一、概述

“防火墙”的本意是指发生火灾时，用来防止火势蔓延的一道障碍物，一般都修建在建筑物之间。由于网络防火墙提供了与此类似的功能，所以人们采用防火墙这一术语来描述设置在计算机网络之间的隔离装置，可以隔离两个或者多个网络、限制网络互访，以保护网络用户的安全。防火墙通常位于用户网络系统的边界处，通过设定一定的筛选机制来决定允许或拒绝数据包通过，实现对进入网络内部的服务和访问的审计和控制。

网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先，应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

　　安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

　　二、防火墙中使用的主要技术

(一)代理服务也称链路级网关或TCP通道

它是针对数据包过滤和应用网关技术存在的缺点而引入的，特点是将所有跨越防火墙的网络通信链路分为2段。防火墙内外计算机系统间应用层的“连接”由代理服务器以软件方式来实现，外部计算机的网络链路只能到达代理服务器，不能直接连接到内部网的任何机器上。这样，防火墙就可以很好地把内外网路分隔。代理服务也对过往的数据包进行登记、分析，形成日志报告。如果发现被攻击的迹象，代理服务器一般会向网络管理员发出警报，并保留攻击迹象。应用网关和代理服务方式的防火墙大多是基于主机的，价格较贵，但性能好，安装和使用比数据包过滤的防火墙复杂。

（二）SOCK技术

SOCKS是NEC（美国）公司1998年提出并应用于防火墙技术的新协议标准。SOCKS是一个电路层网关的标准，目前的版本为Version 5。SOCKS主要由一个运行于防火墙系统上的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成。它只中继基于TCP数据包，只需要改变客户端的程序，这样的结构使得用户能根据自己的需要定制代理软件，从而有利于增添新的应用。许多公司的产品已经支持SOCKS，如Netscape和IE浏览器。

（三）虚拟专用网技术（VPN）

虚拟专用网技术是通过一些公共网络（如因特网）实现的具有授权检查和加密技术的通信方式。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。基于防火墙的VPN为了保证安全性，通常采用国际标准IPSEC作为加密、认证的协议，加强对通信双方身份的认证，保证数据在加密、传输过程中的完整性。基于Internet建立的VPN，可以保护网络免受病毒感染，防止欺骗，防商业间谍，增强访问控制，增强系统管理，加强认证。

　　三、防火墙的选择

　　选择防火墙的标准有很多，但最重要的是以下几条：

　　（一）防火墙为网络系统的安全屏障

　　总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。

　　（二）防火墙本身是安全的

　　作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

　　通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，这类问题一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说，保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。

　　（三）防火墙的安全性

　　防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

　　四、安全技术的研究现状和动向

　　我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。

　　国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”（Beu&Lapadula模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。

　　因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。

　　参考文献：

　　[1]黄健.对计算机网络安全与防护的几点思考[J].魅力中国,2008,2

　　[2]王应强.浅谈计算机网络安全[J].中共郑州市委党校学报,2009,4