计算机网络安全中防火墙技术应用分析

刘秀淑

（临沂市中心医院，山东 临沂 276400）

0 引 言

随着互联网技术的发展和深入应用，加强对计算机网络安全技术的研究和探讨变得愈发重要。防火墙技术为当前计算机网络安全中的关键技术，在互联网领域有着极其广泛的应用，能够为计算机和网络建立安全屏障，保护网络信息安全。

1 防火墙技术类型及其防护方式

1.1 数据包过滤型防火墙

数据包过滤型防火墙主要作用在网络层，根据系统内部过滤逻辑，检查数据包的源地址、目的地址、协议状态等相关参数，实现对数据包的有效选择，判断是否容许数据包通过，进而实现对整个网络的隔离保护，能够有效避免内部网络遭受攻击。数据包过滤防火墙的逻辑相对简单且成本低廉，安装在路由器上即可，无须额外支付费用，同时具有相应的网络性能和良好的透明性。然而，这种防火墙无法彻底预防地址欺骗，且部分应用协议不适用于数据包过滤[1]。

1.2 网络地址转换型防火墙

网络地址转换型防火墙技术只允许私有IP地址的内部网络访问因特网，以实现对网络的有效保护。内部网络通过安全卡访问外部网络时会产生映射记录，此时系统会自动将外部的源地址和端口伪装成临时地址和端口，且伪装的地址通过非安全网卡与外部网络相连，实现对外隐藏内部网络地址的效果，保障内部网络的安全性。外部网络是通过非安全网卡访问内部网络，无法得知内部网络的实际连接情况，只是通过开放地址和端口请求访问。防火墙会根据提前定义的映射判断访问的安全性，在访问安全的前提下，才会接受访问请求。

1.3 应用层防火墙

应用层防火墙即在应用层上建立协议，将网关安装在专用工作站系统上，通过指定数据过滤逻辑，使其具备过滤和转发功能。在实际过滤过程中，应用层防火墙会对数据包展开分析、记录和统计，并形成相应的报告。这种依靠逻辑进行网络保护的防火墙能够有效抑制地域非法访问和攻击作用。

1.4 代理服务型防火墙

代理服务型就是通过第三方实现对网络的保护，主要包括外部网站点、防火墙代理和被保护网站点3部分。应用代理服务型防火墙，能够实现内外部网络的有效分隔，避免二者直接相连。代理服务型防火墙还需要提供日志、审计等服务。

1.5 监测型防火墙

基于传统防火墙开发了监测型防火墙，能够有效实现对各层数据的主动、实时监测，并通过数据分析判断非法侵入情况。此类防火墙具备分布式探测器，将其安装在应用服务器和其他网络节点中，检测外部网络攻击和内部恶意破坏，可实现全方面的防护[2]。

2 防火墙结构分析

2.1 屏蔽路由器

作为连接内外网络的唯一通道，所有进出网络的报文都需要通过屏蔽路由器的查验，是防火墙系统的门户。屏蔽路由器可通过专门的生产厂家获得，也可通过主机实现。将报文过滤软件安装在路由器上，能够实现IP层报文的有效过滤和筛选。此外，很多路由器本身可进行过滤设置，但通常相对简单，功能效果不如独立的过滤软件。需要注意，屏蔽路由器在使用过程中一旦遭受攻击，通常难以被及时发现，且无法实现对不同用户的有效识别。

2.2 主机网关

主机网关包括双穴主机网关和被屏蔽主机网关2种。其中，双穴主机网关由具备2块网卡的堡垒主机构成，在主机上安装防火墙软件，实现应用程序的有效转发，并提供相应服务，包括维护系统日志、硬件拷贝日志、远程日志等。与屏蔽路由器不同的是，双穴主机网关功能较多，一旦黑客入侵堡垒主机，堡垒主机的防火墙功能就会丧失，导致任何用户都能够随意访问内部网络，产生严重的网络安全威胁。

相比之下，被屏蔽主机网关的安全性更高且易实现。需要将堡垒主机安装在内部网络上，并将过滤规则设置在路由器上，使该主机成为外部网络唯一可直达的主机，实现内外网络的有效隔离。若被保护网络为虚拟扩展本地网络，那么内网的变化将不会对堡垒主机和路由器产生影响，实现对危险因素的有效限制。需要注意，若黑客登录主机软件，那么内部网络将会遭受极大威胁。

2.3 被屏蔽子网

通过在内外网络之间构建被隔离的子网，使用过滤路由器，将子网与外部网络和内部网络隔离，能够实现对计算机网络的有效保护。此过程中内外网络均可访问被屏蔽子网，但无法穿越屏蔽子网直接连接。为进一步强化防护效果，可以将堡垒主机设置为被屏蔽子网的唯一访问点。网络危险点仅限于蓓蕾主机、子网主机、内外网和屏蔽子网的路由器，增加了网络攻击难度，可有效保障防护效果。

