摘 要：隨著網(wǎng)絡(luò)的普及，各種網(wǎng)絡(luò)的新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題被越來越多的人所關(guān)注。而目前，防火墻技術(shù)則是解決網(wǎng)絡(luò)安全問題最有效、可行的方法。本文首先分析了計算機(jī)網(wǎng)絡(luò)所面臨的安全威脅以及常用的網(wǎng)絡(luò)安全技術(shù)，著重提出防火墻技術(shù)的概念、作用以及它在網(wǎng)絡(luò)中的應(yīng)用方式。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防火墻

中圖分類號：TP393

1 網(wǎng)絡(luò)安全的概念以及所面臨的安全威脅

隨著計算機(jī)信息技術(shù)的迅猛發(fā)展，計算機(jī)網(wǎng)絡(luò)技術(shù)已被很多領(lǐng)域所普及。所謂計算機(jī)網(wǎng)絡(luò)安全是指通過網(wǎng)絡(luò)技術(shù)和管理控制措施，確保數(shù)據(jù)在同一網(wǎng)絡(luò)環(huán)境下的保密性、可用性以及完整性。計算機(jī)網(wǎng)絡(luò)安全主要由邏輯安全性與物理安全性兩方面內(nèi)容構(gòu)成。邏輯安全性包含保密性、可用性和完整性三個方面內(nèi)容。物理安全性是指保護(hù)系統(tǒng)設(shè)備和相關(guān)設(shè)施的物理安全，以防遭到損壞與破壞等。如今，多種網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，很大程度地確保網(wǎng)絡(luò)信息的安全，其中防火墻技術(shù)便是網(wǎng)絡(luò)安全最基礎(chǔ)、最常用的一項(xiàng)技術(shù)。

通常情況下，計算機(jī)網(wǎng)絡(luò)主要存在計算機(jī)病毒、拒絕服務(wù)攻擊以及黑客攻擊三大安全威脅。（1）計算機(jī)病毒：目前已有超過14000種的計算機(jī)病毒，當(dāng)網(wǎng)絡(luò)被計算機(jī)病毒侵襲后，會破壞網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)無法正常進(jìn)行工作，嚴(yán)重的話會致使整個網(wǎng)絡(luò)癱瘓。（2）拒絕服務(wù)攻擊：譬如“點(diǎn)在郵件炸彈”，即是用戶在非常短的時間內(nèi)接收到很多垃圾郵件，使業(yè)務(wù)的正常工作受到影響，甚至?xí)?dǎo)致網(wǎng)絡(luò)癱瘓或是系統(tǒng)關(guān)機(jī)。（3）黑客攻擊：即是指一些用戶采用非法手段進(jìn)入網(wǎng)絡(luò)非法享用網(wǎng)絡(luò)資源。譬如利用隱蔽途徑進(jìn)行非法活動；利用網(wǎng)絡(luò)監(jiān)聽盜取其他用戶的賬號與密碼；通過匿名用戶訪問攻擊網(wǎng)絡(luò)；非法截取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；突破網(wǎng)絡(luò)防火墻。具體來說，網(wǎng)絡(luò)所面臨的安全威脅通常有以下幾個方面：非授權(quán)訪問、身份竊取、拒絕服務(wù)、數(shù)據(jù)竊取、冒充合法用戶、病毒和惡意攻擊等方面。

2 網(wǎng)絡(luò)安全的幾大技術(shù)

目前相對成熟且被廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有以下幾種：（1）防病毒技術(shù)：計算機(jī)病毒的防范技術(shù)不單單是一個制度、一個策略或是一個產(chǎn)品，而是一個匯集了網(wǎng)絡(luò)、硬件、軟件、接口等的一個綜合系統(tǒng)。（2）認(rèn)證：即對合法用戶使用認(rèn)證機(jī)制，既能避免非法用戶訪問公司信息系統(tǒng)，又能避免合法用戶對無權(quán)查看的信息進(jìn)行訪問。（3）數(shù)據(jù)加密：即是將明文改成密文，讓未授權(quán)的人無法看懂。通常有公鑰加密和私鑰加密兩種加密類型。（4）檢測系統(tǒng)：既能實(shí)時保護(hù)誤操作、外部入侵以及內(nèi)部入侵等方面，還能攔截入侵以免網(wǎng)絡(luò)系統(tǒng)遭受侵害。（5）防火墻技術(shù)：主要用來避免外部用戶非法訪問。防火墻主要采用應(yīng)用網(wǎng)關(guān)、包過濾以及子網(wǎng)屏蔽等技術(shù)。（6）文件系統(tǒng)安全：對文件與文件夾設(shè)置權(quán)限訪問控制。

