摘要
 Internet的迅猛发展给人们的生活带来了极大的方便，但同时Internet也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。
 本文由计算机网络安全问题出发，分析了网络安全面临的主要威胁，及保护网络安全的关键技术，提出了防火墙是计算机网络安全体系的核心的观点，并着重介绍了防火墙的相关技术。同时，说明了防火墙并不是万能的，指出了防火墙技术的缺陷，并就现今防火墙技术的现状，提出未来防火墙技术的发展设想。
 

关键词：计算机网络；网络安全；关键技术；防火墙；发展趋势

一、绪论
 计算机技术的应用与发展，带动并促进了信息技术的变革，计算机与信息技术以其广泛的渗透力和罕见的亲和力，正从整体上影响着世界经济和社会发展的进程，引发了计算机应用技术一场空前的技术革命。但是，伴随而来的是计算机屡屡遭到破坏，轻者丢掉数据，重者系统平台和计算机资源被攻击，其损失常常是不可估量的，这是一个日益严峻的问题即计算机网络安全。
 为了保护自己的计算机、服务器和局域网资源免受攻击破坏而丢掉数据、系统重新安装等，利用防火墙技术是当前比较流行且比较可行的一种网络安全防护技术。其既是计算机高新技术的产物，又具有低廉实惠的特点，故简要探究防火墙技术的特点和以及其在计算机网络安全中的作用。

二、计算机网络的主要安全问题
2.1 网络安全问题
 安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。”
 从技术讲，计算机安全分为3种：
 1）实体的安全。它保证硬件和软件本身的安全。
 2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。
 3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。
 随着网络的发展，计算机的安全问题也延伸到了计算机网络。
2.1.1 网络安全面临的主要威胁
 一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。
 1）计算机病毒的侵袭。当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。
 2）黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。
 3）拒绝服务攻击。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。
 具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户……等。
2.1.2 影响网络安全的因素
 1）单机安全
 购买单机时，型号的选择；计算机的运行环境（电压、湿度、防尘条件、强电磁场以及自然灾害等）；计算机的操作……等等，这些都是影响单机安全性的因素。
 2）网络安全
 影响网络安全的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。
2.2 网络安全措施
 网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。
2.2.1 完善计算机安全立法
 我国先后出台的有关网络安全管理的规定和条例。但目前，在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。
2.2.2 网络安全的关键技术
 (1) 数据加密
 加密就是把明文变成密文，从而使未被授权的人看不懂它。有两种主要的加密类型：私匙加密和公匙加密。
 (2)认证
 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。
 (3) 防火墙技术
 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。目前，防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽等。但是，防火墙技术在网络安全防护方面也存在一些不足：防火墙不能防止内部攻击防火墙不能取代杀毒软件；防火墙不易防止反弹端口木马攻击等。
 (4)检测系统
 入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。
 随着时代的发展，入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。
 (5)防病毒技术
 随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。
 (6) 文件系统安全
 在网络操作系统中，权限是一个关键性的概念，因为访问控制实现在两个方面：本地和远程。建立文件权限的时候，必须在Windows 2000中首先实行新技术文件系统（New Technology File System，NTFS）。一旦实现了NTFS，你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限，还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限，你可以完成必要的访问控制。
2.3 制定合理的网络管理措施
 （1）加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。
 （2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励和监督的作用。
 （3）管理措施要标准化、规范化和科学化。
 
