防火墙技术在网络安全防御体系中有效性研究

◆权 园



防火墙技术在网络安全防御体系中有效性研究

◆权 园

(通信站 北京 100000)

在信息时代下，互联网与计算机已经融入现实生活中的各个领域，并为人们的生活与工作带来了很多的便利，但由于互联网本身具有开放性的特点，各种各样的网络安全问题随之产生，而防火墙技术作为保护计算机网络安全的有效技术措施，其重要性自然也就变得越来越高。为此，本文对现代社会网络安全防护中防火墙技术的常见类型进行了分析，并对其在网络安全防御体系中的有效运用展开了探讨。

防火墙技术；网络安全；数据

0 引言

防火墙是一种广泛应用的网络安全防御技术，这种技术能够在外部网络与内部网络之间建立起一道“防火墙”，以阻挡来自外部网络的非法访问和不安全的数据传递，保护本地系统和网络免受各种网络安全威胁，是目前网络安全防范工作中最为常见的网络安全技术之一。因此，对于防火墙技术在网络安全防御体系中有效性的研究是非常具有现实意义的。

1 防火墙技术的常见类型

（1）包过滤型防火墙

在各类防火墙技术中，包过滤型防火墙是最早被作为网络安全保护措施使用的一种防火墙技术，这一技术最开始只能够作用于网络层，因此被称为静态过滤技术，后来随着技术的不断发展，传输层也被纳入包过滤型防火墙的工作范围之内，成为现在的动态过滤技术。简单来说，包过滤型防火墙实际上就是对数据层与网络层内进出的数据进行分析与比对，判断数据包与防火墙过滤规则相匹配，一旦发现有不匹配的数据包，就执行预先设定的阻止命令，将数据包丢弃。此外，目前市面上普遍使用的动态包过滤型防火墙还会对已经发送的数据包进行跟踪检测，一旦发现其对系统产生威胁，就可以直接对现有的防火墙过滤规则进行补充或修改。包过滤型防火墙具有安全性较高、成本低、容易实现等优势，但同时由于整个过滤工作是建立在防火墙过滤规则的基础上进行的，因此往往存在一些冲突与漏洞，在判断数据包威胁的准确性上也不够高，缺点也是十分明显的[1]。

（2）应用代理型防火墙

应用代理型防火墙的出现晚于包过滤型防火墙，主要是为了对包过滤型防火墙的缺陷进行弥补，因此这一技术相比于包过滤型防火墙在网络安全防护上更为全面。应用代理型防火墙以小型代理服务器的形式存在，这个代理服务器中被嵌入了应用协议分析技术，能够进行有效的数据过滤检测，同时由于这种技术以应用层作为工作范围，因此能够对数据报的最终形式进行过滤检测，检测形式更加高级、全面，除了能够对数据层所获取的信息进行分析判断外，还能够实现对可能危害的分辨。此外，由于应用代理型防火墙采用了代理服务器，因此所有的内外部网络通信不仅需要由代理服务器进行审核，还会由代理服务器进行连接，这很好杜绝了内部网络被数据驱动渗透的可能，实现了更加完善的网络安全防护。但需要注意的是，应用代理型防火墙在使用代理服务器建立连接时，代理程序需要一定时间来完成进程，从而造成一定的延迟，一旦需要进行大量的数据交换时，数据流量就会超越代理服务器的限度，从而使网络瘫痪的概率大大增加，而这一缺陷也使得应用代理型防火墙的应用范围受到了很大的限制。

（3）状态监视型防火墙

状态监视型防火墙是在动态包过滤型防火墙的基础上建立起来的，主要是通过状态监视模块对数据包的相关数据进行抽取，从而实现分层次的网络通信监控，另外，状态监控技术同样需要防火墙过滤规则进行配合，这一点与包过滤型防火墙十分相似[2]。之所以说状态监视型防火墙是建立在动态包过滤型防火墙的基础上，不仅是因为这一技术使用了防火墙过滤规则，更重要的是状态监控技术同样会分析数据包的网络协议、地址、端口以及类型等多方面的信息。而与包过滤型防火墙不同的是，状态监控技术在此基础上添加了会话过滤功能。这一功能能够在内外部网络建立通信连接的同时，主动构造会话状态，并将前文提到的数据包的一系列信息纳入会话状态中来，这样就可以将之后的数据传输与会话状态中的信息进行比对，从而实现多种信息的全面监控。总的来说，状态监控技术相较于其他两种防火墙技术没有明显的缺陷，是目前较为先进的技术，但由于实现技术十分复杂，因此在现阶段尚未得到广泛应用。