3 防火墻的概念與作用

由計算機(jī)硬件設(shè)備與軟件系統(tǒng)構(gòu)成的防火墻，主要用于保護(hù)網(wǎng)絡(luò)數(shù)據(jù)以免被篡改和竊取。防火墻是設(shè)立于計算機(jī)上的一種機(jī)制，主要用于防止內(nèi)外部網(wǎng)之間、公共專用網(wǎng)之間直接進(jìn)行訪問。擔(dān)任防火墻的計算機(jī)不僅對受保護(hù)的網(wǎng)絡(luò)直接進(jìn)行訪問，還能對因特網(wǎng)直接進(jìn)行訪問。但受保護(hù)的網(wǎng)絡(luò)不可直接訪問因特網(wǎng)，因特網(wǎng)也不可直接訪問受保護(hù)的網(wǎng)絡(luò)。

防火墻主要有以下幾種作用：（1）將不用的端口關(guān)掉，不允許某些端口流出通信；（2）過濾攻擊與不安全服務(wù)；（3）將非法入侵用戶與木馬封鎖；（4）提供監(jiān)視因特網(wǎng)預(yù)警與安全的方便端點(diǎn)；（5）控制訪問某些特定站點(diǎn)，禁止來意不明用戶的所有通信。

由于互聯(lián)網(wǎng)具有開放性的特點(diǎn)，防火墻在有很多防范功能的同時還有一些不足的地方：（1）對于已經(jīng)被病毒感染的文件或軟件的傳輸，防火墻無法進(jìn)行防范，只能通過給所有主機(jī)安裝殺毒軟件來防范。（2）對于不經(jīng)過防火墻而產(chǎn)生的攻擊，防火墻無法進(jìn)行防范。譬如，假如同意被保護(hù)的網(wǎng)絡(luò)內(nèi)部能無條件地向外撥號的話，某些用戶能直接對因特網(wǎng)進(jìn)行訪問，這樣便繞過了防火墻，留下攻擊隱患。（3）對于數(shù)據(jù)驅(qū)動式的攻擊，防火墻無法防范。當(dāng)某些表面上無害的數(shù)據(jù)被復(fù)制或郵寄到因特網(wǎng)的主機(jī)上且被執(zhí)行從而發(fā)動攻擊時，會形成數(shù)據(jù)驅(qū)動攻擊。因此，防火墻只能作為整體安全防范政策的組成部分。

4 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用方式

防火墻主要有應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)、網(wǎng)絡(luò)級防火墻以及規(guī)則檢查防火墻四種實(shí)現(xiàn)方式。它們各有特色，因此必須根據(jù)實(shí)際情況來決定具體要采用哪種。

4.1 網(wǎng)絡(luò)級防火墻

它一般是根據(jù)應(yīng)用協(xié)議、目的地址、源地址以及每個IP包端口來判斷是否能通過。以往我們稱路由器為網(wǎng)絡(luò)級防火墻。但大多數(shù)的路由器在檢查完網(wǎng)絡(luò)信息的安全性后，能判斷是否轉(zhuǎn)發(fā)所接收到的IP包，可它無法對IP包的來源和去向進(jìn)行判斷。而高級網(wǎng)絡(luò)級防火墻卻能做到這一點(diǎn)，它能利用所提供的內(nèi)容信息來說明數(shù)據(jù)流和連接狀態(tài)，而且將需要判斷的內(nèi)容與規(guī)則表做個對比。這些規(guī)則表定義了所有決定IP包是否能通過的規(guī)則，當(dāng)接收到IP包時，防火墻會對比每條規(guī)則查看是否有與此IP包信息內(nèi)容相符的規(guī)則。假如沒有相符合的規(guī)則，那么防火墻則會選用默認(rèn)規(guī)則，將此IP包丟棄。

4.2 應(yīng)用級網(wǎng)關(guān)