三、 防火墙概述
 随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤、应用代理、状态检测三类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。
3.1 防火墙的概念
 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。
3.2 防火墙的主要功能
3.2.1 强化网络安全策略
 在没有防火墙的环境里，网络安全管理是分散到每一个主机上的，所有主机必须同心协力才能维持网络的安全性。而防火墙能够实现集中安全管理，可以将所有安全软件配置在防火墙上，而不是分布在内部网络的所有主机上。
3.2.2 对输入进行筛选
 防火墙可以通过对传入数据包的源地址、目标地址及其他信息的检查，确定是否允许通过。只有满足防火墙配置规则的数据包才能通过防火墙，否则阻止数据包的传人。
3.2.3 防止内部信息的外泄
 通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全 。
3.2.4 限制内部用户活动
 防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略，来决定内部用户可以使用哪些服务，可以访问哪些网站。
3.2.5 网络地址转换(NAT，Network Address Translation)
 内部网主机经常要访问Internet，而NAT可以将内部网的专用地址转换成Internet地址。这样可以掩藏服务器的真正IP地址，起到一定的隔离作用，使内部网络用户不被暴露在外部网络中。此外防火墙可以作为部署NAT的逻辑地址，因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。
3.2.6 对网络使用情况进行记录监控
 防火墙能够记录所有经过防火墙的访问并形成完整的日志，提供有关网络使用情况的统计数据。当网络受到扫描或攻击等可疑活动时，防火墙能进行报警，并提供详细信息。
3.3 防火墙的分类及工作原理
 国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器，以及状态包检测防火墙。
3.3.1 包过滤防火墙
 顾名思义，包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。
3.3.2 应用代理防火墙
 它是针对数据包过滤[5]和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。应用代理型防火墙设置在内部网络与外部网络之间，当用户访问目的站点时，对于符合安全规则的连接，首先用户与代理服务器建立连接，应用代理型防火墙将会代替目的站点进行响应，并重新向目的站点发出一个同样的请求。代理系统实际上是用户和真实服务器之间的中介。
3.3.3 代理服务性防火墙
 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时
也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。
3.3.4 复合型防火墙
 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。
3.4 防火墙的主要技术优缺点分析
 如上文所述，防火墙技术主要有：包过滤技术、应用代理技术、状态检测技术。
3.4.1 包过滤技术
 优点：包过滤防火墙因为工作在网络层，因此处理包的速度快；此外它提供透明服务，即不需要用户名和密码来登录，用户不用改变客户端程序。
 缺点：网络层在OSI体系中处于较低的层次，因而安全防护也是较低级；不能彻底防止地址欺骗，一些应用协议不适合于数据包过滤，正常的数据包过滤路由器无法执行某些安全策略，不能防范黑客攻击，不支持应用层协议，不能处理新的安全威胁。
3.4.2 应用代理技术
 优点：应用代理型防火墙工作在0SI体系的最高层——应用层，安全级别高于包过滤型防火墙；应用代理型防火墙对用户而言是透明的，而对外部网络却隐藏了内部IP地址，可以保护内部主机不受外部攻击；代理系统可以控制户机和服务器之间的流量，并对此加以记录，提供详细的日志。
 缺点：代理速度较路由器慢，代理对用户不透明，对于每项服务代理可能要求不同的服务器；代理服务不能保证你免受所有协议弱点的限制，代理不能改进底层协议的安全性。
3.4.3 状态检测技术
 优点：配置了“专用检测模块”，它可以支持多种协议和应用程序，可以很容易地实现应用和服务的扩充；安全性更佳。
 缺点：配置复杂，因而降低了网络的速度。
 
 
四、 防火墙发展趋势
 针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
4.1 防火墙包过滤技术发展趋势
 (1)安全策略功能
 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。
 (2)多级过滤技术
 所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。
 这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。
 (3)功能扩展
 功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
4.2 防火墙的体系结构发展趋势
 随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。
 与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
4.3 防火墙的系统管理发展趋势
 (1)集中式管理，分布式和分层的安全结构。
 (2)强大的审计功能和自动日志分析功能。
 (3)网络安全产品的系统化
 纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。结论
 随着Internet 和Intranet 技术的发展,网络的安全已经显得越来越重要,网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯罪行为的问题，相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS 、VPN 和防病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。
 防火墙目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题，对网络安全技术的有深刻的了解。参考文献
[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.
[2] 郑林.防火墙原理入门[Z]. E企业.2000.
[3] 王卫平，陈文惠，朱卫未.防火墙技术分析.信息安全与通信保密.2006，(8):24一27.
[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.
[5] 王永纲，石江涛，戴雪龙，颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004，34(4):400一409.
[6] 王艳.浅析计算机安全[J] . 电脑知识与技术.2010，(s):1054一1055.
[7] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004，(s):79一82.
[8] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003，23(6):311一312.
[9] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004，(4):17一18.

相关论文