天津高速公路集團(tuán)有限公司 宋 杉

計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用

天津高速公路集團(tuán)有限公司 宋 杉

防火墻技術(shù)是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要技術(shù)，可以有效攔截多數(shù)非授權(quán)訪問和攜帶病毒的軟件，提升計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全性。本文將對計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的作用和具體應(yīng)用進(jìn)行分析。

計(jì)算機(jī)；網(wǎng)絡(luò)安全；防火墻技術(shù)

1.計(jì)算機(jī)網(wǎng)絡(luò)安全及主要安全隱患

計(jì)算機(jī)網(wǎng)絡(luò)安全是其各項(xiàng)功能能夠正常使用、真正發(fā)揮出計(jì)算機(jī)網(wǎng)絡(luò)在數(shù)據(jù)傳輸方面高效、快捷等優(yōu)勢的前提。網(wǎng)絡(luò)的安全性作為計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建和運(yùn)行的首要性能，在計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程中一直受到高度重視，對各種安全防護(hù)手段的研究與應(yīng)用取得了重大進(jìn)展。但是與此同時，網(wǎng)絡(luò)攻擊手段和病毒的類型也在不斷的更新，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)長期工作，必須不斷提升安全防護(hù)水平，才能有效應(yīng)對各種新的攻擊手段和病毒傳播形式[1]。

計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患大體可以分為三類：（1）數(shù)據(jù)安全隱患，由于計(jì)算機(jī)網(wǎng)絡(luò)具有高度的開放性，而且計(jì)算機(jī)系統(tǒng)本身也不可避免的存在一些漏洞，因此信息數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的存儲于傳輸面臨著一定的安全隱患。比如數(shù)據(jù)在網(wǎng)絡(luò)節(jié)點(diǎn)中的交換容易被黑客篡改，使數(shù)據(jù)的完整性和真實(shí)性遭到破壞。網(wǎng)絡(luò)黑客還可以利用數(shù)據(jù)的脆弱部分窺視內(nèi)網(wǎng)數(shù)據(jù)，造成大量重要數(shù)據(jù)泄露，或者在數(shù)據(jù)中植入木馬病毒，如果用戶不能及時發(fā)現(xiàn)并有效處理，很可能導(dǎo)致系統(tǒng)癱瘓。（2）人為破壞，計(jì)算機(jī)網(wǎng)絡(luò)的主要安全風(fēng)險(xiǎn)就是人為破壞引起的，雖然近年來我國一直在加強(qiáng)網(wǎng)絡(luò)實(shí)名制建設(shè)，但是想要在計(jì)算機(jī)網(wǎng)絡(luò)的虛擬世界中，真正實(shí)現(xiàn)實(shí)名制管理難度較大。許多懷有不正當(dāng)目的的網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)的虛擬性，在計(jì)算機(jī)網(wǎng)絡(luò)中大肆傳播具有危險(xiǎn)的病毒數(shù)據(jù)，并通過木馬攻擊等手段，對其他用戶的計(jì)算機(jī)系統(tǒng)造成破壞，使其系統(tǒng)性能嚴(yán)重下降，最終引起系統(tǒng)崩潰。許多病毒被隱藏在郵件或應(yīng)用軟件的下載更新包中，如果用戶的下載途徑不當(dāng)，或者沒有采用必要的安全防護(hù)手段，極易受到人為破壞攻擊。(3)網(wǎng)絡(luò)環(huán)境的安全隱患，計(jì)算機(jī)網(wǎng)絡(luò)處于一個開放性高、交互性強(qiáng)的虛擬環(huán)境中，在網(wǎng)絡(luò)環(huán)境中信息數(shù)據(jù)高度共享，資源高度開放，用戶在網(wǎng)絡(luò)中下載各種數(shù)據(jù)資源或進(jìn)行資源傳輸，都面臨著較高的安全風(fēng)險(xiǎn)。

