防火墙技术在计算机网络安全管理中的应用

摘 要：防护墙技术是目前最重要的一种网络性质的防护设备。防火墙技术作为计算机内部网络和外部网络相互连接的一道屏障，能够很好的保护网络安全。下面本研究首先介绍了防火墙技术的发展状况和工作原理，然后分析了防火墙技术在计算机网络安全管理中应用的优缺点，并为计算机网络安全提出最新的防护技术，以供参考。

关键词：计算机；网络安全管理；防火墙技术

中图分类号：TP393.08

随着计算机技术的快速发展和应用，加快了信息技术的变革和创新，尤其是在近几年的发展过程中，计算机技术得到了全国性的普及，并且计算机技术和网络资源已经形成了非常有效的联合。尽管，网络技术的快速发展带动了人们生活模式和节奏的转变，改善了数字化校园的环境，但是网络资源在没有防护或部分防护的情况下，仍然遭受到不同种类的黑客攻击，因此造成网络资源的破坏和丢失。为此，应加强现代网络资源的保护。

1 防火墙技术发展状况分析

随着新技术的发展和创新，现代化的防火墙技术已经具备了防御外部不良网络资源的同时，对于系统内部的操作有一定的过滤行为，但是防火墙只能够允许符合安全策略的通信。但是为了更高的提高防火墙的防御功能，必须具备过滤所有数据的能力。这也是世界网络技术界对防火墙技术的创新，接下来笔者向大家介绍两种最为常见的网络防护技术。第一种是包过滤型防护墙技术，这种包过滤型防火墙技术工作原理是建立在OSI网络参考模型中的网络层和传输层之间，可以依据不同的数据包源头地址和端口号数据等安全标志判断和分析是否通过。只有满足了这种过滤条件的数据包资源才有可能被转发到需要的目的地，那么其余没有通过的数据包资源就会被挡在外部。第二种是应用型防火墙技术，这种防火墙技术的工作原理是在OSI网络层中的最高层，就是常说的应用层。最大的特点就是完全阻断了网络通信流的数据，通过对每一种应用服务专门编制的程序，实现监督的作用和控制的作用。除了这两种防火墙技术之外，还有很典型的边界防火墙技术和混合防火墙技术等

2 防火墙技术的工作原理

2.1 包过滤型防火墙技术的工作原理

包过滤型防火墙技术的工作原理是通过若干条规则组合而成，然后提供给用户让用户进行自主的选择和设置，但是必须由网络经验非常丰富的网络技术人员对其进行操作和搜集最新的被攻击信息，然后通过加载信息，比如说名称、说明和协议等，包含了所有数据包出入防火墙的过滤方法。对于IP包过滤型技术工作的原理是根据IP数据包的信息，比如说IP地址和IP传输的目的地等进行相应的过滤，如果说在IP数据中加装了封装的TCP或者是ICMP协议的，需要根据这些特殊的协议进行特殊的过滤。应用层的协议主要包括了RPC应用服务过滤和FTP过滤等，主要的操作过程是：防火墙可以根据不同文件的组成格式，判断这个文件的初始地址、目的地地址和文件保存的具体时间、文件的特点和长度等信息，然后根据每个文件不同样的端口数据，对其进行最终的检测、截获和扫描工作。

2.2 应用型防火墙技术的工作原理

在应用层提供服务：服务是在确定了用户的连接请求之后，然后向服务器发出相关的请求，然后服务器根据服务器的要求，对用户端提出的请求作出应答。为了确定连接时的时效性和唯一性，在进行工作的时候需要维护服务器的数据和连接表，为了更好的确定和提供授权，服务器会适当的维护一个扩展字段的集合。在传输层提供服务：说的是防火墙技术会允许FTP的指令对某些指定的文件允许通过。用过户类型技术就是应用层在这个时候具有高级的能力，比如说POP3和HTTP等。支持网络地址的相互转换，简称NAT，意思就是可以将一个IP地址反映到另一个IP地址中，然后为终端的服务器提供路由的服务。NAT方法经常用在办公区域或者是私有区域，目的是更好的解决IP地址不够用的问题。

