部分組成，其中堡壘主機位于內部網絡，過濾器位于內部網絡和外部網絡之間。堡壘主機作為連接外部網絡和內部網絡的唯一通道，使得外部網絡和內部網絡都只能連接到堡壘主機，當內部網絡有通信需求時，必須先到堡壘主機，堡壘主機再進行判斷，并決定是否允許連接到外部網絡。因此，入侵者要想實現對用戶電腦的入侵，必須首先將主機攻克，方能到達內部網絡，主機結構如圖1所示。

3．3屏蔽子網模式

屏蔽子網包括堡壘主機以及兩個包過濾器等部分，其內、外部網絡主機間設置具有隔離功能的子網，以形成隔離區，設置屏蔽子網的作用在于防止MAIL、Web服務器等公共服務直接通過內外部網絡。通常情況下，內、外部網絡都能夠訪問屏蔽子網，而不允許穿過子網進行通信，這種配置使得當堡壘主機被攻克時，內部網絡仍然可以受到來自包過濾路由器的保護。這種屏蔽子網防火墻的最大好處在于為計算機多提供一層防護，因為必須攻克兩個路由器和一個網關才能成功入侵。

4防火墻未來發展趨勢與展望

防火墻技術作為保障網絡安全的重要舉措之一，未來必將得到發展和更新。筆者認為未來的防火墻技術將朝著多元化、智能化、高速化方向發展，可全面保障用戶信息、應用程序與操作過程的安全，且會具有如下新的優點：（1）高速性。現階段，防火墻的運行速度不夠快的問題突出，而隨著科學技術的發展，防火墻將會更多與芯片技術相融合，利用芯片提升計算的速度和精度，最終成為以芯片技術為主的全硬件型網關，大幅度提升網絡安全。（2）智能化。現階段，網絡安全威脅主要包括病毒傳播、網絡攻擊、內容控制，其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果，因此未來的防火墻技術一定是朝智能化方向發展的。（3）多元化。隨著網絡技術的不斷發展，多種網絡模式已被運用，未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案，為不同網絡設置不同技術的防火墻，為用戶提供多元化的保障。

5結語

隨著人們對網絡技術的運用越來越多，依賴性越來越強，人們對網絡安全也越加重視。實踐表明，防火墻在保障網絡安全方面成效顯著。為應對復雜的網絡安全威脅，防火墻技術需要不斷地更新和發展，在保障網絡安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網絡安全，采用先進技術，才能形成全方位的防御體系，保護人們的信息資源。

作者:張林 單位:中國航空動力機械研究所

參考文獻

[1]劉洪.網絡安全與防火墻技術的研究[D].沈陽工業大學,2003.

[2]宋開旭,曹慶旭.淺析網絡防火墻技術[J].黔東南民族職業技術學院學報(綜合版)，2006,02:26-29.