2.防火墻技術(shù)的主要功能和應(yīng)用價(jià)值

防火墻技術(shù)是一種傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)手段，但隨著防火墻技術(shù)的更新升級，可以有效識別并攔截新的網(wǎng)絡(luò)攻擊手段，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供保障。防火墻技術(shù)主要具備三方面功能：（1）狀態(tài)檢測功能，防火墻技術(shù)以整個網(wǎng)絡(luò)為研究對象，分析網(wǎng)絡(luò)中傳輸?shù)男畔?shù)據(jù)流，并對其進(jìn)行區(qū)分，準(zhǔn)確識別出信息數(shù)據(jù)流中包含的不安全因素，但是防火墻技術(shù)的狀態(tài)監(jiān)測功能在時效性方面有一定不足，可能會出現(xiàn)保護(hù)延遲的情況；（2）過濾功能，防火墻技術(shù)將網(wǎng)絡(luò)層作為保護(hù)對象，通過基于計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的保護(hù)措施，確保網(wǎng)絡(luò)協(xié)議的有效落實(shí)，對網(wǎng)絡(luò)層的數(shù)據(jù)傳輸進(jìn)行防護(hù)處理；（3）IP轉(zhuǎn)換功能，防火墻技術(shù)通過偽裝IP端口，將內(nèi)網(wǎng)環(huán)境與外網(wǎng)環(huán)境進(jìn)行分割，并對內(nèi)網(wǎng)環(huán)境提供保護(hù)，使用戶在安全隱患較高的外網(wǎng)環(huán)境中進(jìn)行訪問時，可以最大限度的保證內(nèi)網(wǎng)安全[2]。

防火墻技術(shù)在長期的應(yīng)用過程中，體現(xiàn)出極高的應(yīng)用價(jià)值，可以對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效的安全防護(hù)。其具體價(jià)值主要體現(xiàn)在4個方面：（1）在關(guān)鍵位置為計(jì)算機(jī)網(wǎng)絡(luò)提供信息數(shù)據(jù)的過濾服務(wù)，比如在TCP層進(jìn)行部署，對接受到的數(shù)據(jù)包進(jìn)行全面檢查，如果發(fā)現(xiàn)數(shù)據(jù)包中包含不安全因素，可以立即中斷傳輸，通過過濾技術(shù)的應(yīng)用，對外網(wǎng)的安全風(fēng)險(xiǎn)進(jìn)行嚴(yán)格控制。防火墻技術(shù)的過濾功能是其預(yù)防性的集中體現(xiàn)，能夠科學(xué)的控制信息傳輸風(fēng)險(xiǎn)，阻止數(shù)據(jù)流將安全隱患帶入內(nèi)網(wǎng)，在包括TCP層、路由器等關(guān)鍵位置上的應(yīng)用都具備極高的應(yīng)用價(jià)值；（2）通過代理技術(shù)的應(yīng)用和實(shí)現(xiàn)，對內(nèi)、外網(wǎng)進(jìn)行分割，強(qiáng)化對計(jì)算機(jī)網(wǎng)絡(luò)模塊的控制作用，實(shí)現(xiàn)對內(nèi)網(wǎng)環(huán)境的有效保護(hù)；在代理技術(shù)的中轉(zhuǎn)作用下，內(nèi)網(wǎng)只接受代理發(fā)出的請求，拒絕外網(wǎng)的直接訪問請求，可以有效避免來自外網(wǎng)的非授權(quán)訪問；（3）通過檢測技術(shù)的應(yīng)用，對計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行分析和控制，并將分析結(jié)果進(jìn)行自動記錄，通過對數(shù)據(jù)狀態(tài)和規(guī)則的比對，對數(shù)據(jù)的安全性作出正確判斷，在網(wǎng)絡(luò)層的應(yīng)用可以拓展網(wǎng)絡(luò)安全保護(hù)范圍，提高信息運(yùn)行效率[3]。