3 优势和不足

3.1 包过滤型

优势：通过一个过滤路由器就可以对整个网络系统形成保护，数据包在过滤的时候完全对用户透明，并且过滤路由器的工作效率非常高，过滤速度非常快。

不足：没有办法彻底的防御地址欺骗的问题，并且有些应用协议并不适合利用数据包的方式进行过滤。没有非常有效的方法应对黑客的攻击和侵袭，完全不支持应用层协议。

3.2 应用型

优势：网关可以直接隔断内网和外网之间的联系，内网用户对外网进行访问的时候直接转换成防火墙对外网的访问，然后防火墙通过技术的判定之后会转发给内网用户。所有的通信数据都必须通过应用层的专业软件完成，访问者任何时候都没有办法和服务器建立直接的TCP关系，并且整个应用层的协议会话都是完全符合安全策略规定的。而且在检查传输层、应用层和网络层之间的协议特征，对于数据包的检测能力非常强。服务的时候会对每一项数据信息及时记录，工作的灵活性和全面性可以有效的控制进出应用层的内容和流量。

不足：工作的速度相对于路由器工作速度慢，的过程对于用户是完全隐蔽的，对于不同的服务会要求使用不同的服务器，服务没有办法改进底层协议的安全性，适应能力比较弱。

4 最新的防护技术

（1）数据连接路层是TCP/IP协议的最低层，这个层面的常规功能是对于上层数据进行物理帧的拆封和密封，还有对硬件信息的搜寻和管理。在新型的防火墙技术中，数据连接路层除了上述简单的功能之外，还加设了监听网络数据和直接读卡的功能。（2）对于IP层的处理相对来说很复杂，而且需要进行非常多的安全工作。假如说在非常极端的情况下，可以修改IP地址的报头，增设安全机制的数量，但是考虑到系统的兼容性能，不能选择这样的方法，而是转而利用了包过滤型防火墙技术和ICMP所提供的相关功能。但是随着安全技术的不断发展，我们选择第一种方法，前提是必须有路由器的支持。IP层面临的最大问题就是IP地址的欺骗，并且很多上层结构中存在很多的IP欺骗隐患，比如说常见的就是DNS地址的欺骗。在IP层的安全防护工作依据就是根据地址的信息和目的地址的过滤，这个作用在大多数的路由器当中已经得到了实现，但是本系统中的IP层的主要任务就是：地址的过滤、地址和MAC之间的绑定和禁止地址的欺骗。

ICMP在网络防火墙技术当中的主要作用是：对于隐藏在子网内的主机信息进行有效的控制。ICMP虽然说在这个方面有一定的作用，比如说差错报告等，但是也存在很大的安全隐患。一般对外部环境来说，ICMP都应该禁止，因此对于隐藏子网内的主机信息采取了三种不同的策略：第一种是对主机内部的ICMP包可以转发，在转发的时候已经改写了IP源地址，使得外部访问者没有办法看到真正的内部IP地址。第二种是对ICMP请求包全部抛弃。第三种是当内部有请求指令的时候，才可以动态的和外部主机进行连接，并且一些ICMP的威胁安全相应也应该抛弃，比如说路由器的ICMP包。

5 结束语

通过上述材料的分析，随着计算机技术的不断发展，使得现代的人们对于信息资源的依赖性过于紧密，这是影响了防火墙技术的高速高效的发展，这就要求现在的防火墙技术必须将计算机技术和网络技术联合在一起，才可以在硬件和软件方面同时抵御和保护计算机资源。

参考文献：

[1]徐文君.计算机网络安全管理分析[J].河南科技，2013（2）：123-124.

[2]赵俊.浅谈计算机防火墙技术与网络安全[J].成都航空职业技术学院学报：综合版，2012（4）：79-80.

[3]曹秀娟.防火墙技术在校园网络安全管理中的应用[J].计算机安全，2010（12）：143-145.

[4]王莉.网络安全与防火墙技术[J].内江科技，2007（6）：13-17.

作者简介：刘彩梅（1976.10-），女，云南丽江人，工程师，云南大学在职研究生。

作者单位：云南丽江师范高等专科学校，云南丽江 674100