防火墙技术在计算机局域网中的运用

摘 要：随着时代的进步，人们紧锣密鼓地展开一系列科技创新活动，计算机便是影响这个时代最深刻的高科技产品。但是它的产生也带来了信息安全问题，我们越来越难以辨别信息的真伪，这一系列问题和危机都是现在亟待解决的。目前，防火墙技术在维护信息安全中起着举足轻重的作用，在当前局域网中的应用相当广泛。进一步了解防火墙技术和它的优缺点，对防火墙技术的改进有着重要意义。

关键词：计算机；防火墙；局域网；信息安全

中图分类号：TP393.082 文献标识码：A 文章编号：2095-6835（2014）03-0135-02

1 防火墙功能

1.1 防火墙的概念

防火墙本来是用来阻止火灾蔓延的一种建筑物，即火灾区和即将被波及区域的隔离物。因特网上的防火墙跟它的道理相同，也用来阻止因特网的病毒入侵到内网中。与其说因特网上的防护墙像一座建筑物的防火墙，不如说它是护城河更为形象。

防火墙的作用如下：①限制人们从一个特别的控制点进入；②防止侵入者接近你的其他设施；③限定人们从一个特别的点离开；④有效地防止入侵者损害你的计算机系统。

1.2 防火墙的优点

1.2.1 防火墙能强化安全策略

由于因特网上天天都有很多人在这里获取信息、交换信息，难以保证不会出现素质低下的人或违法乱纪的人，作为因特网上的“警察”，防火墙通过实行该站点的安全策略来防止不良信息的传播，只有符合安全策略的请求才能通过。

1.2.2 防火墙能有效地记录网上活动

它可以监控内网和互联网的使用过程，并收集到出错的信息，这样就能对它们的通信进行记录，并生成日志。

1.2.3 防火墙限制暴露用户点

防火墙是挂在两个网段之间的，通过特定协议来控制两个网段之间的通讯。同时，这样也能防止因为一个网段产生问题而扩散到整个网络。

1.2.4 防火墙是一个安全策略的检查站

防火墙类似于一个安检机器，检查访问用户的信息是否与协议冲突，从而确定用户是否有访问权限。

1.3 防火墙的不足之处

1.3.1 不能防范恶意的知情者

防火墙作为保护局域网安全的一道屏障，可以根据特定协议控制、检查互联网对其局域网的访问。但如果入侵者了解网络的结构体系，小心地避开防火墙的监控，则防火墙就失去了它的保护功能，可能会导致信息的泄露；或者入侵者就处于局域网内，同样也使该内网陷入信息泄露的危险境地。所以，要提高局域网的安全性，不能只依靠防火墙，还需加强对工作人员的管理，强化内部信息的保密工作。

1.3.2 不能防范不通过它的连接

防火墙的信息能够有效地阻止经过它的可疑访问，但是如果站点允许其他方式的访问，比如拨号访问防火墙后部的系统，防火墙对这种访问则是无能为力的。

1.3.3 不能防备全部的威胁

目前有些防火墙可以防范和抵御一些新的威胁，但是再好的防火墙也没有办法自动防备所有威胁。

1.3.4 防火墙不能防范病毒

防火墙不能消除网络上的个人计算机的病毒。

2 防火墙技术在局域网的运用

防火墙往往不只有一个部件，它经常是由一系列部件按照一定体系结构组合而成。部件通常有硬件和软件两种。不同局域网之间的信息交互必须通过防火墙。不仅如此，防火墙还可以通过设置两个局域网的通信协议来控制访问，所以防火墙是一种高级访问设备。

防火墙检测系统在“得知”受到攻击后，就会根据策略来对信息进行分析，查看在策略中对此攻击的设置是阻断还是允许，将检查得到的信息反馈发给防火墙，防火墙就能作出正确判断。防火墙的包过滤功能可以有效阻止外部攻击并进行记录，使得局域网在一定程度上处于安全的状态。

目前，常见的防火墙技术有三种：屏蔽路由器、屏蔽主机网关和屏蔽子网。

2.1 屏蔽路由器

由路由器或者主机（代替路由器）组成屏蔽线路，所有进出的数据流都要经过这个路由器，在基于IP层上安装报文过滤软件，这些配置都比较简单。通过这种方式来实现内网和外网之间的访问控制。这种方式比较灵活，包过滤局域网对用户可见，是一种快捷有效的简便方案。但因为一些应用协议数据包过滤不适合正常的数据包，所以，部分安全协议路由器无法执行，不能完全阻止黑客的入侵，也无法处理新的安全威胁。

2.2 屏蔽主机网关

屏蔽主机网关技术在应用中越来越被人们认可，它给局域网的安全加了双重保障。由一个包过滤路由器连接外网，这个路由器成为堡垒主机与外网通讯的连接枢纽。一般是在路由器上设立规则。当主机需要对外访问时，可先把信息发给堡垒主机，再由堡垒主机发给内网的相关共同站。这样即使堡垒主机被攻破，只要包过滤器还起作用，其他内网主机仍然安全。

无论在什么情况下，用户不能直接与服务器建立连接。它的优点是具备较强的包检测能力，安全性更有保障，可以生成各种日志，有更好的灵活性；缺点是速度比路由器缓慢，对于不同的用户机构，可能会产生一些协议的限制，因此适应性稍有点差。

2.3 屏蔽子网

屏蔽子网是目前常使用的结构体系。它由两个筛选路由器和一个堡垒主机构成，路由器一个处于内网，一个处于外网。内部网络与外部网络通讯需通过两层防火墙和一个堡垒主机，屏蔽主机体系结构使用一个单一的路由器，只提供内部网络相连的主机的服务。在这个架构中，包过滤（包过滤是用来防止人们绕过代理服务器直接连接）及其实施方法：例如，两个路由器，一个控制内联网（Intranet）数据流，另一个控制互联网（Internet）提供的主要安全数据流，屏蔽子网允许内联网（Intranet）和互联网（Internet）进行访问，但禁止它们穿过。可能需要安装堡垒主机的子网掩码为内部网络和外部网络的互相访问提供代理服务，但访问网络路由则需要两个数据流通过两个包过滤路由器的检查。这样在任何一道防护措施被攻击时，仍然有两道防护措施，大大增加了它的安全性。它结合了上面两种防火墙技术的长处，提高了访问监控的安全性和访问效率。

总而言之，对付黑客入侵最有效的方法就是在局域网中使用防火墙技术，目前专家也致力于研究出一种更加完善的网络防护技术，能迅速检测病毒，使破坏者的诡计无法得逞。

3 结束语

防火墙技术在当今的网络时代显得尤为重要，它的出现为我们营造了相对安全稳定的网络环境。但是任何一个环节的工作，只是迈向安全的步骤。没有一种防火墙技术是绝对安全的，能否快速追赶病毒的更新速度，是目前衡量防火墙好坏的一个重要标准，也是专家们正在研究的方向。

参考文献

[1]马程.防火墙在网络安全中的应用[J].甘肃科技，2007（4）.

[2]杨勇辉.网络安全—防火墙技术浅析[J].山东科技信息，2007（4）.

[3]楚狂等.网络安全与防火墙技术[M].北京：人民邮电出版社，2000.

〔编辑：陈文强〕