防火墙的分类和作用

电脑编程技巧与维护　防火墙的分类和作用　戴蓉　，黄成　（１．中国民用航空飞行学院计算机学院，广汉６１８３０７；２．四Ｊｔｌ￣＿程职业技术学院，德阳６１８０００）　摘要：阐述防火墙的基本概念，对当前比较广泛应用的防火墙进行分类，阐述了防火墙在信息时代网络中的作用。　关键词：防火墙；互联网；分类与作用　Ｃｌａｓｓｉｉｃａｔｉｆｏｎ　ａｎｄ　Ｒｏｌｅ　ｏｆ　ｔｈｅ　Ｆｉｒｅｗａｌｌ　ＤＡＩ　Ｒｏｎｇ　，ＨＵＡＮＧ　Ｃｈｅｎｇ　（１．Ｓｉｃｈｕａｎ　Ｃｉｖｉｌ　Ａｖｉａｔｉｏｎ　Ｆｌｉｇｈｔ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｃｈｉｎａ，Ｇｕａｎｇｈａｎ　６１８３０７；２．Ｓｉｃｈｕａｎ　ｅｎｇｉｎｅｅｒｉｎｇ　ｔｅｃｈｎｉｃａｌ　ｃｏｌｌｅｇｅ，Ｄｅｙａｎｇ　６１８０００）　Ａｂｓｔｒａｃｔ：Ｅｌａｂｏｒａｔｅｄ　ｔｈａｔ　ｆｉｒｅｗａｌｌ　ｓ　ｂａｓｉｃ　ｃｏｎｃｅｐｔ，ｃａｒｒｉｅｓ　ｏｎ　ｔｈｅ　ｃｌａｓｓｉｉｆｃａｔｉｏｎ　ｔｏ　ｔｈｅ　ｃｕｒｒｅｎｔ　ｑｕｉｔｅ　ｗｉｄｅｓｐｒｅａｄ　ａｐｐｌｉｃａｔｉｏｎ＇ｓ　ｉｆｒｅｗａｌｌ，ｅｌａｂｏｒａｔｅｄ　ｆｉｒｅｗａｌｌ＇ｓ　ｉｎ　ｉｎｆｏｒｍａｔｉｏｎ　ａｇｅ　ｎｅｔｗｏｒｋ　ｆｕｎｃｔｉｏｎ．．　Ｋｅｙ　ｗｏｒｄｓ：Ｆｉｒｅｗａｌｌ；Ｉｎｔｅｒｎｅｔ；Ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ａｎｄ　Ｆｕｎｃｔｉｏｎ　ｌ概念与准则　防火墙是一个或一组系统，它在网络之间执行访问接受　２．１包过滤型　包过滤防火墙的应用原理就是执行拒绝或者是允许的命　令对每个接收到的包。它的内部有一套严格的判定规则，对　每一个数据包的报头都进行过滤，符合判定规则的数据包就　会由路由信息继续转发，与判定规则不匹配的就会被丢弃。　这种包过滤的命令执行是在ＩＰ层运作的，在该层级主要的判　读信息包括源ＩＰ地址、协议类型（ＴＣＰ包、ＵＤＰ包、ＩＣＭＰ　或者是拒绝的命令控制。每一种防火墙的实际运行方式都是　略有不同的，但是在原则上，防火墙都有着比较一致性的运　行原理机制：一种机制是拒绝传输流通行；另一种机制是接　受传输流通过。不同类型的防火墙的侧重点不同有的可能偏　重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通　过。当防火墙扫描通过网络的通信流经过时，就可以过滤掉　一包）、目的ＩＰ地址、源端口、目的端口等。除了上述信息作为　过滤筛查的目标外，很多服务业包含在内，这样的服务主要　是特定的服务，它会在ＴＣＰ／ＵＤＰ端口设置固定的服务目标，　所有进入特定服务的连接都会被阻断，然后防火墙就会执行　些危害性的或者有攻击性的信息，这样就可以阻断攻击性　网址在目标计算机上的执行。另外，防火墙还具有一个就是　可以关闭不使用端口的功能。同时它也可以对特定端口的流　出通信有针对性地进行禁止的命令，目的是对携带威胁性的　特洛伊木马进行封锁。最后，对所有不在它的定义范围内的　站点都能禁止访问，这样就可以阻断所有不明入侵者的进入　和访问。　对特定ＴＣＰ／ＵＤＰ目的端口的信息进行丢弃。　２．２应用级网关型　应用级网关的工作原理是通过建立协议，进而实现信息　的过滤和转发，而实现这个功能的地方就是网络应用层，对　于网络应用层的安全性有大大的提高作用。它在执行数据逻　防火墙遵循的基本准则有两点。