计算机网络安全与防火墙技术

　　摘要：随着Internet技术的快速发展，安全问题已经成为现代网络建设的主要问题。防火墙技术作为内部网络与外部网络连接的第一道屏障，能较好地保护网络安全，也是备受重视的网络安全技术。
　　关键词：计算机；网络安全；防火墙技术
　　中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)12-2801-02
　　实际上，导致计算机网络出现安全问题的因素有很多，一些因素是人为的，也有一些是非人为的；还有可能是黑客的侵入。从计算机危险因素的类别上来区分，可主要分为计算机病毒、人为的无意失误、人为的恶意攻击、网络软件缺陷和漏洞等。防火墙可以很好地阻挡黑客侵入计算机网络，防止盗取、查看网络中的重要信息，保证网络的安全。
　　1 防火墙的基本概念
　　防火墙是一个系统，我们都知道，防火墙的主要用途是保护计算机信息安全，在内部网与因特网间通过一种安全程序的执行，将病毒隔离。一个高科技的防火墙可以确保所有从网络中输入或者输出的信息都经过防火墙，而这些流经防火墙的信息则直接受到安全保护。防火墙可以定义一个关键点，以此来预防外来不良信息的侵入；同时还可以监控网络，当网络中出现安全威胁时，则可以发出报警。特别是对于重要信息的保护，除了可以起到检查、监督的作用外，还能做好日记记录；它能提供网络地址转换服务，可以缓解IP地址资源不足的问题；防火墙为客户提供良好的安全管理服务，加强计算机网络安全。
　　2 目前主要的网络安全策略
　　数据加密是网络系统安全管理中常用的方式，能较好的保护网络数据的安全，预防数据信息被篡改和盗取。实践中，主要采用的加密模式是链路加密、端端加密、节点加密和混合加密等。
　　链路加密将两个网络间的连接点进行加密，通脱设定密码的形式保护数据安全，加密在数据在网络中传输，避免不良侵入。任何两点连接之间的密码时独立的，因此，通常可以设置不同的密码加强安全功能。链路加密通常是使用序列密码，所以，链路加密主要保护源头信息和信息节点的安全。链路加密的关键是可以预防外界的不良窃听，可中间节点会暴露网络信息内容，因此链路加密无法实现通信安全，链路加密要通过硬件设施进行驱动，随着技术的发展，也可以使用软件。
　　端端加密即对信息的源头进行保护，保护目标节点的用户信息，节点的数据可以通过文件的方式传输，因此，端端加密是比较可靠的，同时也是较容易实现的防火墙技术，端端加密主要使用软件驱动，有时也能使用硬件。
　　节点加密是对源节点到目标节点之间的信息进行保护，节点加密在形式上与链路加密类似，只是密码设定的方法不同，网络节点是先将已经得到的数据进行解密，再用其它的密匙加密；节点加密要求信息以文明的文件方式传递，但这样就很难避免外界侵入窃取和分析信息文本。
　　混合加密是采用链路加密和端端加密相结合的混合加密方式，对敏感数据有较好的保护作用，整体来说安全性较高。
　　3 防火墙技术的安全应用
　　3.1 安全服务配置安全服务隔离区（DMZ）
　　将服务器从机群中独立出来，单独设置安全隔离区，它是网络中的构成部分，也是局域网，之所以要将其独立出来，是为了能更好的保护服务器上数据，保证系统的稳定运行。利用NAT（网络地址转换）技术可以将已经收到保护的内部网络地址全部融入到防火墙上，并设定出几个有效的公用IP地址。那么我们就可以屏蔽好内部网络地址，保证内部局域网是安全的，还能节省IP地址资源，控制网络运行成本。如果某些单位有边界路由器，就可以使用这些设备进行数据包过滤，加设防火墙功能，从而路由器也具备防火墙的功能了，然后把需要保护的内部网络架设到防火墙上，落实保护作用。对于DMZ区里的公共服务器，英语边界路由器直接连接，不需要经过防火墙。通过上述叙述，边界路由器与防火墙让内部局域网有了两层防护，在二者之间还可以设置一个DMZ区，保证公共服务器的安全。
