防火墙技术在网络安全防御体系中有效性分析

◆张 雪

防火墙技术在网络安全防御体系中有效性分析

◆张 雪

（哈尔滨铁道职业技术学院 黑龙江 150000）

随着网络技术与社会的不断深入融合，网络安全问题已成为制约社会经济发展的核心问题之一。近年来，一些不法分子利用网络安全漏洞从事非法活动，以牟取不法利益，在这种情况下，应用防火墙技术的网络安全防御体系由此而生。本文从网络安全问题的现状、防火墙技术的现状和运用等三个方面出发，着重研究防火墙技术，防止来自外部的攻击行为，确保系统的数据和通讯安全。

网络安全；防火墙技术；防御体系

1 网络中存在的安全问题

与欧美国家相比，我国的网络技术发展时间较短，但发展速度很快，便捷的网络购物，移动支付给人民带来诸多的科技红利。但随之而来的与网络安全事件也屡见不鲜，我国的网络安全防御系统也应与时俱进，不断提高和完善自我。目前，有两个因素制约了我国网络安全防御体系的发展。第一，人的因素是在网络安全领域中最薄弱的环节，也就是说在防御体系建设中要重点关注对用户的管理，提高其安全意识。第二，从技术手段出发，不仅要引进欧美国家先进的软硬件产品，还要开发自主知识产权的软硬件设备。因为，过度依赖欧美国家信息安全产品不仅不安全，反而更加危险。

1.1 对于网络安全系统防御力不高

目前，受众面最广的网络操作系统就是微软的视窗操作系统，但该系统源码封闭，不适用于国家机关、行政、金融、国防、军事等具有战略角色的服务器和主机。因此，这些部门的计算机往往会选择源码开放的Linux操作系统，但无论哪种操作系统，在进行网络防护时技术相对而言还不成熟，这就有待于信息产业科研所、高校实验室以及国内网络安全专家和爱好者共同努力来进行完善。

1.2 对安全监测数据信息上存在的问题

网络用户所使用的安全防御体系一般来说都是来自于安全厂商开发的一系列软硬件产品，但这些产品从早期的瑞星、诺顿、卡巴斯基等防火墙软件到现在市场份额较大的360安全卫士都无法做到前瞻性，也就是说这些产品都是基于病毒库来对数据进行比较、过滤和查杀的，对于变种的木马和病毒没有防御能力，这也就造成了诸如2017年出现的“敲诈者病毒”、“勒索病毒”频发的现象。究其原因是网络安全防御系统对具有入侵破坏行为特征的程序和数据监测能力不足。

2 针对网络安全对防火墙技术的应用分析

网络防火墙是保障网络安全的第一道屏障。针对网络应用来说，网络防火墙可分为软件防火墙和硬件防火墙。PC（Personal Compute）作为网络节点入网时可选择软件防火墙，因为软件防火墙功能强大、配置灵活，同时其价格低廉，但其缺点也显而易见，即稳定性和可靠性较低，这一特性正好适用于对安全性要求高的个人PC机和工作站。网络服务器作为提供网络服务的节点在入网时可以选择硬件防火墙，因为硬件防火墙具有针对性功能，模块扩展也较容易，但其缺点也很明显，即防火墙功能单一，配置不灵活，最重要的就是硬件防火墙的价格昂贵，中小型企业难以承担。

3 防火墙技术的特点分析与运用

3.1 防火墙技术的特点分析

（1）包过滤防火墙技术：包过滤防火墙技术的工作原理就是在防火墙上配置由外网进入到内网的数据过滤规则，这些规则主要是基于IP（Internet Protocol）数据报报头部分检测的，其中包括源端和目的端的端口号规则、协议类型过滤规则、来源端和目的端的IP地址过滤规则和数据报的出入接口过滤规则。该类型的防火墙基本工作流程为首先当某一数据报与过滤规则不匹配时，且允许通过，则防火墙转发该数据报；当数据报与过滤规则匹配，且禁止通过，则防火墙丢弃该数据报，不允许其通过防火墙进入内网。然而，包过滤防火墙技术又存在一定的局限性。因为该技术的基本工作原理是基于检测IP数据报报头的，所以包过滤防火墙无法对诸如FTP、RPC、X-Windows这些基于服务的协议进行有效的过滤，从宏观上防御体系不能完全依赖包过滤防火墙技术保证网络系统的安全性。

