防火墙在网络安全中的研究与应用_王东岳.pdf

林业科技情报2023 Vol.55 No.1*第一作者简介:王东岳(1974)，男，黑龙江省哈尔滨市，东北林业大学，本科，高级工程师。防火墙在网络安全中的研究与应用王东岳*刘浩杨英奎(黑龙江省气象数据中心，哈尔滨 150030)摘要 随着计算机网络技术的普及与应用，互联网络已经成为人们工作生活中的重要组成部分。计算机网络安全问题造成的影响也越发严重，而防火墙技术能够隔离来自互联网络的攻击，又能将内部局域网络的病毒限制在子网内，减少计算机网络安全问题的发生，使用户的信息安全得到保障，使社会能正常运转。为了发挥防火墙技术的强大功能，本研究主要针对防火墙技术在计算机网络安全中的应用进行分析与研究，望能为计算机网络安全管理提供一些可靠的参考价值。关键词 防火墙;包过滤;状态检测;网络中图分类号:TP301文献标识码:A文章编号:10093303(2023)01019803esearch and Application of Firewall in Network SecurityWang Dongyue*Liu HaoYang Yingkui(Heilongjiang Meteorological Data Center，Harbin 150030，China)Abstract:With the popularization and application of computer network technology，the Internet has become an im-portant part of peoples work and life The impact of computer network security problems is also becoming more andmore serious，and firewall technology can isolate attacks from the Internet，and can limit the virus of the internal lo-cal area network to the subnet，reduce the occurrence of computer network security problems，ensure the informa-tion security of users，and enable the normal operation of society In order to exert the powerful function of firewalltechnology，this paper mainly analyzes and studies the application of firewall technology in computer network secur-ity，hoping to provide some reliable reference value for computer network security managementKey words:Firewall;packet filtering;status detection;network互联网的出现，改变了世界很多方面，提高了工作的效率，丰富了人们的生活，方便了人们的沟通。当今社会，工作与生活离开了互联网络都会受到很大的限制，网络已经成为现代社会的重要组成部分。网络快速发展，网络安全带来的危机也在增多，威胁和攻击让公司的网络瘫痪，家庭计算机因为感染病毒造成银行账号与密码的失窃，导致资金被非法盗取，这些问题会降低工作效率，降低人们的生活质量。因此，网络安全问题需要重视起来。越来越多的公司开始使用防火墙保障网络安全。本研究以防火墙技术的发展为防火墙做了分类，分析了防火墙技术在计算机网络安全中的应用，有利于发挥防火墙技术在保护计算机网络安全方面的作用，对公司与个人根据实际情况选择防火墙起到参考作用。1防火墙的定义防火墙在硬件方面指的是位于内网与外网接触位置的硬件设备，可以是路由器、计算机或其他的硬件设备。在逻辑上，防火墙是一个隔离器，一个分析器，既能监视内部网络和外部网络之间的通信活动，又能对通信活动潜在的威胁进行分析。软件上对外网访问内部网络的行为决定放行或禁止，根据安全策略关闭特殊端口。防火墙其实是一种隔离技术，用来隔离非授权用户对信任网络的访问，并过滤网络中有害的流量或数据包1。2防火墙的分类21包过滤防火墙根据防火墙的发展历史来划分，包过滤防火墙为第一代防火墙。计算机网络通信的主要协议是TCP/IP 协议，TCP/IP 协议分为 5 层，包过滤防火墙工作在 IP 层。包过滤防火墙根据内部的 ACL(Access Control List 访问控制列表)来进行判断，其8912023 Vol.55 No.1林业科技情报主要检测数据包的 IP 地址、源端口、目的 IP 地址、目的端口和传输层协议来完成网络安全防护工作。这样的防御方式简单，优点是速度快，缺点是防御尺度大，不够精细，导致不安全的数据包容易进入内部网络，包过滤防火墙的网路结构如图 1 所示。基于这个原因，诞生了第二代防火墙，应用网关防火墙2。图 1包过滤防火墙的网络结构示意图22应用网关防火墙应用防火墙的工作原理如下，内网访问外网的数据包不可以直接到达外网的主机，首先将消息发送到网关运行的代理程序上，代理程序根据这个信息，对连接的每个部分进行检查，符合安全规定，就在内部主机与远程主机之间搭建一个访问“桥梁”，双向访问的数据都要经过这个“桥梁”，防火墙会对“桥梁”进行较复杂的控制，提供日志记录，实现网络安全功能。