電腦系統防火牆技術

​ 網路的安全不僅表現在網路的病毒防治方面，而且還表現在系統抵抗外來非法駭客入侵的能力方面。對於網路病毒，我們可以透過KV300或瑞星防毒軟體來對付，那麼對於防範駭客的入侵我們能採取什麼樣的措施呢？在這樣的情況下，網路防火牆技術便應運而生了。那麼究竟什麼叫防火牆呢？它有什麼作用呢？請大家耐心往下看。

一、防火牆的基本概念

古時候，人們常在寓所之間砌起一道磚牆，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網路接到了Internet上面，它的使用者就可以訪問外部世界並與之通訊。但同時，外部世界也同樣可以訪問該網路並與之互動。為安全起見，可以在該網路和Internet之間插入一箇中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部透過網路對本網路的威脅和入侵， 提供扼守本網路的安全和審計的唯一關卡，它的作用與古時候的防火磚牆有類似之處，因此我們把這個屏障就叫做“防火牆”。

在電腦中，防火牆是一種裝置，它是由軟體或硬體裝置組合而成，通常處於企業的內部區域網與Internet之間，限制Internet使用者對內部網路的訪問以及管理內部使用者訪問外界的許可權。換言之，防火牆是一個位於被認為是安全和可信的內部網路與一個被認為是不那麼安全和可信的外部網路（通常是Internet）之間的一個封鎖工具。防火牆是一種被動的技術，因為它假設了網路邊界的存在，它對內部的非法訪問難以有效地控制。因此防火牆只適合於相對獨立的網路，例如企業內部的區域網絡等。

二、防火牆的基本準則

1。過濾不安全服務

基於這個準則，防火牆應封鎖所有資訊流，然後對希望提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效實用的方法，可以造成一種十分安全的環境，因為只有經過仔細挑選的服務才能允許使用者使用。

2。過濾非法使用者和訪問特殊站點

基於這個準則，防火牆應先允許所有的使用者和站點對內部網路的訪問，然後網路管理員按照IP地址對未授權的使用者或不信任的站點進行逐項遮蔽。這種方法構成了一種更為靈活的應用環境，網路管理員可以針對不同的服務面向不同的使用者開放，也就是能自由地設定各個使用者的不同訪問許可權。

三、防火牆的基本措施

防火牆安全功能的實現主要採用兩種措施。

1。代理伺服器（適用於撥號上網）

這種方式是內部網路與Internet不直接通訊，內部網路計算機使用者與代理伺服器採用一種通訊方式，即提供內部網路協議（NetBIOS、TCP/IP），代理伺服器與Internet之間的通訊採取的是標準TCP/IP網路通訊協議，防火牆內外的計算機的通訊是透過代理伺服器來中轉實現的，結構如下所示：

內部網路→代理伺服器→Internet

這樣便成功地實現了防火牆內外計算機系統的隔離，由於代理伺服器兩端採用的是不同的協議標準，所以能夠有效地阻止外界直接非法入侵。

代理伺服器通常由效能好、處理速度快、容量大的計算機來充當，在功能上是作為內部網路與Internet的連線者，它對於內部網路來說像一臺真正的伺服器一樣，而對於網際網路上的伺服器來說，它又是一臺客戶機。當代理伺服器接受到使用者的請求以後，會檢查使用者請求的站點是否符合設定要求，如果允許使用者訪問該站點的話，代理伺服器就會和那個站點連線，以取回所需資訊再轉發給使用者。

另外，代理伺服器還能提供更為安全的選項，例如它可以實施較強的資料流的監控、過濾、記錄和報告功能，還可以提供極好的訪問控制、登入能力以及地址轉換能力。但是這種防火牆措施，在內部網路終端機很多的情況下，效率必然會受到影響，代理伺服器負擔很重，並且許多訪問Internet的客戶軟體在內部網路計算機中無法正常訪問Internet。

2。路由器和過濾器

這種結構由路由器和過濾器共同完成對外界計算機訪問內部網路的限制，也可以指定或限制內部網路訪問Internet。路由器只對過濾器上的特定埠上的資料通訊加以路由，過濾器的主要功能就是在網路層中對資料包實施有選擇的透過，依照IP（Internet Protocol）包資訊為基礎，根據IP源地址、IP目標地址、封裝協議埠號，確定它是否允許該資料包透過。這種防火牆措施最大的優點就是它對於使用者來說是透明的，也就是說不須使用者輸入賬號和密碼來登入，因此速度比代理伺服器快，且不容易出現瓶頸現象。然而其缺點也是很明顯的，就是沒有使用者的使用記錄，這樣我們就不能從訪問記錄中發現非法入侵的攻擊記錄。