第一，它会拒绝所有未　经说明允许的命令。防火墙的审查基础的逐项审阅，任何一　个服务请求和应用操作都将被逐一审查符合允许的命令后才　可能执行，这样的操作方法为保证内部计算机安全性提供了　切实可行的办法。反而言之，用户可以申请的服务和服务数　量是有限的，提高了安全性的同时也就减弱可用性。第二，　它会允许所有未经说明拒绝的命令。防火墙在传递所有信息　的时候都是按照约定的命令执行的，也就是会逐项审查后杜　绝潜在危害性的命令，这一点的缺陷就是可用性优于安全性　的地位，但是增加安全性的难度。　辑过滤时，会依据特定的网络应用协议，一边进行信息安全　的过滤一边分析检测数据包，同时在检测过滤的过程中进行　登记和统计，从而生成数据分析意义的报告。　２．３代理服务型　代理服务型防火墙的设计就是为了弥补包过滤和应用级　网关技术存在的缺陷而存在的，它的工作原理就是划整体为　部分，它把网络通信链分成两部分。对于外部计算机的它只　允许网络链路到达代理服务器，从而起到外部计算机威胁性　带给内部计算机的危害。另外，代理服务器也会同应用级网　关防火墙一样，一边进行信息安全的过滤一边分析检测数据　包，同时在检测过滤的过程中进行登记和统计，从而生成数　据分析意义的报告。一旦有被攻击的迹象出现，代理服务器　２　类型　防火墙的分类方法有很多种：依据不同的应用对象，可　以分为个人防火墙和企业级防火墙；按照不同的技术方法，　可分为硬件、软件和软硬一体化防火墙；依据防火墙不同的　防御方式，防火墙产品又可分为包过滤型防火墙、应用级网　作者简介：戴蓉（１９７７一），女，讲师，硕士，研究方向：计　算机仿真、数据库技术、多媒体技术；黄成（１９７５一），男，　关型防火墙和代理服务型防火墙。下面就对比较常见的防御　类型分别进行描述如下：　讲师，学士，研究方向：网络工程、信息安全，网络编程。　收稿日期：２０１０—１２—２０　等　ＣＯＭＰＵＴＩＮＧ　ＳＥＣＵＲＩＴＹ　ＴＥＣＨＮＩＱＵＥＳ　计算机安全技术　会向网络管理员发出警报。　的所有用户的注册名、真名，最后登录时间和使用ｓｈｅｌｌ类型　３　作用　等信息就受到保护了，也就降低了外部的攻击侵入。同样，　３．１网络安全屏障　防火墙对内部网络中ＤＮＳ信息的阻塞，也避免了主机域名和　防火墙对内部网络环境安全性起着极大的提高意义，它　ＩＰ地址的外泄，有效了保护内部信息的安全。　作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网　４结语　络内部环境的风险。因为所有进入网络内容的信息都是经过　防火墙的应用已经受到企业甚至个人的青睐，它是安全　防火墙精心过滤过的，所以网络内部环境就非常的安全可靠。　防范内部网与外部网安全的最好选择。但是，尽管在技术上　例如，ＮＦＳ是一个不安全协议，防火墙可以过滤点该信息，　防火墙起着有效的和强有力的安全防御作用，也绝不是一个　不允许该协议进入受保护的网络，这样外部的攻击者就无法　牢而不可破的防火墙。因为网络技术还在不断地更新发展，　进入内部网络进行攻击侵害。防火墙同时可以保护网络免受　同时网络的扩侵及攻击技术也在日异强化，网络攻击技术与　基于路由的攻击，如ＩＰ选项中的源路由攻击和ＩＣＭＰ重定向　安全防护技术是相对立而又统一的，网络攻击永远止境，网　中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的　络安全也要无限发展，网络带来方便的同时，也给安全带来　报文并通知防火墙管理员。　