◆薄 楠

計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)研究

◆薄 楠

（遼寧邊防總隊大連周水子邊防檢查站 遼寧 116033）

防火墻技術(shù)是一種重要且高效的計算機網(wǎng)絡(luò)安全防護技術(shù)，對構(gòu)建安全的網(wǎng)絡(luò)運行環(huán)境具有現(xiàn)實意義。本文首先，簡要介紹了防火墻的相關(guān)概念；其次，重點對防火墻中的過濾、代理、檢測和協(xié)議等關(guān)鍵技術(shù)進行了介紹和分析；然后，研究了防火墻技術(shù)在安全服務(wù)配置、訪問策略配置和日志監(jiān)控等方面的應(yīng)用；最后，指出了防火墻相比于其他防護措施的優(yōu)勢。

計算機網(wǎng)絡(luò)；安全防護；防火墻技術(shù)

0 前言

當(dāng)前，計算機網(wǎng)絡(luò)技術(shù)不斷進步，不僅給人類的工作、生活、學(xué)習(xí)等各個方面都帶來了極大便利，而且?guī)缀踉谏鐣到y(tǒng)正常運行的各個領(lǐng)域發(fā)揮著不可替代的作用。然而，其存在的安全問題也時刻威脅著人們的個人信息和社會系統(tǒng)的正常運轉(zhuǎn)。計算機網(wǎng)絡(luò)存在的安全問題一旦為惡意攻擊者所利用，輕則導(dǎo)致人們無法正常使用計算機，擾亂正常的工作、生活、學(xué)習(xí)秩序，重則可能導(dǎo)致國家或企業(yè)的重要數(shù)據(jù)和核心信息遭到竊取并泄漏，帶來不可想象的嚴重后果和重大損失[1]。近年來，防火墻技術(shù)的不斷更新和優(yōu)化，使其成為目前最為常用的防護技術(shù)之一,并得到了眾多用戶和安全防護人員的青睞[2]。防火墻技術(shù)操作起來既簡單方便,又可發(fā)揮其強大的防護功能,將來自外部網(wǎng)絡(luò)的威脅高效攔截。

1 防火墻簡介

防火墻是一種常用的網(wǎng)絡(luò)防護和隔離技術(shù)，通常由硬件和軟件兩個部分構(gòu)成。防火墻技術(shù)的目的是為計算機運行提供安全的網(wǎng)絡(luò)環(huán)境，防止被惡意破壞或攻擊[3]。如基于網(wǎng)絡(luò)通信安全機制的防火墻技術(shù)僅接收對來自網(wǎng)絡(luò)上的已授權(quán)的信息，在計算機與網(wǎng)絡(luò)上的計算機進行通信之前，首先對網(wǎng)絡(luò)中的信息進行過濾、篩選和判別，通過判別，對安全的信息允許通過，對可能存在安全問題的信息則阻止通過。因此，防火墻可看作是計算機和網(wǎng)絡(luò)之間的安全檢查站，對計算機和網(wǎng)絡(luò)之間交互的信息進行檢查和處理。簡而言之，防火墻的主要功能可概括如下：（1）通過判別，屏蔽非法服務(wù)和用戶；（2）審計計算機系統(tǒng)的安全性；（3）阻止外部網(wǎng)絡(luò)竊取計算機內(nèi)部信息；（4）通過強化安全策略，管理對網(wǎng)絡(luò)的訪問。

2 防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用

2.1 防火墻中的關(guān)鍵技術(shù)

防火墻中使用的關(guān)鍵技術(shù)主要包括過濾技術(shù)、代理技術(shù)、檢測技術(shù)和協(xié)議技術(shù)，下面分別簡要分析這幾個關(guān)鍵技術(shù)。

2.1.1 過濾技術(shù)

防火墻利用過濾技術(shù)，對非法或威脅數(shù)據(jù)進行過濾。過濾技術(shù)通常設(shè)置在TCP位置，對接收到的數(shù)據(jù)包，防火墻首先對該數(shù)據(jù)包的安全性進行檢查，根據(jù)數(shù)據(jù)包中是否存在不安全因素，執(zhí)行相應(yīng)的措施，如當(dāng)發(fā)現(xiàn)其中包含可疑因素，或存在威脅網(wǎng)絡(luò)安全的潛在攻擊行為時，防火墻可立即切斷該數(shù)據(jù)包的流通。過濾技術(shù)能夠起到一定的預(yù)防作用，可控制威脅信息的傳輸，防止可以數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，從而保證TCP區(qū)域的安全性。此外，過濾技術(shù)還常常用于路由器的防護。

