【文章內(nèi)容簡介】 ,it also create a safe and secure operating of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall this article aimed to show some study of puter network security research, and analysis the application of firewall words: puter。network technology。network security。firework technology隨著計算機網(wǎng)絡的飛速發(fā)展，人們的工作，學習和生活正在不斷地被計算機信息技術(shù)改變，人們的工作效率有了很大的提高，但由于計算機網(wǎng)絡的多樣性、分布不均的終端、互聯(lián)性和開放性的特點，這種形式在網(wǎng)絡和網(wǎng)絡中極容易受到黑客，病毒，惡意軟件和其他意圖不明的行為攻擊，因此網(wǎng)絡信息的安全性和保密性是一個關(guān)鍵的問題。因此，網(wǎng)絡的安全措施應該是一個能夠面對全方位不同的威脅，只有這樣網(wǎng)絡信息的保密性、完整性和可用性才能得到保障。分析計算機網(wǎng)絡安全與防火墻技術(shù)計算機網(wǎng)絡安全與防火墻技術(shù)之間存在密不可分的關(guān)系，防火墻技術(shù)隨著計算機網(wǎng)絡的需求發(fā)展，網(wǎng)絡安全反映計算機網(wǎng)絡安全和防火墻技術(shù)之間的技術(shù)優(yōu)勢。計算機網(wǎng)絡安全與防火墻技術(shù)的分析如下： 安全是計算機網(wǎng)絡運行的主要原則，隨著現(xiàn)代社會的信息化發(fā)展，計算機網(wǎng)絡已經(jīng)得到了推進，但是其在操作過程中依然出現(xiàn)安全威脅，影響計算機網(wǎng)絡的安全級別，計算機網(wǎng)絡安全威脅包括： 數(shù)據(jù)威脅在計算機網(wǎng)絡中數(shù)據(jù)是主體，在運行的過程中數(shù)據(jù)存在許多漏洞，從而導致計算機網(wǎng)絡的安全問題。例如：一個計算機網(wǎng)絡節(jié)點的數(shù)據(jù)，比較容易篡改，破壞數(shù)據(jù)的完整性，攻擊者利用數(shù)據(jù)內(nèi)容的一部分，窺探內(nèi)網(wǎng)數(shù)據(jù)、泄漏數(shù)據(jù)，利用計算機網(wǎng)絡系統(tǒng)漏洞，植入木馬、病毒，導致系統(tǒng)數(shù)據(jù)癱瘓，無法支持計算機網(wǎng)絡安全的運行。 外力破壞外力破壞是計算機網(wǎng)絡安全運行不可忽視的危險部分，最主要的是人為破壞，如：病毒、木馬的攻擊等。目前，這種類型對計算機網(wǎng)絡的影響比較大，一些網(wǎng)站病毒、郵件病毒等方式的攻擊者，對用戶的計算機進行攻擊、病毒植入時，大多是因為用戶操作習慣的不正確，從而使計算機網(wǎng)絡系統(tǒng)出現(xiàn)漏洞。例如：用戶瀏覽外部網(wǎng)站很長一段時間，但不能對病毒進行定期處理，攻擊者可以很容易地找出用戶的瀏覽習慣，添加此類鏈接的特性攻擊網(wǎng)站，當用戶點擊該網(wǎng)站時，病毒立即開始攻擊客戶的計算機。 環(huán)境威脅在共享環(huán)境中的計算機網(wǎng)絡，資源受到威脅。環(huán)境是計算機網(wǎng)絡操作的基礎(chǔ)，用戶在訪問外部網(wǎng)絡時必須經(jīng)過網(wǎng)絡環(huán)境，所以是有顯著的環(huán)境威脅的，當用戶訪問網(wǎng)絡時，該攻擊在網(wǎng)絡環(huán)境中非常強，攻擊者通過網(wǎng)絡環(huán)境設(shè)置主要攻擊范圍，特別是對網(wǎng)絡環(huán)境內(nèi)交互的數(shù)據(jù)包進行攻擊，保護內(nèi)部網(wǎng)絡的結(jié)構(gòu)受到損壞，對環(huán)境的威脅，必須發(fā)揮防火墻技術(shù)的全部功能。