（2）应用级防火墙技术：应用级防火墙技术的防御对象为OSI七层结构中的应用层，它可以对基于HTTP、HTTPS以及FTP等服务进行数据的校验与保护。同时应用级防火墙又成为代理服务器防火墙，它位于客户端和服务器之间，对于客户端来说它就是一台真正的服务器；对于服务器来说他就是一台真正的客户端。它在客户端和服务器之间充当转接的作用，屏蔽了客户端和服务器的直接连接，外网的非法数据和程序也就很难直接越过防火墙进入到内网之中，有效的保护了内网的安全。

（3）状态检测型防火墙技术：状态检测防火墙技术较上述两种类型的防火墙效率更高、安全性更好。它的工作原理为在OSI的网络层上利用某种脱离分析算法，将网络层中与应用层有关的数据分离出来进行分析，然后按照规则对数据包进行丢弃或者转发。这种类型的防火墙不仅仅关系数据包的信源和信宿，而且还关心数据包的状态，尤其是对于UDP协议数据包的校验最为适合。但状态监测防火墙也有其固有的缺点，例如校验过程以算法为核心，势必会影响效率，增大数据包延迟时间；对垃圾邮件、广告、木马的校验率不高。

3.2 防火墙技术的有效运用

防火墙技术是网络安全防御体系中的第一道屏障，其有效运用直接决定着网络系统的安全级别。不同的网络其功能和需求也不相同，对网内数据信息的安全级别要求也不一样，在对网络进行防御体系构建时就需要管理人员和技术人员首先对自己的网络有一个清晰的认识，然后依据本网络的安全级别选择相应的软硬件防护产品。然后无论何种安全级别的网络，防火墙的运用都是必不可少的。

防火墙技术在网络安全防御体系中的重要作用，主要体现在以下五个方面：（1）防火墙能够对来自外网的信息进行非法数据的提取、分析、校验和过滤，然后通过相应的规则和算法允许其通过防火墙进入内网或直接丢弃；（2）防火墙对外网的登录信息极其敏感，可以有效的截获login信息，阻止非授权的账户远程登录内网，对内网的账户安全起着保护的作用；（3）防火墙能够关闭主机终端不经常使用的端口，对程序特定的端口进行封闭后可以有效的防止特定程序对网络系统的破坏，例如禁用木马的默认端口等等；（4）防火墙还能对网络攻击发起警告，一旦网络遭受到来自外部的攻击，防火墙首先能够屏蔽这种攻击行为，其次对攻击源进行反跟踪，分析、记录，形成数学模型，提高防御能力；（5）从逻辑上讲，防火墙实际上是网络的一个分离器、分析器和限制器，它能够有效的控制内网和外网的所有信息传输过程，有效保证内网数据的安全性。当然，防火墙技术也有其一定的弊端，例如防火墙防外不防内，它只能防护来自外部的攻击，如果攻击来自内部，则防火墙就失去了其存在的意义。另外，防火墙根据其工作原理的不同分为了很多类型，每种类型都有其优缺点，随着时代的不断进步，技术人员还要不断完善防火墙技术，防御体系要向着综合性的方向发展。

防火墙技术是保障计算机网络安全的一项基本措施，因此，要不断的将先进的技术融入到防火墙防御体系的建设当中，以对其不断的进行优化管理，充分发挥防火墙的真正作用。

4 结束语

网络安全中防火墙技术的有效运用与分析要从实际的科学技术出发，将先进的科学技术与实际的计算机网络防火墙相结合，建立网络信息安全管理系统，使计算机用户的实际信息得到可靠的保护；将网络安全管理与防火墙技术相结合，对网络数据进行必要的检查的同时，注重对系统本身的监控管理，从而不断的提高计算机网络信息的安全性。

[1]骆兵. 计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑（理论版），2016.

[2]谢平.计算机网络信息安全中防火墙技术的有效运用研究[J].通讯世界，2016.

[3]何承.计算机网络安全中防火墙技术的有效运用分析[J].福建质量管理，2016.