计算机网络防火墙的基本类型及其主要技术特征

　　由于计算机网络自身的技术特点所导致的网络安全，已经不只是具体的数据和信息的安全。因为网络的互联，网络安全已经渗透到国家的政治、经济、军事等领域。由此我们可以得知网络安全是一个复杂的系统工程，它已经涉及到社会的方方面面，是我们国家发展所面临的的一个重要问题。就我们目前来看，计算机网络安全的解决方法一般有两个方向，一个是利用防火墙技术过滤和防止有害的危害，另一个是利用数据加密的方法来保证数据信息的安全。我们现在使用的网络安全措施有近一半是由防火墙来完成的，下面我们就防火墙的发展和其所应用的几种技术类型来进行一下简要描述。
　　计算机网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。
　　随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换NAT、代理型和监测型。
　　一、包过滤型
　　包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCPUDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
　　包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。
　　但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。
　　二、网络地址转化NAT
　　网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
　　在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。
　　三、代理型
　　代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。
　　代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。
　　四、监测型
　　监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品
　　虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。
　　实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。