计算机网络防火墙设置方法探究.docVIP

计算机网络防火墙设置方法探究 　　摘要：阐述了计算机网络防火墙的架构体系，分析了计算机网络防火墙的类型，提出了计算机网络防火墙的设置方法，以此提升计算机网络的安全等级系数。 关键词：计算机网络；防火墙；防火墙设置 中图分类号：TP309.7 文献标识码：A 文章编号：1672-7800（2014）003-0140-02 0 引言 伴随着计算机应用技术的快速发展，计算机网络技术已经在各个行业普遍应用。计算机网络安全一般是指运用计算机网络技术与管理控制方法，保证数据信息处在同一计算机网络环境下的保密性、可靠性以及有效性。计算机网络安全一般由逻辑安全性和物理安全性构成。通常情况下逻辑安全性包括保密性、可靠性与有效性三个方面。物理安全性主要是指维护计算机系统设备与有关设施对应的物理安全，从而避免受到相应的破坏。各种计算机网络安全技术的应用，在较大程度上可以保证计算机网络的信息安全，其中的防火墙技术已经成为计算机网络安全的一项基本技术[1]。 1 防火墙架构体系 1.1 屏蔽路由器 因为屏蔽路由器是内网和外网相互连接的单一性通道，所以能够快速地对数据信息进行过滤处理。与此同时还需要安装相应的报文过滤软件，这是以IP层作为基础的，这个软件自身配置有报文过滤相对应的设置选项，能够对简单形式的报文进行过滤处理，如果其受到攻击，则容易出现用户识别的相关问题。 1.2 双穴主机网关 双穴主机网关通常是使用一台堡垒主机作为防火墙，这台主机需要安装两块网卡实现相关功能。堡垒主机的系统软件能够对系统日志进行保护，也能够实现硬件拷贝日志或者远程日志的相关功能，为计算机网络检查与计算机网络管理提供极大的便利。其不足之处是计算机遭受入侵时，计算机网络管理员无法确认遭受攻击的主机对象，当堡垒主机受到入侵时，双穴主机网关会退化成为简单形式的路由器。大部分防火墙证明，在双宿主机模式的防火墙中，寻径功能能否受到禁止是非常关键的[2]。 1.3 被屏蔽主机网关 堡垒主机通常只设置一个网卡，被屏蔽主机网关通过和计算机内部网络进行连接，在路由器上设定相关的过滤规则，同时把单宿堡垒主机相应地设置成为由Internet惟一能够访问的主机，防止计算机内部网络受到未经授权的外部用户入侵。假如受保护网属于一个虚拟形式的扩展本地网，即使缺乏子网与路由器，内网的相应变化也不会限制堡垒主机与屏蔽路由器的相关配置。网关相应的基本控制方法取决于具体安装的软件，假如入侵者设法登录，计算机内网中的剩余主机就会遭受很大程度的威胁，这和双穴主机网关受到攻击时的情况类似。这种类型技术的安全程度比较高，操作容易、实用性好，所以在实践中获得广泛应用。 2 防火墙类型 2.1 数据包过滤型防火墙 数据包过滤型防火墙一般是通过读取数据包，根据其中的一部分信息来对数据的可信度和安全性进行有效性判断，然后以判断结果作为根据，进行相关的数据处理。如果数据包无法得到防火墙的信任，则无法进入到相应的计算机操作系统，这种类型的防火墙技术实用性相对较好，在一般形式的计算机网络环境中都可以起到充分保护计算机网络安全的作用，同时具有操作简单与成本低的特点。然而，因为这种技术仅仅是根据一部分基本信息来判断其安全性的，所以对于一部分应用程序与邮件病毒无法作出有效的防御。 2.2 代理型防火墙 代理型防火墙即为代理服务器，其可以回应输入封包，可阻断内部网与外部网相互之间的信息交流，如图1所示。代理型网络主要是处在客户机与服务器之间的，此时对于客户机而言，代理防火墙属于一台服务器，其能够增强外部网络窜改内部网络的相应阻力，在很大程度上能够提升计算机网络的安全性能，同时可以对应用层的病毒入侵进行有效的防护。这种代理型防火墙技术的主要缺点是加大了成本，对计算机网络管理员的专业技能水平与综合素质要求较高[3]。 2.3 监测型防火墙 监测型防火墙在一定程度上能主动完成计算机网络通信数据的监测功能，可以充分提升计算机网络的安全性能。原始的计算机防火墙设计概念是过滤掉对计算机网络环境与计算机网络运行产生破坏的数据信息，而监测型防火墙一般是主动监测信息，显示出强大的计算机安全保障能力。然而监测型防火墙成本投入高，管理难度大，所以现阶段这种防火墙技术仍未得到普及。 3 防火墙设置方法 3.1 网络级防火墙 网络级防火墙通常是根据应用协议、目的地址、源地址与各个IP包端口来判断能否通过。过去路由器一般称为网络级防火墙，然而大部分的路由器在检查完计算机网络信息的安全性能之后，就可以判断能否转发所接收到的IP包，但却不能对IP包的来源与去向进行有效判断，高级网络级防火墙则可以充分达到这个功能，其可以直接利用所提供的内容信息表