2.1.2 代理技術(shù)

防火墻中的代理技術(shù)的主要作用是對內(nèi)網(wǎng)和外網(wǎng)之間的數(shù)據(jù)進行中轉(zhuǎn)，其中，內(nèi)網(wǎng)僅對代理發(fā)送來的請求給出回應(yīng)，外網(wǎng)的其他請求則拒絕回應(yīng)，從而將內(nèi)網(wǎng)和外網(wǎng)隔離開來，避免內(nèi)網(wǎng)和外網(wǎng)相互混淆。代理技術(shù)能夠在計算機網(wǎng)絡(luò)正常運行過程中的各個模塊中發(fā)揮作用，效果十分明顯。

2.1.3 檢測技術(shù)

防火墻中的檢測技術(shù)主要用于對網(wǎng)絡(luò)的當(dāng)前狀態(tài)是否正常進行檢測。在各個不同層的網(wǎng)絡(luò)之間使用檢測技術(shù)來獲取網(wǎng)絡(luò)的當(dāng)前狀態(tài)信息，并在此基礎(chǔ)上擴大計算機網(wǎng)絡(luò)安全的運行環(huán)境。檢測技術(shù)首先分析來自外網(wǎng)的數(shù)據(jù)包的狀態(tài)內(nèi)容，然后將分析結(jié)果匯總為記錄表，通過對其中的規(guī)則表和狀態(tài)表的對比來識別其中的狀態(tài)內(nèi)容。

2.1.4 協(xié)議技術(shù)

防火墻中的協(xié)議技術(shù)的主要作用是對來自外網(wǎng)的Dos攻擊進行防護。Dos攻擊是一種常用的黑客攻擊手段，且技術(shù)含量較低，無攻擊限制。防火墻中的協(xié)議技術(shù)通過提供網(wǎng)關(guān)服務(wù)，對內(nèi)部網(wǎng)絡(luò)提供防護。協(xié)議技術(shù)確保服務(wù)器處于安全的網(wǎng)絡(luò)環(huán)境，從而避免來自外網(wǎng)的惡意攻擊。

2.2 防火墻技術(shù)的常見應(yīng)用方式

2.2.1 安全服務(wù)配置

安全服務(wù)配置通常將需要保護的計算機網(wǎng)絡(luò)劃分為多個模塊，并將需要進行重點安全防護的模塊作為隔離區(qū)。與其他的安全防護措施相比，防火墻技術(shù)通過安全配置得到的隔離區(qū)域的特征往往更為獨特。對在隔離區(qū)域內(nèi)的數(shù)據(jù)，防火墻首先利用地址轉(zhuǎn)換技術(shù)，將需要發(fā)送到外網(wǎng)的數(shù)據(jù)包的IP地址有轉(zhuǎn)換為公共IP，此時，即使惡意攻擊者試圖從外網(wǎng)解析源IP時，僅能得到轉(zhuǎn)換后的公共IP，而無法得到真實的IP。因此，安全服務(wù)配置使得在內(nèi)網(wǎng)和外網(wǎng)進行數(shù)據(jù)交換時，攻擊者無法獲得真實的IP，僅能獲得虛假的IP，難以利用內(nèi)網(wǎng)信息對內(nèi)網(wǎng)造成攻擊，從而保障內(nèi)網(wǎng)的安全性，防止來自外網(wǎng)的惡意攻擊。

2.2.2 配置訪問策略

訪問策略的主要實施方式之一是進行合理科學(xué)的配置。防火墻技術(shù)通過對網(wǎng)絡(luò)設(shè)置訪問策略，來實現(xiàn)對計算機網(wǎng)絡(luò)的安全防護。保護過程可簡要概括如下：

（1）將計算機運行中的信息分為多個不同的單位，對不同的單位，劃分成內(nèi)部訪問保護和外部訪問保護。

（2）通過訪問策略，了解計算機網(wǎng)絡(luò)的運行特征以及運行過程中的目的、端口地址等各種地址，為規(guī)劃合理科學(xué)的保護方式提供依據(jù)。

