对计算机防火墙安全应用的探讨

防火墙就是一种将软件和硬件相结合，作用在各种网络认界面上的一种网络屏障，这个网络屏障能够屏蔽掉网络上不安全的信息和程序，只对已知的安全的信息大开方便之门。防火墙利用自己的网关技术避免了非法用户的侵入，确保和合法用户的权限。防火墙是由访问规则、验证工具、包过滤以及应用网关四部分构成。这四部分相互协作将网络防火墙安全技术了搭建起来。小到我们个人用的私人电脑大多国家安全局应用的大型计算机都离不开防火墙技术的保护，计算机的流入和流出的所有网络信号都需要经过防火墙的筛选。 防火墙顾名思义就是保护计算机安全的系统。有些用户会将防火墙技术误当做成杀毒软件，其实两者是完全不同的概念。杀毒软件需要用户自己购买安装，而防火墙是在计算机系统运行时就带有的一套安全程序，不需要用户自己安装，但是用户可以调节防火墙的强度，自己设定防火墙安全保护的程度，更加方便用户的操作。 安装了防火墙之后，电脑会监控各个端口的使用情况，只要你一打开某个需要连接网络的软件比IE浏览器,防火墙就会提示你允不允许该软件连接网络。如果你看到提示里的软件名不认识，你又没有打开什么软件，那就不通过连接就可以了。这就需要你有一定的辩别能力。当然，你可以使用防火墙关闭某些不常用的端口使电脑更安全。 打一个现实的比方，防火墙就像是防盗门一样，当有小偷进入的时候，防盗门能够讲小偷成功的挡在门外，而拥有门钥匙的正常住户就可以没有阻拦的进出，没有任何限制。网络应用中的防火墙技术，就是一个尺度，他限制了访问以及受访机制的权限，超出权限的指令无法在系统中运行而被遣返或者留滞。防火墙有效的阻止了黑客的袭击。如果不通过防火墙，“墙”内外的用户就不能进行信息的互动交流。 1.2防火墙的动能介绍 防火墙，正如字面上的意思就是保证网络的安全。防火墙内部存储了许多数据，这些数据能够反馈给系统哪些程序允许通过，哪些程序则需要返回。防火墙只允许那些默认被允许的程序被访问，而且防火墙自身也必须避免黑客系统的破坏。下面，我们简单介绍一下防火墙的极大功能： (1)防火墙允许网络系统管理员自定义一套系统来限定网络的访问机制。系统自身携带的防火墙中有固定的阻挡危险访问的程序编制，但是这些编制因为创造的时间较早，而网络发展非常迅速黑客程序的反侦查能力越来越强，有很多高级的黑客程序还是可以穿透防火墙进入计算机系统，这也是杀毒软件盛行的原因。当时防火墙屏蔽比杀毒软件来的更加彻底，因此防火墙允许网络系统管理员在防火墙内部开辟一个空间来自我定义一套限定网络的访问机制。这些被阻止的网络机制是那些被防火墙漏掉的疑似威胁程序，管理员通过自己的设定将这些系统人为的分离出去。这样做的好处是，增强网络防火墙的安全性能，使受到防火墙保护的计算机可以安全的在系统中运行。 (2)防火墙规范了网络的访问，杜绝了危险程序的访问，便于管理。在办公室工作的你是否在进入某个网站或者安装某种程序时，会弹出输入管理员密码的对话框。只有在获得权限之后才能够进行下一步操作。这是管理员根据公司的规定，将一些操作屏蔽掉，防止员工在工作中做一些与工作无关的事情。管理员的这些操作就是在防火墙上设置的，管理员在防火墙中进行了进一步的筛选，这样做可以智能的管理员工的工作，是一个非常便捷的方法。防火墙对网络访问的规范，方便了管理人员对员工的管理，这是一个既省钱又方便的好方法。 (3)可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 共享内存这一话题，是防火墙技术比较深层次的利用。网络管理员可以通过部署作为NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将本机上的IP地址动态或者静态的与网络.NET中的IP地址相对应，这样做，可以缓解自己本机上IP地址紧缺的压力，解决地址空间不足的问题。 (4)防火墙位置可以用来记录计算机访问网络所产生的费用。上面已经提过，计算机内部与外界网络的相互沟通都需要经过计算机防火墙的过滤，同样的，在这些信息进入通过防火墙时，防火墙都会对这些信息加以记录。根据这一特点，我们就可以在防火墙位置上记录计算机访问网络时所产生的费用，这种费用的统计方式是最为科学而且可靠的。 这是我们根据防火墙的自身特点善加利用的很好的例子。防火墙如同一个阻隔内、外界的屏障，无论是允许通行或者是被阻挡，这些信息都会记录在防火墙中，通过对这些信息的采集，我们可以分析出许多问题，获得出许多我们需要掌握的信息。除了上面所说到的防火墙可以用来记录访问网络产生的费用之外，防火墙内存储的信息还可以用来分析黑客程序的类型，从而开发出更加权威的杀毒、防毒系统。 2、防火墙分类 防火墙的发展不是一蹴而就的，它也是经过了一个漫长而复杂的发展过程的。尽管防火墙发展到今天已经经历了上述几代的变更，但是从防火墙处理信息的方式上说，可以将防火墙划分为两大体系：一个是以以色列的Checkpoint防火墙为代表的包过滤式的防火墙，另一个以美国NAI公司开发的Gauntlet防火墙为代表的代理防火墙。但不论是哪种防火墙，运用什么的信息处理方式，两种防火墙都各自有自己的优势，并存在自己的缺点，需要进一步的发展、改善。 2.1包过滤防火墙 第一代防火墙就是采用了采用了包过滤（Packetfilter）技术。所谓的包过滤技术就是对所有防火墙需要检查的网络访问程序进行解包检查，并且将检查获得的数据信息与防火墙系统内部原有的信息进行比对，这种将包打开每个都检查并且再逐一比对的过程非常的浪费时间，采用包过滤防火墙技术的计算机运行等待的时间会相对较长，给需要快速操作的人员带来了不便。但是包过滤防火墙到目前为止并没有被淘汰，这是为什么呢？这主要是因为包过滤机制检查处理信息的时候操作更加简单、透明性也相对较高，所以，一些计算机仍然采用这种包过滤防火墙技术。 2.2代理防火墙 代理防火墙是在包过滤防火墙基础上发展起来的。代理防火墙又被称为应用层网关（ApplicationGateway）防火墙，顾名思义也就是说代理防火墙是作用在应用网关层的。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种代理服务器能够在接收到用户发出的链接信息请求的时候，采用特定的安全系数比较高的Proxy应用程序进行处理，从而反馈答复给用户，并采取相应的措施进行进一步操作。 3、新型防火墙技术的发展趋势 很多人都在揣测下一代防火墙会是什么样子，下一代防火墙是会沿袭包过滤和代处理防火墙技术，还是会重新开辟一条新的道路来呢？据初步了解，下一代防火墙拥有的技术包括了阻止与针对细粒度网络安全策略违规情况发出警报的功能。例如当我们在web邮件中看见一个陌生未知的邮件的时候，这个未知邮件如果有病毒等，防火墙就会通过这个警报系统通知给用户，这样用户就可以避免打开这个包含病毒的邮件，防止病毒被打开后释放到电脑里，造成电脑中毒或者损失电脑中的私人信息。这就意味着，即使有些应用程序设计可避开检测或采用SSL加密，下一代防火墙依然可识别并阻止此类程序。而业务识别的另外一项优点还包括带宽控制，例：因为拒绝了无用或不允许进入的端到端流量，从而大幅降低了带宽的耗用。 国内首先开发出下一代防火墙技术的是NGAF防火墙厂商。NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等等方面的巨大不足，同时也开启了所有功能后性能不会有大幅度的下降。对系统的正常操作不会有太大的影响。