2防火墻的基本原理 防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它按照規(guī)定的安全策略對網(wǎng)絡之間進行傳輸?shù)臄?shù)據(jù)包進行檢查，然后決定是否允許該通信，將內(nèi)部網(wǎng)對外部網(wǎng)屏蔽信息、運行狀況和結(jié)構(gòu)，從而使內(nèi)部網(wǎng)絡達到保護內(nèi)部網(wǎng)絡的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。防火墻本質(zhì)上是一種隔離控制技術(shù)，其核心思想是在網(wǎng)絡中不安全的環(huán)境，構(gòu)建一個相對安全的內(nèi)部網(wǎng)絡環(huán)境。從邏輯上講它既是一個解析器又是一個限制器，它要求所有傳入和傳出的網(wǎng)絡數(shù)據(jù)流必須驗證和授權(quán)并且將外部網(wǎng)絡和內(nèi)部網(wǎng)絡在邏輯上分離出來。防火墻可以全部是硬件，也可以全部是軟件，它也可以是硬件和軟件兩者。防火墻與內(nèi)部網(wǎng)絡和外部網(wǎng)絡（互聯(lián)網(wǎng)）之間的關(guān)系如圖1。圖1 防火墻的作用 “木桶”理論在網(wǎng)絡安全的應用網(wǎng)絡安全概念有一個“木桶”理論：一只水桶能裝水并不取決于桶有多高，而是取決于高度和最短的那塊木板的桶組成。防火墻理論的應用是“木桶”。在一個環(huán)境中沒有防火墻，網(wǎng)絡安全只能體現(xiàn)在許多主機的功能，所有主機都必須共同努力，以實現(xiàn)更高程度的安全性。防火墻可以簡化安全管理，網(wǎng)絡安全是加強防火墻系統(tǒng)，而不是分布在內(nèi)部網(wǎng)絡中的所有主機上。 內(nèi)部網(wǎng)絡安全性的強化防火墻可以限制未授權(quán)的用戶，如防止黑客或者破壞網(wǎng)絡的人進入內(nèi)部網(wǎng)絡，不讓不安全的脆弱性的服務（如NFS）和沒有進行授權(quán)的信息或通信進出網(wǎng)絡，并抵抗從各個地方和路線來的攻擊。 將網(wǎng)絡存取和訪問進行記錄、監(jiān)控作為一個單一的網(wǎng)絡接入點，所有傳入和傳出的信息必須通過防火墻，防火墻是非常適合收集系統(tǒng)和網(wǎng)絡的使用和誤用，并且將記錄信息。在防火墻上可以很容易地監(jiān)控網(wǎng)絡安全，并且報警。 限制內(nèi)部用戶訪問特殊站點防火墻來確定合法用戶的用戶認證。通過事先確定的檢查策略，以決定哪些內(nèi)部用戶可以使用該服務，可以訪問某些網(wǎng)站。 限制暴露用戶點，阻止內(nèi)部攻擊用防火墻將內(nèi)部網(wǎng)絡進行劃分，它使網(wǎng)段隔離，以防止網(wǎng)絡問題通過整個網(wǎng)絡，這限制了本地焦點或敏感網(wǎng)絡安全問題的全球網(wǎng)絡上傳播的影響，同時保護網(wǎng)絡從該網(wǎng)絡中的其他網(wǎng)絡攻擊 網(wǎng)絡地址轉(zhuǎn)換防火墻部署為一個NAT邏輯地址，因此防火墻可以使地址空間短缺的問題得到緩解，并當一個組織變革帶來的ISP重新編號時消除麻煩。作為一個單一的網(wǎng)絡接入點，所有傳入和傳出的信息必須經(jīng)過防火 虛擬私人網(wǎng)絡防火墻還支持互聯(lián)網(wǎng)服務功能的企業(yè)網(wǎng)絡技術(shù)體系VPN。VPN將企業(yè)在局域網(wǎng)還是在世界各地的專用子網(wǎng)的地理分布，有機地聯(lián)系起來，形成一個整體。不僅省去了專用通信線路，而且還提供技術(shù)支持，信息共享。3防火墻的類型在設(shè)計中的防火墻，除了安全策略，還要確定防火墻類型和拓撲結(jié)構(gòu)。根據(jù)所用不同的防火墻技術(shù)，我們可以分為四個基本類型：包過濾型、網(wǎng)絡地址轉(zhuǎn)換NAT，代理服務器型和監(jiān)視器類型。包過濾防火墻產(chǎn)品是基于其技術(shù)網(wǎng)絡中的子傳輸技術(shù)在初始產(chǎn)品。網(wǎng)絡上的數(shù)據(jù)傳輸是以“包”為單位的，數(shù)據(jù)被劃分成大小相當?shù)陌?，每個包將包含特定信息，如地址數(shù)據(jù)源，目的地址，TCP / UDP源端口和目的端口等。防火墻通過讀取地址信息來確定“包”是否從受信任的安全站點，如果發(fā)現(xiàn)來自不安全站點的數(shù)據(jù)包，防火墻將這些數(shù)據(jù)阻擋在外部。 