基于計算機網絡的防火墻技術及實現

摘? 要：當前，隨著信息技術的快速發展，計算機網絡的應用范圍越來越廣，各行各業都將信息化發展作為未來行業發展的必然趨勢，并且計算機網絡的應用為許多行業帶來了不可忽視的經濟效益。然而在這一時代背景下，計算機網絡也處于危險的環境之中，既要防止計算機網絡遭到入侵，同時也要保護個人信息、企業信息的安全性，該文將對基于計算機網絡的防火墻技術及實現進行深入討論。

關鍵詞：計算機網絡? 防火墻技術? 實現

中圖分類號：TP39 ? ?文獻標識碼：A 文章編號：1672-3791（2020）04（c）-0012-02

在信息技術的不斷發展下，人們逐漸進入到了信息化時代，而在這一時代背景中，計算機網絡作為信息傳播的重要媒介，不僅要確保信息資源的時效性，同時還要保證計算機網絡的安全性。其中防火墻技術作為當前主要使用的網絡安全防護技術，它不僅價格低廉，同時還衍生出許多新式且高效的計算機網絡安全防護手段。

1? 現階段計算機網絡所面臨的威脅及安全隱患

在分析基于計算機網絡的防火墻技術前，文章首先對現階段計算機網絡所面臨的威脅以及存在的安全隱患進行概述，以此來尋找防火墻技術的實現方向。

所謂的計算機網絡就是指能夠隨時隨地通過一些計算機設備或者外部設備，通過互聯網連接到一起，從而實現對于網絡系統以及各種軟件的管理和操作，并且在有關于網絡通信使用的規范標準和管理下，實現信息資源傳播和共享的計算機系統。而計算機網絡安全則是指在上述計算機網絡工作過程中，確保網絡系統不會遭受到來自外界的惡意的系統破壞、入侵等問題的發送。而計算機網絡安全的防護一般分為兩個方面，分別是確保信息的時效性、完整性、保密性的信息安全防護以及避免計算機設備受到來自于外界的（火災、水災、爆炸等）破壞的物理安全防護[1]。

隨著信息技術的不斷發展，網絡在升級換代的同時，計算機網絡所面對的威脅也越來越多樣化，其中主要有黑客攻擊和病毒侵入這兩類。而這兩類威脅所攻擊的對象也越來越多，除了攻擊計算機設備外，還包括傳播信息的互聯網、所傳播的信息等。攻擊的原因也分為惡意攻擊、操作失誤、網絡軟件的漏洞等。

2? 對于防火墻技術的概述

防火墻技術就是指應用于計算機網絡，確保計算機網絡在使用過程中不會受到惡意侵犯的手段，防火墻通常由硬件和軟件，即服務訪問政策、檢測系統、包過濾、應用網關組成。作用于計算機設備和外部網之間的防火墻被稱作計算機防火墻，而建立在外部網絡和內部網絡之間的防火墻被稱為網絡防火墻（見圖1）。在工作時，防火墻會對從外界傳來的信息進行監管、隔離，當被檢測信息不存在惡意信息時會被傳入到內部網絡中，但如果信息存在入侵動向，防火墻將會對信息進行隔離，以確保計算機網絡的安全。

3? 防火墻的種類

隨著計算機網絡的不斷發展，防火墻的種類也呈現出多樣化，但是歸根結底，從它們的技術來看主要分為網絡級防火墻、應用級網關、電路級網關、規則檢查防火墻這4種，下面將對這4種防火墻逐一進行討論。

3.1 網絡級防火墻

網絡級防火墻又可以稱為包過濾型防火墻，該類型的防火墻就是作用于信息發出地和信息接收地之間，對信息進行檢測并下達隔離或者通過命令的防火墻?，F階段人們常用的路由器就是較為傳統的網絡級防火墻，當信息通過路由器時，路由器可以通過對信息的檢測結果下達信息的接收與轉發指令，但是路由器存在的一個弊端就是不能對信息的來歷和去向進行調查[2]。

3.2 應用級網關

該種類的防火墻主要針對較為特殊的網絡數據，對網絡數據包檢查的同時還會進行過濾，對于數據包中的內容進行分析并記錄，最終形成完整可靠的數據包報告。該類型的防火墻對于計算機網絡的防護程度較高，這要得益于應用網關對于數據包處理、控制的嚴密性。但是，應用級網關同樣存在一個弊端就是它的工作量較大，從而導致實現整個工作過程存在很大難度，并且會在用戶進行使用時帶來許多和接收信息本身無關的問題。