　　3.2 防火墙技术分析
　　1）包过滤型
　　包过滤型技术是防火墙的重点技术，通过对参考模型的网络层和传输层之间的保护，直接检验数据信息等是否合格，在全面的监督中保证数据传输的安全，也就是说，只有经过检验合格的数据才能通过网络，其余没有用的数据或不安全数据则可以丢弃或毁灭。
　　2）应用代理型
　　应用代理型防火墙主要工作在网络保护的最高层，它能完全阻隔不安全信息，确保信息传输的安全，通过对每种应用服务编制专门的代理程序，对每一个应用层的信息通信进行监督和控制，预防不安全问题的出现。
　　3）状态检测型
　　这是一种对计算机网络连接的安全监督技术，它将连接在一起的数据包当成是一个整体数据连接来看待，通过相关的保护对策和模式，对数据连接情况进行检测，及时识别有危险的、不安全的数据，并阻止其通过。在这种动态的连接列表中，可以记录从前的通信信息，也可以是与其它程序有关的信息。因此，这种技术与传统的包过滤防火墙静态过滤模式相比，状态检测型防火墙能更好的保护网络安全，稳定性也提高了。我们将这种技术与前几种防火墙技术相比，它是具有高安全性、高效性、可伸缩性和扩展性的，优势明显，但缺点是它所有的这些记录、测试和分析都有可能造成网络信息传递功能延迟，速度变慢，尤其是很多个连接同时运行的时候，或者是有大量的过滤网络通信的规则存在时，这种问题更为凸显。
　　3.3 日志监控
　　日志监控是主要的监控手段，很多管理人员认为，只要是信息就可以采集作，并作为日记记录下来。例如，网络中的所有警告或所有与策略相符或不相符的流量等等，虽然很多人认为这种做法其实是很完善的，保证了监控信息的全面，但我们知道，每天都有成千上万的数据进出防火墙，所以，只需要采集最关键、最重要的日记信息就可以了。通常来说，系统中的警告是必须记录的，以及那些影响网络安全的流量信息，这样才能保证网络信息的安全运行。
　　4 防火墙技术的不足
　　4.1 防火墙的脆弱性
　　简单地说，防火墙是一个防御系统，它是由软件和硬件组成的，并主要使用于内网和外网、专用网与公共网之间，在此界面上形成隔离带，从而达到保护网络安全的目的。因此，它必须有软件和硬件和结合，同时在Internet与In-tranet之间建立过滤网。我们应该正确的认识到，防火墙只是对网络安全进行维护，但是无法完全保证网络的绝对安全性。例如一些对网络内部有攻击的病毒或者黑客等，防火墙是无法实现保护的。所以，一定不要认为有了防火墙，计算机网络环境就安全了。随着技术的发展，设备的更新，还出现了不少破解防火墙的技术，可见，防火墙本身还是带有一些缺陷的。
　　4.2 防火墙领域的前沿技术
　　虽然防火墙有不足，但是防火墙技术是可以随着科技的进步而不断进步的。例如，自适应的代理服务防火墙，这种防火墙主要检测范围仍是安全应用层，只是安全检测后可以重新直接的通过网络层，大大改善了防火墙的性能；桥式接口防火墙，交换式接口防火墙最大的特点是，截取数据包时正处在数据链路层，能直接开展安全检查，而也只有合法的数据包才能进入数据链接层；混合型防火墙，这是一种融合多种技术的防火墙技术，这样用户在使用时，能有弹性的选择，安全性大大提高。
　　5 结束语
　　如今，随着计算机网络的普及，防火墙技术已经在我国各行各业得到了广泛使用，人们纷纷在网络系统中建立起防火墙防御系统，因为运用防火墙技术，能有效预防外部网的不良入侵，保证局域网的安全，从而提高网络使用效率。
　　参考文献：
　　[1] 马程.防火墙在网络安全中的应用[J].甘