網(wǎng)絡地址轉(zhuǎn)換是把IP地址轉(zhuǎn)換成臨時的、外部的，注冊的D類地址的標準方法。它允許擁有私有IP地址的內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)。這也意味著，用戶不能獲得每個設(shè)備的IP地址注冊為網(wǎng)絡。當內(nèi)網(wǎng)通過安全的網(wǎng)卡訪問外網(wǎng)時，會有一個映射記錄產(chǎn)生。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，所以地址和端口通過不安全網(wǎng)絡卡和外部網(wǎng)絡連接的偽裝，所以它隱藏了真正的內(nèi)部網(wǎng)絡地址。(Proxy)型代理防火墻同樣也可以被稱為代理服務器，它比包過濾產(chǎn)品更加安全，并已開始開發(fā)應用程序?qū)?。在客戶端和服務器之間的代理服務器位于，完全阻斷兩者的數(shù)據(jù)交換。從客戶端的角度來看，代理服務器充當真實服務器，從服務器運行時，代理服務器是一個真正的客戶端。當客戶端需要使用服務器上的數(shù)據(jù)，第一數(shù)據(jù)請求發(fā)送到代理服務器，然后代理服務器獲得數(shù)據(jù)到服務器響應請求，然后由代理服務器將數(shù)據(jù)發(fā)送給客戶端。由于在外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)聯(lián)通，這對企業(yè)網(wǎng)絡系統(tǒng)來說，外部的惡意破壞不足以傷害到。監(jiān)控防火墻是新一代的產(chǎn)品，最初的防火墻定義實際上已經(jīng)被這一技術(shù)超越了。防火墻可以監(jiān)視每一層活性，實時監(jiān)控數(shù)據(jù)，在監(jiān)視器防火墻上的數(shù)據(jù)的分析的基礎(chǔ)上，可以有效地確定各層的非法侵入。與此同時，這種檢測防火墻產(chǎn)品一般還具有分布式探測器，這些探測器放置在節(jié)點、各種應用服務器和其它網(wǎng)絡之間，不僅可以檢測來自網(wǎng)絡外部的攻擊，同時對從內(nèi)部惡意破壞也有很強的的預防效果。據(jù)權(quán)威部門計算，在攻擊的網(wǎng)絡系統(tǒng)中，從網(wǎng)絡中有相當比例的是從內(nèi)部網(wǎng)絡開始的。因此，監(jiān)測的防火墻不僅超越了防火墻的傳統(tǒng)定義，而且在安全性也超越了前兩代產(chǎn)品。雖然監(jiān)測防火墻的安全方面已經(jīng)超出包過濾和代理防火墻，但由于監(jiān)測防火墻昂貴的實施技術(shù)，而且不易于管理，所以現(xiàn)在在實際使用中的防火墻產(chǎn)品仍然在第二代代理型產(chǎn)品，但在某些方面已經(jīng)開始使用監(jiān)控防火墻?；谌婵紤]了系統(tǒng)成本和安全技術(shù)的成本，用戶可以選擇性地使用某些技術(shù)進行監(jiān)控。這不僅保證了網(wǎng)絡的安全性要求，而且還可以有效地控制總擁有成本的安全系統(tǒng)。4 結(jié)束語防火墻是新型的重要的Internet安全措施，在當前社會得到了充分的認可和廣泛的應用，并且由于防火墻不僅僅限于TCP / IP 協(xié)議的特點，也讓它漸漸地在除了Internet之外其他的領(lǐng)域也有了更好的發(fā)展。但是防火墻只是保護網(wǎng)絡安全和網(wǎng)絡政策和策略中的一部分，所以這并不能解決網(wǎng)絡安全中的所有問題。防火墻如果要保護網(wǎng)絡安全，那么這和許多因素有關(guān)，要想得到一個既高效又通用、安全的防火墻，通常要將各種各樣的防火墻技術(shù)和其它網(wǎng)絡安全技術(shù)結(jié)合在一起，并且配合要有一個可行的組織和管理措施，形成深度有序的安全防御體系。參考文獻[1]宿潔，計算機工程與應用（期刊論文），2004 [2]馬利，,電腦知識與技術(shù)，2014 [3]，計算機光盤軟件與應用，2014 [4]，網(wǎng)絡安全技術(shù)與應用，2014 [5]，電子世界，2014第四篇：《網(wǎng)絡與信息安全技術(shù)》學習心得《網(wǎng)絡與信息安全技術(shù)》課程報告課題名稱：《網(wǎng)絡與信息安全技術(shù)》學習心得課題負責人名（學號）：20*** 同組成員名單（角色）：曹航指導