网络安全
浅谈网络防火墙安全技术
李文学
(黑龙江省质量技术监督信息中心黑龙江哈尔滨150036)
然字热来十马皮用
摘要：伴随计算机网络系统的还速发展及其相关网络技术的日益完善，公共通讯网络数据传输的安全问题成了人们普遍关注的渠点。网络防火墙技术的发展给网络的安全带来了保障，本文从网络安全技术的特点分析，就防火墙的作用、种类、常用产品进行了阐述。
关键词：网络防火墙安全技术
中国分类号：TP393
5文献标识码：A
1、网络安全技术的特点
文章编号：1007-9416（2011)05-006801
高于包过滤型网络防火端，而且已向应用层发展。代理型网络防火墙位于服务器与客户机之间，对内网与外网间的直接通信进行
网络安全是基于网络安全策略和技术的多样性，若采用了统一的一种策略和技术那么网络也就变得不再安全了。随着计算机网络的快速发展，各种威胁网络安全的因系也在不断增加，针对计算机网络安全的技术与策略也要不断地研发。计算机网路在社会各个领域不断地延伸，进人计算机网路的途径也越来越多，计算机网路安全是一个异常复杂的系统工作。针对这些特点只有加强各网络系统研发工作的联合，建立完善的计算机网络系统，才能尽可能的保护计算机安全。安全与反安全工作就像是矛盾的两个方面，相互依存，不断向上攀升，因此，计算机安全技术必须
随着计算机的发展面不断完善。 2、网络防火墙的作用
网络防火培可以加强网络间的访间控制，以防止外部网络使用者以非法手段，通过使用外部网络进入到内部网络，非法访问内部网络资源，从而来保护内部网络的特殊的网络互联设备。它可通过包过滤实现对内部网络非法访间的阻挡拦击，限制每个IP 的连接数和流量；通过对两个及以上网络间传输的数据包按一定安全策略实施检查，以决定网络间的通信能否被允许，并且可监视网络的运行状态；在必要时，网络防火墙还可以将网络遵受的攻击行为记录下来供用户浏览，但出于效率的考虑，记录受攻击的情况都交与IDS来完成了。
3、网络防火墙的种类及各自优、缺点
网络防火墙是指在不同网络或者网络安全域间设置的一系列网络部件的组合。它是网络之间及网络安全域间信息出入的唯一路径，它也可以根据网络安全策略控制的要求，就出人网络间的信息流进行允许、拒绝或监视。网络防火墙本身就有较强的抗外部攻击能力，能够为网络提供信息安全的服务，是实现网络信息安全的基本策略设施
3.1包过滤型网络防火墙
包过滤型网络防火墙是防火墙的初级类型，其是以网络分包传输技术作为技术依据的。网络上的数据信息是以“包”为基本单位进行传输的，网络数据被分制成为不同大小的数据包，且每一数据包都包含着特定信息，例如数据源地址和目标地址，TCP/UDP源端口与目标端口等。通过读取数据包中的这些地址信息，网络防火墙就可对这此数据“包”是否来自安全站点进行判断，一且发现数据来自不可信任的危险站点，包过滤型防火墙便会自动把数据拒于门外，网络系统管理员根据实际情况也可灵活制订判断标准。
(1)优点。包过滤技术简单实用，其实现成本较低，在应用系统环境较简单情况下，可以以较小代价保证系统在一定程度上的安全。包过滤型防火墙对传人和输出的每对数据包都实行低水平过滤控制，对每个IP数据包字段的源地址、目标地址、协议以及端门都进行检查。此外，包过滤型防火墙是网络之间互相访向的唯一通道，它可对来白带有欺骗性质的IP地址的数据包进行识别和丢弃。(2)缺点。包过滤型网络防火墙不支持对应用层协议的过滤，不能有效地防范黑客的入侵，对于新的安全威胁也不能进行处理。
3.2代理型网络防火墙
代理型网络防火墙也可称为代理式服务器，它的安全性要远 68
方方数据
彻底隔绝，完全阻挡了内、外网络间间的数据交流。从服务器角度来看，代理型网络防火墙是真正意义上的客户机；而从客户机角度来看，代理型网络防火墙又好比一台真正意义上的服务器。当网络用户需要查找服务器上的数据信息时，首先会将数据请求发送到代理型网络防火墙，代理式服务器根据这一请求向真正的服务器索取信息数据，之后，再由代理式服务器将数据信息传输给网络使用者。由于外部网络与内部服务器间没有直接数据通道，因此来白外部的恶意破害也就很难伤到内部网络信息系统。
(1)优点。代理型网络防火墙安全性较高，可对应用层网络层和传输层的协议特征进行检查，对付基于各层的病毒侵人都十分有效。(2)缺点。比较难配置而且处理起来初速比较慢。
3.3监测型网络防火增
监测型网络防火墙是比较新的防火墙类型，它的技术已经超过了最初对网络防火墙的定义。监测型网络防火墙可以对各层的数据信息进行主动的与实时的监测，通过对数据信息的分析，监测型网络防火墙可以有效地判断各层中的违法入侵。此外，监测型网络防火墙一般都带有分布式的探测器，把这些探测器安放在多种应用服务器与外部网络的节点中，不仅可以检测来自外部的攻击，面且对来自网络内部的肆意破坏也能起到极强的防范控制作用。
4、常用的网络防火墙产品
4.1 pix
pix防火墙内核基于安全保护机制，把计算机内部网络与未经网络认证用户进行完全隔绝。每当内部网络用户访间internet 时，pix防火墙从用户IP数据包中卸下用户IP地址，再用一个已登记的存储在pix网络防火墙的有效的IP地址去代替它，从而把客户真正的IP地址进行隐藏。此外，pix防火墙还有审查日志的功能，用户可利用防火墙中具有实时报警作用的网络浏览器，来产生报警记录管理。所有的认证都能经由防火墙日志浏览来监视和追臻。
4.2 sonic wall
sonicwall系列的防火墙是专门针对中、小企业开发的产品，具有很高的性能与价格优势，非常适合于中小企业用户，属于硬件防火墙。它的主要功能是阻止未授权的用户对防火墙内部网络的访问；有效阻止拒绝内容的攻击，并对internet内容进行过滤；制定网络的访问规则，实现对有些网站访问限制等。
4.3netscreen
Netscreen是集防火增、流量控制、VAN功能于一体的防火墙产品，它把多种功能集合在asic芯片上。该技术可以有效突破传
统防火墙在数据加密时的瓶颈，实现最高防范的ipsec。 5、结语
网络安全技术是一个系统的间题，即包括来自信息系统自身安全问题，也包括物理上和逻辑上技术措施，现在的网络防火墙技术，还无法让我们的网络绝对安全。但防火墙技术在专家的辛苦研发下也在不断完善，我们相信在不久的将来，防火墙技术将更加完善可靠。