不同的应用，在网关上对应不同的代理程序。应用网关防火墙不会数据包的源地址、目的地址等进行检查，其检查的区域在应用层的数据。应用网关防火墙由一个服务器的多组程序来实现，能够对数据包的应用层进行过滤，是由软件实现的。应用网关墙牺牲了速度，实现了防御的更加精细3。23代理服务器防火墙代理服务器防火墙用代理技术来隔断内部网络和外部网络之间的通信，达到保护内部网络的目的。其工作原理如下，禁止外部网络的数据直接进入内部网络，要通过代理服务器转发进入内部网络;允许内部主机通过代理服务器访问外部网路，在通信中充当中间转发的作用，禁止内部网络与外部网络直接的连接与访问，这种方式对代理的每项服务都有相应的服务器，比如内网要通过代理服务器访问外网的 ftp 服务与 http 服务，则需要两个代理服务器来实现这种访问4。24状态检测防火墙状态监测防火墙是一个自适应的、动态的根据记录来进行分析与检查的防火墙，具有很高的效率。首先，对于一个新的连接，这种防火墙能够根据历史记录曾有的通信信息和其他应用程序获得的状态信息来动态生成过滤规则，根据新生成的过滤规则过滤新的通信。当新的通信结束时，新生成的过滤规则将自动从规则表中删除。允许内部主机与外部主机直接相连，取消代理。状态检测防火墙集合了包过滤防火墙与应用网关防火墙的优点5。25统一威胁管理防火墙在状态监测防火墙的基础上，添加了 VPN(Virtual Private Network 虚拟私有网络)，防病毒、邮件过滤等功能，对网络形成了全方位的、统一的防护。技术上通过把路由器、防火墙、IPS(IntrusionPrevention System 入侵检测系统)等设备进行串行连接，构成统一威胁管理防火墙6。3防火墙的性能防火墙的性能由两方面决定，一是工作层次，另一个是采用的机制。防火墙工作层次越低，其工作层面在网络协议的底层，工作效率越高，但安全性就降低了;工作层次在网络协议的高层，工作效率低，安全性提高。防火墙采用代理机制，防火墙具有内部信息隐藏的特点，安全性较高，则增加数据包传输的时间;采用过滤机制，减少了数据在传输环节的时间，安全性降低7。4防火墙的应用41防火墙能够充当网络安全的一个隔离屏障防火墙能有效的提高一个内部网络的安全性，防火墙首先从物理上隔离了内网与外网，从逻辑上能够对来自外部的风险进行识别并阻止其进入内部网络。比如防火墙可以禁止 ICMP 重定向中的重定向路径，禁止外部网络对内部进行 ping 包攻击。防火墙对不安全的端口如 20、21、23 进行关闭，防止外部网络通过 ftp 协议与 ssh 协议登录内部主机。合理划分内部网络，对内部网络进行隔离，从991林业科技情报2023 Vol.55 No.1而将网络攻击与病毒攻击限制在一个相对较小的范围内，不会因网络恶意攻击与计算机病毒发作而影响全部网络的运行8。42防火墙可以强化内部网络安全策略防火墙可以完成内部中心的统一安全部署，实现集中管理。实现统一认证，对于需要登录的服务器，首先登录防火墙的认证系统，防火墙通过，可以登录服务器，实现了密码的统一管理。43防火墙可以对网络读写与流量进行监控与记录对网络上的读写记录进行监控并作出日志记录，同时对网络流量进行统计。当发生危险动作且流量异常时，防火墙能进行适当的报警，并提供网络是否受到攻击的详细信息。44防火墙能够防止内部信息的外泄内部信息包括以下几个方面，个人隐私信息、公司机密信息、内部网络结构信息等需要保密的信息，这些信息的外泄会造成严重问题。防火墙通过NAT 技术隐蔽了内部的网络地址，通过数据加密与公钥的机制，实现了机密信息的安全保障功能。45构建 DMZ 区域DMZ，是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。在实际工作中，企业需要向外网用户供互联网服务，在安装了防火墙后，外网的用户不能直接访问内部网络服务器。为了解决这个问题，设立一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些公开的服务器，如企业 Web服务器、FTP 服务器等，通过这样一个 DMZ 区域，既可以向外提供服务，又有效地保护了内部网络，其网络结构如图 2 所示。图 2含 DMZ 区域的网络结构图5结论互联网已经走进了人们的工作与生活，防火墙也随之发挥着更加重要的作用。了解防火墙技术的类型及其功能，结合计算机网络安全防护的需要对其进行合理使用，能够有效的提升计算机网络安全性。互联网的构成日益复杂，来自网络的威胁也随之增多，既要做到合理应用防火墙技术，也要加强对防火墙技术的研究，以便对其进行不断完善，将防火墙技术在计算机网络安全中的作用完全发挥出来，网络就能提高人们的工作效率与改善人们的生活质量。参考文献 1 宿洁，袁军鹏防火墙技术及其进展 J 计算机工程与应用，2004(9):14149，160 2 翟钰，武舒凡，胡建武防火墙包过滤技术发展研究 J 计算机应用研究，2004(9):144146 3 郝玉洁，常征网络安全与防火墙技术 J 电子科技大学学报(社科版)，2002(1):57 4 杨忠铭计算机网络信息安全及其防火墙技术应用 J 数字通信世界，2023(1):126128 5 张爱英，王明清计算机信息安全技术及防护措施 J 网络安全技术与应用，2023(1):164166 6张侃 计算机网络信息安全中防火墙技术分析 J 软件，2022，43(12):8890 7潘娜，王兰 基于防火墙的网络安全技术研究 J 无线互联科技，2022，19(21):159161 8 孙智防火墙技术在计算机网络安全中的运用研究 J 电子技术与软件工程，2022(21):3034来稿日期:20230313002