3.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用

3.1 訪問策略控制

訪問策略控制是防火墻的核心技術(shù)，其具體實(shí)施通過對訪問策略的設(shè)計(jì)和配置，在網(wǎng)絡(luò)運(yùn)行的全過程中，為其建立科學(xué)的防護(hù)體系，通過對訪問策略的規(guī)劃，構(gòu)建安全性較高的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境。訪問策略控制的關(guān)鍵實(shí)施步驟分為以下幾點(diǎn)：（1）防火墻技術(shù)對計(jì)算機(jī)運(yùn)行信心進(jìn)行劃分，使其分為若干不同的單位，并對每個單位規(guī)劃內(nèi)部和外部的訪問保護(hù)措施，從而保證流通訪問的安全性；（2）防火墻技術(shù)主動了解計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過程中的各個地址，包括數(shù)據(jù)收發(fā)的目的地址和端口地址等，從而了解網(wǎng)絡(luò)運(yùn)行特定，在此基礎(chǔ)上對安全保護(hù)策略進(jìn)行規(guī)劃；（3）訪問策略采取不同的保護(hù)方式，防火墻技術(shù)從計(jì)算機(jī)安全需求出發(fā)，根據(jù)訪問策略的實(shí)際應(yīng)用情況，對其進(jìn)行調(diào)整，時保護(hù)作用最優(yōu)化。并在執(zhí)行過程中，自動形成一張策略表，將所有訪問策略活動記錄在內(nèi)。但是該表中的記錄信息可能不完全適用于網(wǎng)絡(luò)保護(hù)，所以需要進(jìn)行自主調(diào)整。防火墻技術(shù)主要通過策略表對其保護(hù)行為進(jìn)行約束，規(guī)劃執(zhí)行順序，提高保護(hù)效率。（4）排除訪問策略的運(yùn)行漏洞后，將其確定為防火墻技術(shù)的配置方案，有效的保護(hù)網(wǎng)絡(luò)安全。

3.2 日志分析監(jiān)控

防火墻在運(yùn)行過程中會形成保護(hù)日志，一些用戶可以通過對防火墻日志的分析，獲取有價(jià)值的信息，對保護(hù)日志的安全防護(hù)也是防火墻的重點(diǎn)任務(wù)之一。用戶在分析日志時，不用全面執(zhí)行操作，以免忽視重要信息，由于防火墻的工作量大，生成的日志信息量也十分龐大，一般只能通過類別劃分，才能實(shí)現(xiàn)有效監(jiān)控，降低日志數(shù)據(jù)的采集難度。對信息進(jìn)行分類后，提取其中的關(guān)鍵信息，作為日志監(jiān)控的主要依據(jù)，可以實(shí)現(xiàn)對日志的有效監(jiān)控和保護(hù)。

3.3 安全配置措施

防火墻的安全配置通過將計(jì)算機(jī)網(wǎng)絡(luò)劃分為幾個相對獨(dú)立的模塊，并針對每個模塊進(jìn)行安全配置，對重點(diǎn)保護(hù)模塊采取隔離技術(shù)，使其成為一個隔離區(qū)。對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵模塊進(jìn)行隔離保護(hù)，可以保證計(jì)算機(jī)處于相對安全的運(yùn)行狀態(tài)，并對重要信息數(shù)據(jù)進(jìn)行有效保護(hù)。防火墻在隔離區(qū)的工作方式較為特殊，通過對其信息流通進(jìn)行監(jiān)控，利用地址轉(zhuǎn)換技術(shù)，改變內(nèi)網(wǎng)IP地址，防止內(nèi)網(wǎng)IP地址被追蹤和解析。

4.結(jié)束語

綜上所述，防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)中具有重要的應(yīng)用價(jià)值，是保障計(jì)算機(jī)內(nèi)網(wǎng)安全的重要手段。本文主要分析了網(wǎng)絡(luò)安全的意義和其面臨的安全隱患，分析了防火墻的主要功能和其應(yīng)用價(jià)值，在此基礎(chǔ)上對防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中的具體應(yīng)用進(jìn)行探討，希望能起到一些參考作用。

[1]程博我國目前計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)探討[J]．改革與開放,2011,20：192．

[2]洪浩．防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[D]．重慶大學(xué),2004．

[3]駱兵．計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J]．信息與電腦(理論版),2016,09：193-194．

宋杉（1981—），男，天津人，大學(xué)本科，工學(xué)學(xué)士，高級工程師，研究方向：電子儀表。