防火墙技术概论

　　摘要：随着互联网技术的飞速发展，防火墙技术已经是现代化网络安全最有效果的一种方法，本文介绍了发防火墙的概念，并在此基础上主要汾西路防火墙技术和防火墙的种类。

　　关键词：防火墙技术；防火墙

　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599（2012）19-0000-02

　　作者：焦晓雨

　　1防火墙的概念

　　防火墙一词是古代延伸而来的，在古代人们为了防止天灾的发生和天灾的蔓延，使用坚硬的物体放在一起作为屏蔽，这种屏蔽就叫做防火墙。在现代，防火墙是指内部网和Internet分开的一种方法，是一种防御系统，也是目前最重要的一种网络防护的手段。它通过设定的安全措施来对各个网络之间的数据进行检测，从而决定哪个网络需要访问，哪个网络不能访问。

　　2防火墙的基本原理

　　防火墙的原理是数据信息的隔离掌控作用，它是一个数据分析系统，也是一个数据流限制系统。防火墙技术主要目的是实现一个安全的网络环境，它要求凡是进出网络的信息包和数据包都一定要有授权、计划和策略，从而达到内网与外网的分离。

　　3防火墙的技术和种类

　　3.1防火墙技术

　　防火墙的技术分成深度数据包处理技术、网络地址转换技术、代理技术、SOCKS技术、虚拟专用网技术和状态检测技术等。

　　（1）深度数据包处理技术。深度数据包处理技术是把多个相关联的数据包统一放在一个数据流里面使其保持平稳的状态，在受到攻击或者发生异常时，还要保证这个数据流可以平稳运行，所以它对处理要求的速度、检测、分析和组装都异常的高，为了避免使用应用时间的延迟，需要毒地处理要求进行整体的提升。

　　（2）网络地址转换技术。网络地址转换技术也称之为NAT，它可以分成静态地址转换技术、端口级地址转换技术、地址转换技术池和三种。

　　网络地址转换技术是指把IP报头上没有经过合法注册的IP地址换成经过合法注册的IP地址，让范围内的所有主机可以自由的在局域网上访问Internet。而网络地址转换技术的作用是在隐藏了计算机主机的真正网络地址的同时，也顺利解决了地址不足够的问题，其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。网络地址转换技术的优点是保证了网络的安全，让黑客没有办法对网络进行直接的攻击。

　　（3）代理技术。代理技术是指在征求网络管理员的意见之后，接受或者阻止设置在网络防火墙上的代码，在现实生活中用于数据的报告、数据的监控、数据的记录和数据的过滤等方面。代理技术的工作过程相对简单不是特别复杂，简单来说就是代理用户与服务器之间数据的转发，首先必须确定用户和服务器必须连接，然后把目标网络点告知代理服务器，并发出连接请求，最后代理过滤请求的合法性，只有请求合法代理才能以应用层网关的身份与目标网络点连接。

　　代理技术的优点是有状态性，可以提供日志功能、审计功能和完全的信息传输功能，并且可以隐藏遗留的IP地址，实现了更稳定、更全面的安全策略。每一个代理技术都有一个针对的特定应用，使代理选择更自由，如网络管理员可以选择安装自己需要的代理。每个代理之间不会相互影响，哪怕有一个代理出现问题也不会阻碍其他的功能，只需要把有问题的代理卸掉，就能保证代理模块整体的正常工作，也保证了防火墙不会因为失效而出现安全问题。

　　（4）SOCKS技术。SOCKS是目前比较新的协议标准，它主要针对电路层网关。SOCKS是指在防火墙上运行的代理服务软件包与各个网络连接的程序库文件包所组成的系统，它只针对于TCP服务包，这样的结构可以使代理软件的选择更自由，根据个人的需求来制定相对应的代理软件。

　　（5）虚拟专用网技术。虚拟专用网技术也称之为VPN，它是一种通信方式，是利用公共网络来对数据包进行加密和检查的，所以虚拟专用网技术可以实现远程用户、企业的分公司、供货商和商业伙伴与合作企业所在的内部网，进行信息和数据的连接，并保证这些数据流安全传输。

　　（6）状态检测技术。状态检测技术也称之为动态包过滤技术，是在包过滤的基础上进行的功能扩展，目前已经是整体性能和安全性能最好的一种防火墙技术，它是利用检测模块来建立的。检测模块就是一个软件引擎，它的功能就是对各个层次的网络通信进行安全监控。检测模块运行的前提是不能影响正常的工作，在此前提下对数据进行随机的抽取，并以动态的形式保存起来。

　　3.2防火墙的种类及功能

　　防火墙的技术实现有以下五种，网络级防火墙、电路级网关、应用级网关和混合型防火墙。每一种的功能和使用都不同，具体情况要进行具体分析。

　　（1）网络级防火墙。网络级防火墙也称之为包过滤型防火墙，它是判断每个地址端口和IP源地址、协议能否通过。随着网络的发展，一个路由器就能代表一个包过滤型防火墙，这种防火墙配置简单，安全系数偏低，绝大部分的数据都能通过路由器并进行转发，但是对于数据的IP地址的方向判断不清。

　　越先进的路由器，其自带的防火墙也越先进，它可以快速的判断出数据包的合法性。网络及防火墙的功能有三种，在路由器的数据转发和选择的时候实施包过滤、在工作开始的站点上实施包过滤和在屏蔽路由器开始工作时实施包过滤。

　　（2）电路级网关。电路级网关的重要作用是监视、控制受信任的用户与网络服务器，而对于不受信任的TCP进行握手，以此来决定该行为是否合法，它比网络级防火墙和应用级网关都要高。

　　电路级网关的优点是，它本身有一个自带的代理服务器的防火墙，这个防火墙是通过地址转移来运行的，把用户所有的IP地址都反射到安全地带，它的缺点是，无法实现数据包的检查，运行时必须要联合其他应用级网关才能启动。

　　（3）应用级网关。应用级网关是目前安全性能比较好的一种防火墙技术，它有较好的选择控制和访问控制，但相对的缺少透明程度，实现比较困难。应用级网关是通过对网关数据的复制和传送来检查数据包的，它可以切断用户与不受信任服务器之间的联系，有效的保护用户的网络数据安全。

　　应用级网关虽然可以做一些比较复杂的访问、协议、控制和注册，但它所需要的代理软件也相对比较复杂，并且时间长、工作量大，运行效率偏低，在使用时，会经常出现访问时间延长或者多次登录的情况。

　　（4）混合型防火墙。混合型防火墙是一种新的突破，它综合了透明度、代理和检测三种功能，把过滤和预防全部集于一体，也结合了包过滤型防火墙的OSI网络层端口和IP地址上进行数据包的过滤、电路级网关的序列数字与SYN和ACK之间的比对和应用级网关的对数据包在OSI应用层的检查。混合型防火墙不仅包括传统的网络流量检测和应用层扫描，还包括OSI的第七层检测。

　　混合型防火墙的优点是独立的存在，不依靠其他的应用层网络，而是依据一种算法来进行数据包的过滤，其缺点是不能打破用户机和服务机的数据包分析，使得不受信任的网络和受信任的用户进行连接。

　　4结束语

　　防火墙作为网络安全的基本手段和安全措施，是一项非常复杂的工程，随着研究课题的不断增多，防火墙技术也不断在变化，变得对信息包和数据包更容易通过和识别，使应用级防火墙朝着透明化和简单化方面发展。