了威胁，某些人会始终以通过网络窃取信息作为兴趣或者职　３．２网络安全策略　业。关注网络安全技术的发展，将最新的安全技术运用到实　如果对网络安全配置上以防火墙为中心，就可以让口令、　际应用中，才是作为一个技术人员的最终目的。　加密、身份认证、审计等安全软件配置在防火墙上。防火墙　参考文献　的这种集中安全管理与各个主机分散控制网络安全问题相比　【１］李晓峰，张玉清，李星．Ｌｉｎｕｘ　２．４内核防火墙底层结构分　更比较经济实惠。另外，防火墙的集中安全控制也避免了一　析［Ｊ］．计算机工程与应用，２００２，（１４）．　次一密口令系统和其他的身份认证系统分散在各个主机上的　【２】罗浩，云晓春，方滨兴．一种基于嵌入式协议栈的内容过　麻烦。　滤防火墙技术ｆＪ］．计算机工程与应用，２００２，（ｉｓ）．　３．３进行监控审计　【３］陈科，李之棠．网络入侵检测系统和防火墙集成的框架模　防火墙有着很好的日志记录功能，它会记录所有经过防　型ｆＪｌ计算机工程与科学，２００１，（ｏ２）．　火墙访问过的记录，更能够把网络使用情况的数据进行汇总　［４］宿宝臣．透明代理机制分析及其Ｌｉｎｕｘ实现『Ｊ】．山东理工　分析，从而得出网络访问的统计性数据。如果访问的数据里　面含有可疑性的动作，防火墙会进行报警，显示网络可能受　大学学报（自然科学版），２００３，（０４）．　到的相关的检测和攻击方面的数据信息。另外，它还可以通　［５】孟晓景，井艳芳，张瑜．Ｌｉｎｕｘ内核Ｎｅｔｉｆｌｔｅｒ防火墙原理与　过访问数据的统计提供某个网络的使用情况和误用情况，为　设计［Ｊ］．山东科技大学学报（自然科学版），２００４，（０２）．　网络使用需求分析和网络威胁分析提供有价值的参考数据，　［６】李艳玲，国增平．防火墙技术在计算机网络安全中的应用　３．４防止内部信息的外泄　研究［Ｊ］．黑龙江科技信息，２００９，（２２）．　防火墙可以把内部网络隔离成若干个段，对局部重点网　［７］刘宏培，余斌．浅析防火墙的安全技术策略［Ｊ］．中小企业　络或敏感网络加强监控，全局网络的安全问题就不会因为局　管理与科技（下旬刊），２００９，（０５）．　部网络的一段问题而受到牵连。另外，防火墙对Ｆｉｎｇｅｒ、ＤＮＳ　等服务显示的内部细节数据进行隐蔽，这样由于Ｆｉｎｇｅｒ显示　（上接第９７页）　从ＬＡＮ内部的攻击，若是内部的人和外部的人联合起来，即　使防火墙再强，也是没有优势的。它甚至不能保护免受所有　参考文献　那些它能检测到的攻击。随着技术的发展，还有一些破解的　ｆ１］梁亚声．　计算机网络安全教程．机械工业出版社．　方法也使得防火墙造成一定隐患。这就是防火墙的局限性。　『２】互联网　浅谈计算机网络安全问题．深圳书城电脑培训中　５　结语　心．　总之，计算机网络安全与网络的发展戚戚相关。计算机　【３】互联网．　信息加密技术．百度百科．　网络安全是一个复杂的系统的工程，涉及技术、治理、使用　『４］于增贵．　加密算法分类集锦．计算机与网络．１９９５，０２．　等许多方面，既包括信息系统本身的安全问题，也有物理的　『５１段钢．　加密与解密．第３版．电子工业出版社．　和逻辑的技术措施，还要意识到计算机系统是一个人机系统，　［６］斯廷森　（Ｓｔｉｎｓｏｎ，Ｄ．Ｒ．）　密码学原理与实践．电子工业　安全保护的对象是计算机，而安全保护的主体则是人，应重　片蜃料　视对计算机网络安全的硬件产品开发及软件研制，建立一个　［７１贾铁军　网络安全技术及应用实践教程．机械工业出版　好的计算机网络安全系统，应注重树立人的计算机安全意识，　抖　才可能防微杜渐。　器