3.3 電路級網關

電路級網關還有一個名稱，即線路級網關，電路級網關主要在兩個或者多個計算機設備初次建立TCP連接時就會建立一個防火墻屏障。電路級網關會對已經建立連接的計算機設備之間的信息交流進行監控，通過對信息的監控查看是否有非法信息的傳輸與接收，從而對計算機設備下達接收或者隔離的指令。電路級網關工作在會話層，也就是比網絡級防火墻高兩層[3]。

3.4 規則檢查防火墻

規則檢查防火墻集中了以上3種防火墻的特點，該防火墻既可以在網絡層上對接收的數據包進行檢查和過濾，同時也能夠檢查數據包是否有序，還能夠對應用層上對數據包中的內容進行監控，可以說規則檢查防火墻不僅能夠實現對層面檢查，同時還提高了防火墻安全等級。

4? 防火墻技術的實現過程

在對防火墻的種類進行分析后，下面將談一談基于計算機網絡的防火墻技術實現過程。

4.1 網絡地址轉換技術

當前防火墻最為重要的技術便是網絡地址轉換技術，網絡地址轉換技術顧名思義就是通過防火墻將網絡的IP地址進行更改，這樣一來就可以在很大程度上隱蔽信息接收的地址，從而對內部網絡起到保護作用。除此之外，網絡地址轉換技術還分為兩種類型，即SNAT和DNAT，這兩種網絡地址轉換技術對于地址的轉換對象不同。SNAT是不改變接收地址的情況下，轉變數據發送的源地址，從而實現內部網絡的轉換，而對外部網絡屏蔽，這樣便可以在很大程度上增加黑客攻擊的難度。而DNAT恰好與SNAT相反，DNAT是不改變數據包源地址的情況下，對數據包的接收地址進行改變，并且地址轉換過程中不會對數據包發送和接收的原本地址進行更改[4]。

4.2 加密技術

防火墻加密技術也可以分為兩種，分別是對稱加密技術和非對稱加密技術。其中，對稱加密技術較為常用，它是指對所要傳輸的信息在傳輸前進行加密，在接收信息后使用相同的密碼進行解密，通過對信息加密從而保證信息傳輸過程中不會被其他人所竊取，并且對稱加密用相同的密碼進行加密、解密處理起來較為簡單。而非對稱加密技術較為復雜，但是保密性更高，非對稱加密是指對所要傳輸的信息進行加密后，密碼可以向他人進行公開，將改密碼稱之為公開密鑰，而要想解除密碼獲取信息則還需要另一套密碼，即解密密鑰。通過以上兩種加密技術，能夠有效地阻止其他人員在信息傳輸過程中獲取信息造成一定的損失。

4.3 多級過濾技術

在上文中對防火墻技術進行了簡單的介紹，其中應用網關和電路網關都采取了過濾技術，而這2種防火墻所選擇的過濾等級同樣為三級過濾。其中一級過濾是對數據信息的源地址以及假冒的接收地址進行過濾，確保數據信息的傳輸和接受地址正確;而應用網關一級則是對互聯網所提供的信息交流、共享服務進行監控過濾;電路網關一級過濾則是對主機與外部站點的透明連接進行監控。

5? 結語

隨著計算機網絡技術的飛速發展，應用互聯網實現信息資源的交流、共享已經成為當今社會的一大發展趨勢。而防火墻技術不僅要對計算機主機進行保護，還要對數據的傳輸進行加密，從而確保信息資源交流、共享的安全性，并且還要隨著網絡技術的發展不斷升級和完善。

參考文獻

[1] 馬利，梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術，2014，10（16）：3743-3745.

[2] 滕鑫鵬.淺談計算機網絡安全中防火墻技術的探索與運用[J].福建電腦，2018，34（12）：151-152.

[3] 汪淼.基于NDIS防火墻系統的設計與實現[D].電子科技大學，2014.

[4] 張健.計算機網絡安全中防火墻技術的應用[J].現代信息科技，2018，2（5）：159-160，162.

作者簡介：高岳（1981—），男，漢族，山東煙臺人，本科，講師，研究方向：電子信息科學與技術。