3 现代防火墙技术的分析和应用

随着大数据时代的到来，计算机网络安全防护要求不断提升。现代防火墙技术的研究应着重加强对放行数据的安全性检验[3]。

3.1 新一代防火墙技术

新一代防火墙具有较强的集成性，能够有效应对多样的风险隐患。第一，透明代理技术。实现了有效访问，极大地降低了登录过程中的风险隐患，避免出现登录错误等情况，提高了实际运行效率。第二，灵活代理机制。代理系统作为防火墙软件，具有重要的防护作用。在新一代防火墙技术中，代理系统的灵活性得到了极大提升，保障了网络安全。其中，从内网到外网主要采用的是网络地址转换技术，从外网到内网则通过保密代理系统技术和非保密用户定制代理技术实现灵活代理。第三，多级过滤技术。通过三级过滤和辅助鉴别方式，实现对数据信息的有效过滤。一级过滤为分组环节，筛除假冒IP地址；应用网关为二级过滤环节，利用文件传输协议（File Transfer Protocol，FTP）等网关，监测网络通用服务；电路网关为三级过滤环节，用于监测内部主机与外部站点之间的连接，控制服务通行。第四，Internet网关技术。通过串联方式实现网络的有效防护，要求防火墙能够支持所有网络服务功能，并有效防止网络漏洞。同时，具备多种安全应用服务器，可以根据相应服务器功能进行设置，保障防护效果。第五，安全服务器网络。通过网卡实现对对外服务器的有效隔离和处理，使其既属于内网又与内网隔离，以免内网受到攻击。第六，用户加密技术。用户加密技术用于满足特定需求，为用户提供定制服务。第七，审计告警技术。通过网络监控形成日志文件，包括内核信息、接发邮件、已鉴别的访问、告警条件以及出站代理等信息，并通过邮件或播报等方式进行报警。

3.2 智能防火墙及其应用

智能防火墙技术是将人工智能技术融入其中，通过数据统计、记忆功能、概率分析以及决策管理等方式，实现数据的智能识别和处理，迅速提取网络行为特征值并直接控制访问，有助于提高防火墙运作效率。主要包括防扫描技术、包擦洗和协议正常化技术、防欺骗技术等[4]。智能防火墙技术主要应用在预防入侵、黑客攻击、恶意数据攻击、IP欺骗以及潜在风险隐患防范等方面，将传统被动防御转变为主动防御。

3.3 嵌入式防火墙及其应用

通过将防火墙内嵌在路由器或交换机上实现有效防护。嵌入式防火墙在IP层运行，难以实现对病毒、蠕虫、木马程序的防护，属于无监控防护形式。嵌入式防火墙不受拓扑结构的影响，能够实现对网络边缘的保护，并独立于主机系统和程序，可实现远程接入。嵌入式防火墙主要应用于远程办公，需要访问公司局域网的情况，保障网络连接的可靠性和安全性。

3.4 分布式防火墙及其应用

分布式防火墙主要作用在网络主机上，通过安全软件的形式，实现对主机的保护，主要包括网络防火墙、主机防火墙、中心管理3种类型，且分别对应不同的功能。分布式防火墙的主要优点在于实现了对内部网络的防护，可抵御内部攻击，并消除网络边界通信问题和故障点，且不会受到拓扑影响，可实现移动计算。因此，分布式防火墙技术多应用在企业网络和服务器主机上，在封堵内部网络漏洞方面有着积极作用，能够实现对主机的有效保护。

3.5 混合型防火墙及其应用

混合型防火墙是将多种防火墙技术进行融合应用，实现对计算机网络的全面防护，解决单一防护方式下存在的其他漏洞，提高薄弱之处的防护能力。混合型防火墙属于组合结构，包括内外部防火墙、堡垒主机、基站主机服务器。由内外防火墙在内外网络之间构建屏蔽子网，将堡垒主机、服务器等布置其中形成多层防护。堡垒主机服务器逐层分析数据包协议，提取安全信息并将其发送给基站主机服务器，接收主机服务器传回的过滤信息，配置过滤功能，完成数据包的过滤处理。针对内部非法操作，可通过物理地址与IP地址的绑定实现安全防护。在给用户分配IP地址时，在基站主机服务器中建表，并记录IP地址映射的物理地址。在发生数据传输操作的过程中，数据包包含IP地址和映射的物理地址，因此系统可自动校对IP地址与映射的物理地址，若二者相符，即可进行通信。此外，混合防火墙包括Internet网关等技术，不仅能够实现信息的自动过滤、病毒预防，还可生成事件日志，在抵御内外网络攻击和威胁方面有着良好的运行效果[5]。以某公司混合防火墙为例，基本配置代码为

//基本配置

pix(config)#interface eth0 auto

pix(config)#interface ethl auto

pix(config)#interface eth2 auto

pix(config)#nameif Ethernet 0 outside security 0

pix(config)#nameif Ethernet l inside security 100

pix(config)#nameif Ethernet 2 dmz security 50

pix(config)#ip add inside 192.168.10.3 255.255.255.0

pix(config)#ip add dmz 192.168.10.1 255.255.255.0

pix(config)#ip add outside 44.45.102.3 255.255.255.0

pix(config)# nat(inside) 1 192.168.20.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.30.0 55.255.255.0

pix(config)# nat(inside) 1 192.168.40.0 55.255.255.0

pix(config)# global (outside) 1 44.45.102.5-44.45.102.7

pix(config)# route outside 0 0 44.45.102.3

pix(config)# route inside 192.168.0.0 255.255.0.0 192.168.5.1

pix(config)#static(inside,outside) 44.45.102.3 192.168.10.3

netmask 255.255.255.255 0 0

4 结 论

随着现代信息技术的发展和深入应用，防火墙技术水平得到了极大提升，如智能防火墙、嵌入式防火墙、分布式防火墙等技术也得到了广泛运用，在预防黑客攻击、实现远程办公、解决内部网络攻击等方面发挥了巨大作用。不同防火墙技术的优势不同，因此不同的防火墙技术适用的领域也有所区别。为实现对计算机网络的有效保护，可根据具体需要设计混合型防火墙，更好地保障网络的使用安全和效率。