作為最為安全的防火墻技術(shù)，它對訪問控制相對嚴(yán)格些，實(shí)現(xiàn)起來也比較困難。應(yīng)用級網(wǎng)關(guān)能檢查數(shù)據(jù)包，利用網(wǎng)關(guān)來復(fù)制傳遞的數(shù)據(jù)，避免被信任的客戶機(jī)和服務(wù)器直接連接不被信任的主機(jī)。它與網(wǎng)絡(luò)級防火墻相比，有一定的優(yōu)勢，但也有不足。它的優(yōu)勢在于能對應(yīng)用層的協(xié)議進(jìn)行理解，從而進(jìn)行復(fù)雜的訪問控制，還能進(jìn)行精細(xì)的審核和注冊工作。它的不足在于每條協(xié)議都必須采用相應(yīng)的代理軟件，不但操作起來工作量非常大，而且效率也比網(wǎng)絡(luò)級防火墻低很多。雖然一些常見的應(yīng)用級防火墻目前已有了相對應(yīng)的代理服務(wù)器，譬如：FTP、HTTP、Telnet、Rlogin、NNTP等?？墒菍τ谛卵邪l(fā)的，還沒有與之相對應(yīng)的代理服務(wù)器，只能采用一般的代理服務(wù)和網(wǎng)絡(luò)防火墻。

4.3 電路級網(wǎng)關(guān)

它通過對被信任的客戶機(jī)或服務(wù)器與不被信任的主機(jī)之間的TCP交換信息的監(jiān)控來判斷此會話的合法性。它是在OSI的會話層對數(shù)據(jù)包進(jìn)行過濾，要與網(wǎng)絡(luò)級防火墻相比，高出兩層。事實(shí)上，電路級防火墻并不是相對獨(dú)立的產(chǎn)品，它必須結(jié)合應(yīng)用級網(wǎng)關(guān)一起工作。此外，電路級網(wǎng)關(guān)還具有代理服務(wù)器這一安全功能，所謂代理服務(wù)器其實(shí)也是一個防火墻，由于它能運(yùn)行“地址轉(zhuǎn)移”進(jìn)程，能把所有內(nèi)部的IP地址映射到安全的IP地址上，而這個地址是供防火墻使用的。然而，電路級網(wǎng)關(guān)也有一定的缺陷，由于它是工作于會話層的，以至于無法對應(yīng)用層的數(shù)據(jù)包進(jìn)行檢查。

4.4 規(guī)則檢查防火墻

它綜合了應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)以及網(wǎng)絡(luò)級防火墻的特點(diǎn)。它跟應(yīng)用級網(wǎng)關(guān)也一樣，都能在OSI模型的應(yīng)用層對數(shù)據(jù)包的內(nèi)容進(jìn)行檢查，檢查這些數(shù)據(jù)包內(nèi)容是否與網(wǎng)絡(luò)定義的安全規(guī)則相符；它也跟網(wǎng)絡(luò)級防火墻一樣，都能在OSI模型的網(wǎng)絡(luò)層利用端口號和IP地址對進(jìn)出的數(shù)據(jù)包進(jìn)行過濾。但唯一不同的是，它在對應(yīng)用層數(shù)據(jù)進(jìn)行分析時并不破壞客戶機(jī)/服務(wù)器的模式，它允許被信任的客戶機(jī)直接連接不被信任的主機(jī)。規(guī)則檢查防火墻不需要采用與應(yīng)用層相關(guān)的代理，而只是利用某種算法對應(yīng)用層數(shù)據(jù)進(jìn)行識別，這些算法則是利用已知且合法的數(shù)據(jù)包的模式對進(jìn)出數(shù)據(jù)包進(jìn)行比較，因此，從理論山將，它在數(shù)據(jù)包過濾方面要比應(yīng)用級代理更加有效。相比于電路級網(wǎng)關(guān)，它能對SYN與ACK標(biāo)記和序列數(shù)字的邏輯性進(jìn)行檢查。

參考文獻(xiàn)：

[1]張靜靜.計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電腦知識與技術(shù)，2011（12）.

[2]陸志一.網(wǎng)絡(luò)防火墻技術(shù)的內(nèi)涵與分析[J].民營科技，2008（01）.

[3]任婕.防火墻與網(wǎng)絡(luò)安全技術(shù)[J].考試周刊，2010（29）.

[4]賀貝.計算機(jī)網(wǎng)絡(luò)安全及其防范措施探討[J].價值工程，2010（02）.

[5]胡世鑄.淺談計算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)[J].電腦知識與技術(shù)，2012（08）.

作者簡介：張雅冰（1958.5-），男，陜西人，科長，工程師，研究方向：通信技術(shù)，網(wǎng)絡(luò)安全與維護(hù)。