防火墙技术浅析

摘　要：在互联网飞速发展的今天，网络对人们的工作和生活的影响越来越大，威胁网络安全的因素也越来越多。防火墙作为保证信息安全的第一道有效技术，也受到了极大的关注。各种防火墙技术的工作原理是本文讨论的重点。

关键词：防火墙；防火墙原理；信息安全

　　随着计算机网络技术发展，计算机与信息技术从整体上影响着社会发展的进程，引发了一场空前的技术革命。但网络安全也进一步遭到威胁。各类信息网络违法犯1罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。目前新一代的计算机病毒将具有更多智能化的特征。防火墙是防御外来攻击的第一道防线，是一种防御网络攻击的技术。故简要探究防火墙技术的特点和工作原理是非常必要的。
一、防火墙的概念
　　在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术，它使得内部网络与外部网之间设立唯一的通道，不让那些来自不受保护的网络中哪个多余的未授权的信息进入专用网络（如LAN或WAN），而仍能允许本地网络上的用户访问因特网，并简化网络的安全管理。
1. 包过滤防火墙
　　1) 包过滤防火墙的工作原理
　　包过滤是第一代防火墙技术。其技术依据是网络中的分包传输技术，它工作在OSI模型的网络层。包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包进行过滤)。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。
　　2) 包过滤防火墙的优缺点
　　优点：能够协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高、价格较低。
　　缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；不能防范黑客攻击，不支持应用层协议，不能处理新的安全威胁。
　　包过滤防火墙技术虽然有许多优点，但本身也存在较多缺陷，不能提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解决方案，而是把它与其他防火墙技术揉合在一起使用。
2. 代理防火墙
　　代理防火墙也被称为代理服务器是第二代防火墙技术，它位于客户机与服务器之间，完全阻挡了二者间的数据流，所以它的安全性要高于包过滤防火墙产品。
　　1) 代理防火墙的原理
　　从图1中可以看出，代理服务器作为内部网络客户端的服务器，它拦截所有客户端要求，也向客户端转发响应；代理客户负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。代理服务器会像一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。

　　2）代理技术的优缺点：
　　优点：安全性较高。
　　缺点：代理速度较路由器慢；对用户不透明；系统管理复杂；代理不能改进底层协议的安全性。
3、监测型防火墙
　　监测型防火墙是新一代产品，能够对各层的数据进行主动的、实时的监测。
　　1）监测型防火墙的工作原理
　　监测型防火墙采用了一个在网关上执行网络安全策略的软件引擎——检测模块，在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，并动态地保存起来作为以后指定安全决策的参考。
    2）监测型防火墙的优缺点
　　优点：一是检测模块支持多种协议和应用程序，容易实现应用和服务的扩充。二是监测RPC和UDP之类的端口信息。三是性能坚固。
　　缺点：配置非常复杂；会降低网络的速度。
　　虽然监测型防火墙在安全性上最高，但由于其实现成本较高，不易管理，所以目前仍然以第二代防火墙为主。
三、结论
　　防火墙在网络安全中的重要性是不言而喻的，选择合适的防火墙是在组建网络时应首先考虑的问题。总之，只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。而在选购防火墙的时候主要应该从防火墙的安全性、性能和适用性等因素出发，选择适合的产品。
参考文献：
.北京：清华大学出版社，2007