（3）不同的訪問策略往往對應(yīng)著計算機網(wǎng)絡(luò)中的不同的防護方式。防火墻技術(shù)根據(jù)不同環(huán)境下計算機的防護需求和實際應(yīng)用，合理調(diào)整訪問策略，以最科學(xué)的配置對計算機的安全進行防護，在防護過程中，訪問策略會形成記錄訪問策略活動的相應(yīng)表。

（4）在完全運行訪問策略后，將形成的訪問策略配置作為防火墻的配置，實現(xiàn)對計算機網(wǎng)絡(luò)安全的合理科學(xué)高效防護。

2.2.3 日志監(jiān)控

通過分析防火墻的保護日志，往往能夠獲得一定有價值的信息。對日志的監(jiān)控也是保護計算機網(wǎng)絡(luò)安全的常用措施之一，因此對日志監(jiān)控的保護，也是防火墻的重要應(yīng)用方式之一。在采集防火墻日志信息時，僅需要采集關(guān)鍵信息，并不需要采集所有的日志信息，這樣制作出的日志才能高效地發(fā)揮作用。在打開防火墻日志時，由于每天經(jīng)過防火墻的數(shù)據(jù)量十分龐大，全部采集通常難度較大，且容易忽略關(guān)鍵信息，因此可通過對不同的類別進行劃分，來降低采集難度，并將提取的關(guān)鍵信息作為制作日志監(jiān)控的依據(jù)。

2.3 應(yīng)用防火墻的優(yōu)勢與其他的防護技術(shù)相比，防火墻技術(shù)在識別網(wǎng)絡(luò)攻擊和保護網(wǎng)絡(luò)系統(tǒng)方面具有明顯優(yōu)勢。

在識別網(wǎng)絡(luò)攻擊方面，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和提高，計算機網(wǎng)絡(luò)遭受的攻擊種類越來越多，且攻擊方式不斷變化。面對如此種類繁多且多變的網(wǎng)絡(luò)攻擊方式，防火墻技術(shù)也在不斷更新和優(yōu)化，利用自身優(yōu)勢和特點，能夠?qū)粽叩墓袈窂健⒎绞降忍攸c進行判斷和識別，并能夠?qū)Ξ?dāng)前攻擊的屬性進行準確判斷。在此基礎(chǔ)上，防火墻能夠針對不同攻擊方式的不同特點，采取相應(yīng)的防護措施。因此，即使面對快速變化的攻擊方式，防火墻往往仍可對計算機網(wǎng)絡(luò)的運行環(huán)境提供有效的防護效果。

在保護網(wǎng)絡(luò)系統(tǒng)方面，與其他防護技術(shù)相比，防火墻技術(shù)的保護能力和保護水平較高。在實際中，計算機網(wǎng)絡(luò)遭受的攻擊往往種類較多攻擊方式多變，一般的防護措施很難確定其種類和方式，相比之下，防火墻技術(shù)往往能夠在較短的時間內(nèi)，檢測到當(dāng)前網(wǎng)絡(luò)可能遭受的攻擊行為，并能夠在合理的時間內(nèi)采取相應(yīng)的措施，保護計算機網(wǎng)絡(luò)不被攻擊。防火墻技術(shù)不僅能夠?qū)τ嬎銠C網(wǎng)絡(luò)系統(tǒng)的安全進行防護，還能強化網(wǎng)絡(luò)機構(gòu)，對系統(tǒng)的整體性能的提升提供幫助。

3 結(jié)束語

計算機網(wǎng)絡(luò)技術(shù)的進步推動著社會經(jīng)濟、生活等多個方面不斷向前發(fā)展。當(dāng)前，各個行業(yè)都對計算機網(wǎng)絡(luò)有著前所未有的依賴程度，隨之而來的安全問題也日益嚴峻。防火墻技術(shù)是計算機網(wǎng)絡(luò)安全防護的重要且有效的方式之一?？茖W(xué)地利用防火墻技術(shù)，有助于構(gòu)建計算機網(wǎng)絡(luò)安全的運行環(huán)境。

[1]李艷，黃光球.動態(tài)攻擊網(wǎng)絡(luò)演化分析模型[J].計算機應(yīng)用研究，2016.

[2]尹西杰，徐建國.多防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的研究及應(yīng)用[J].計算機應(yīng)用與軟件，2015.

[3]張艷斌.計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2014.