浅谈网络中的防火墙技术

王巨松 仲华

抚顺职业技术学院（抚顺 113123）

现在，网络中存在着的安全服务有两种，第一种是存取控制，指不允许不合法的通信和联网，第二种是在通信安全服务中所给予的数据要具有可信性和完整性，在对等的通信者进行访问时拥有否定权，应用防火墙技术，就是完成上述所说的安全服务的主要方法之一。

1 防火墙概述

所谓 “防火墙”，其实是指一组或一个软硬件系统，按照各种要求来保护网络，所提出的要求可以是规定的网络服务也可以是规定的应用的程序，也可以是规定的目标地址和源地址。防火墙其实是一种隔离方式，它会把internet与内部网分开。防火墙能同意经允许的数据和人进入网络中，而且将不被允许的数据和人拒绝进入网络，，有效地禁止网络中所说的黑客来进入网络中，阻止黑客来破坏的数据信息等。

防火墙技术有三个发展阶段，先是包过滤技术，然后是代理技术，现在是状态监视技术。

2 防火墙的基本功能

2.1 网络访问控制

网络防火墙可以限制网络与内部网间的网络访问。没有防火墙时，内部网络内部的全部主机都可以通过网络直接访问，非常容易受到来自各个地方黑客的攻击。内部网的网络防火墙就是一个了咽喉要道，内部网络将非法用户隔离在外。

2.2 网络地址转换

防火墙设计良好时可以拥有地址转换功能，网络地址转换服务包含两个目的:同意内部网络中的没有注册的 IP 地址去访问 internet上的外部网络，内部网络的IP 地址资源非常紧张时会十分有用。内部网络的IP 地址可以隐藏起来，尽管这部分 IP 地址经过了注册， 网络地址转换服务能够防止内部的IP 地址暴露出来，使它们不会成为被潜在攻击的目标。网络地址转换服务还可以提供给内部网的计算机单一的 IP 地址，能够隐藏internet服务器的真实地址，同时对公共网络提供访问。

2.3 事件记录和通知

当内部网络系统遭到攻击时，防火墙可以因为它地处咽喉的优点来完整的记录网络通讯，能够查到安全漏洞所在。使用报警机制的防火墙可以检测到可疑活动，实时地通知网络管理员。

2.4 防火墙的分类

(1) 按实现的网络层次分类。网络采用 T CP/IP协议，在不同网络层次上设置的电子屏障形成了很多类型的防火墙：包过滤型防火墙、电路网关和应用网关。

(2) 按实现的硬件环境分类。按照防火墙的硬件环境的实现，可以分成基于路由器的防火墙以及基于主机系统的防火墙。包过滤防火墙可以由路由器或者是同主机系统来实现，可以电路级网关还有应用级网关却只能由主机系统来实现。

(3) 按拓朴结构分类。根据拓朴结构防火墙可以被分为双穴网关和屏蔽主机网关还有屏蔽子网网关三。

2.5 防火墙的特性及局限性

正常情况下，一个计算机或软件并不就能构成一个防火墙系统，一套软硬件才能构成，防火墙有如下特性：除非明确允许才能支持，否则所有服务设计策略都会被拒绝。能够很灵活，并且适应新的服务。能够包括高级鉴别机制或许也能够增加高级鉴别机制。应该应用过滤技术来同意或拒绝对某个指定主机的访问。过滤手段应该灵活、友好，而且容易编程。

防火墙的局限性是不能对不经由防火墙的攻击进行防范，一旦内部网用户从Internet 服务器提供商那里直接购置的 PPP连接，却绕过了防火墙系统的安全保护，由此一个潜在的攻击渠道产生了。人为因素的攻击不能被防火墙所防范，因口令泄露而受到的攻击不能被防火墙所阻止，被病毒感染的软件和文件也不能被防火墙不能阻止传输;数据驱动式的攻击也不能被。

2.6 防火墙的安装

(1)首先安装防火墙引擎

防火墙引擎在防火墙中对通讯实施过滤，来实现管理服务器所安排的管理要求的组件。在网络中，防火墙引擎被安装于网络的网关，在网络中，两个模块组成了各个引擎：内核模块以及用户模块。

防火墙管理员制定规则后，IP包被内核模块引擎截获后进行过滤，用户模块和管理服务器开始通讯并控制和监视及支持内核模块，由于每个防火墙只能有一台防火墙服务器被注册，所以只有这台服务能进行管理，每个防火墙引擎应用的防火墙策略都必须编译为二进制形式，然后推入防火墙引擎。

(2)其次安装管理服务器

防火墙存储策略注册后的的中央数据库就是管理服务器。它还保管着其他相关的信息，有网络服务定义、收集到的报警消息、防火墙管理员证书、另外还有防火墙时检测信息等等。管理服务器还负责实施防火墙的用户验证，按照所选定的验证类型(0S 或RADIUS)，登录证书被管理服务器接受并为引擎实施验证。

(3)最后安装Java GUI 管理客户端

管理服务器的图形用户界面就是管理客户端。因为管理客户端应用的Java，所以要求安装客户端的计算机中一定要装有Java 运行环境。管理客户端能够和管理服务器一起安装，也能够和其他与管理服务器一起安装在有TCP/IP连接的主机上。管理客户端能够连接到所有的管理服务器，但一定要有相应的权限。当用户从管理客户端登录到管理服务时，根据相应的登录证书，经过验证后，就可以提供了一条安全通道给这次会话。

防火墙是网络安全的一种防范手段，而且应用得非常广泛，它有很多的功能，比如可以承担对主机和应用的安全访问工作；承担多种客户机及服务器的安全保卫工作；保卫关键部门防御来自内部和外部的攻击、为网络中和进行远程访问的各个用户及供应商提供安全通道等等。一定要特别强调，防火墙技术在网络的安全保护的应用中不是万能的，它自己就存在着被非法入侵等安全风险，网络安全是一个综合性课题，需要在今后的实践中不断的摸索和创新。