2 防火墙技术在网络安全防御体系中的有效运用

（1）防火墙技术在访问策略方面的应用

在对防火强技术的应用中，在访问策略中的应用是最为核心的内容之一，主要是对网络资源的访问权与使用权进行限制，以免遭到非法使用与非法访问，造成不必要的损失，而访问策略的制定则离不开防火墙技术。首先，防火墙技术需要对当前网络的运行信息进行划分并分析安全价值。其次，要对网络运行的个性地址进行详细的了解，进而网络运行的特点进行准确判断，并以此为基础做出明确、合理的安全保护规划。最后还要将访问策略的活动信息记录下来，形成能够自主调节的策略表对防火墙技术的网络安全保护行为进行规范，提高网络安全保护效率。

（2）防火墙技术在数据安全方面的应用

数据是网络资源中最为主要的一种形式，如个人财务数据、密码信息、各单位的财务信息，科研机构院校的实验数据等在网络信息时代下通常都会以数据的形式储存在计算机中，因而对于数据安全的保护也成为防火墙技术应用的重要内容。需要明确的是，数据存储并不等于数据得到了防火墙的保护，目前通过防火墙技术对数据安全的防护有很多，但大多处于初级阶段，总体上不够成熟、完善，其中较为有效的有数据库攻击特征阻断防护、撞库防护、数据库虚拟补丁等。

（3）防火墙技术在日志监控方面的应用

日志监控主要是指对防火墙技术在拦截外部网络入侵时产生的保护日志进行监控，保护日志虽然不会对网络安全产生直接的影响，但用户却可以对保护日志中的信息进行分析，了解被拦截信息的具体情况，从而得到错误拦截率、拦截频率等数据，找到拦截策略中的不出之处，进而通过重新设置来加以改进[3]。在防火墙应用中，保护日志会记录大量的拦截信息，这些信息并非全部具有分析价值，因此采集部分具有价值的关键日志即可，如系统警告等，而对于流量信息则可以选择性的采集。此外，在面对病毒问题时，用户往往会在清除病毒后建立新的拦截策略，这时就可以通过对流量信息的检测来确定拦截策略的有效性。

（4）防火墙技术在安全配置方面的应用

防火墙技术中的安全配置实际上就是对网络的模块化管理，系统会对内部网络安全的性质进行分析，并根据网络重要性的不同将防范区域分为不同的级别，对于网络安全级别高的模块会进行重点管理与保护，而对于网络安全级别较低的模块则会适当降低保护程度。从具体上来看，就是对重点保护的网络模块利用防火墙技术进行隔离，将其与其他不重要的网络模块分割开来，这样不同网络安全级别的网络模块间同样可以共同组成内部局域网，但由于重点保护的网络模块受到了防火墙技术的保护，因此受到外部网络入侵攻击的可能性大大降低，内部网络的安全性也因此大大提升。

（5）防火墙技术应用需要注意的问题

经过数十年来的发展，当前的防火墙技术虽然已经比较成熟，但部分弊端仍然未能得到有效解决，因此在基于防火墙技术的网络安全防御体系建设中，仍然需要对这些问题加以注意。首先，防火墙能够对经过网络边界的信息进行过滤与检测，但对于不经过网络边界的数据信息却毫无作用，而这也将会成为网络安全防御体系的漏洞，因此，网络安全防御体系还需利用其他技术，对内部网络安全问题、内部通过拨号网络直接与外网连接等情况进行有效防范。其次，防火墙本身在设计上同样有可能存在漏洞，而这些漏洞则会给不法分子的网络入侵提供可乘之机，因此在对硬件或软件防火墙进行应用时，必须要对其设计合理性进行检测，以免其存在严重的设计漏洞。

3 结束语

总而言之，计算机网络安全问题在现代社会已经得到了高度重视，而各种类型的防火墙技术也在网络安全防御体系中得到了广泛应用，但要想为网络安全提供切实保障，还需要在未来对防火墙技术的进行更加深入研究与创新，从而使其能够在网络安全防御体系中发挥出更大的作用。

[1]张雪.防火墙技术在网络安全防御体系中有效性分析[J].网络安全技术与应用，2019(02)：14+49.

[2]乔巧.计算机网络安全中防火墙技术的应用探究[J].企业科技与发展，2019(02)：178-179.

[3]徐晨莉.浅析防火墙技术在计算机安全构建中的应用[J].电脑知识与技术，2018，14(07)：39-40.