王輝

摘 要：隨著信息技術(shù)在我國各地的普及應(yīng)用，網(wǎng)絡(luò)問題也在不斷地出現(xiàn)，對人們的生活工作帶來了一定的困擾，信息技術(shù)問題主要體現(xiàn)在網(wǎng)絡(luò)故障和網(wǎng)絡(luò)通訊安全的問題上，網(wǎng)絡(luò)故障主要是由于硬件設(shè)施和軟件配置的問題導(dǎo)致的，相對而言，比較容易解決。目前，網(wǎng)絡(luò)通訊安全問題是影響信息技術(shù)發(fā)展和應(yīng)用的嚴(yán)重問題。下文分析了威脅網(wǎng)絡(luò)安全技術(shù)的主要因素，闡述了防火墻在網(wǎng)絡(luò)安全中的巨大作用，對各種類型的防火墻的優(yōu)點(diǎn)和缺點(diǎn)以及使用效果做了探討。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 防范措施 防火墻技術(shù)

引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)通信給人們的工作生活帶來諸多便利，同時網(wǎng)絡(luò)安全的問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日益嚴(yán)重。網(wǎng)絡(luò)通訊安全問題主要表現(xiàn)在信息的泄漏、篡改以及非法信息的流傳和散播，還包括一些利用網(wǎng)絡(luò)資源進(jìn)行非法貿(mào)易等問題，網(wǎng)絡(luò)通信安全問題可能給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失，所以必須要引起我們我們的高度重視和關(guān)注。防火墻技術(shù)能提高系統(tǒng)的安全性，減少網(wǎng)絡(luò)的不安全因素。在現(xiàn)如今的計算機(jī)時代，網(wǎng)絡(luò)信息的安全尤為重要，我們對防火墻技術(shù)的要求也會越來越高。

一、網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)信息安全的威脅是多方面的，隨著時間的變化而變化。這些威脅大致可以分為自然威脅和人為威脅。

自然威脅可能來自各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些非目的性事件，有時直接威脅到網(wǎng)絡(luò)的安全，影響信息存儲介質(zhì)。

人為威脅是對網(wǎng)絡(luò)的人為攻擊。這些攻擊都是通過搜索系統(tǒng)的弱點(diǎn)，以達(dá)到破壞、欺騙、竊取數(shù)據(jù)的目的，可能會造成經(jīng)濟(jì)和政治上無法估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾類：網(wǎng)絡(luò)缺陷、黑客攻擊病毒、資源管理不足和內(nèi)部網(wǎng)絡(luò)用戶濫用網(wǎng)絡(luò)源造成信息泄露[2]。

（一）影響計算機(jī)網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)資源共享。資源共享是計算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但它為攻擊者利用共享資源破壞系統(tǒng)安全提供了機(jī)會。隨著互聯(lián)網(wǎng)需求的不斷增長，不可能完全隔離外部服務(wù)請求，并且很容易通過服務(wù)請求的機(jī)會獲得網(wǎng)絡(luò)數(shù)據(jù)包。

網(wǎng)絡(luò)的開放性?；ヂ?lián)網(wǎng)上的任何用戶都非常方便地訪問互聯(lián)網(wǎng)上的信息資源，因此很容易得到一個企業(yè)、單位和個人的敏感信息[3]。

網(wǎng)絡(luò)操作系統(tǒng)漏洞。網(wǎng)絡(luò)操作系統(tǒng)是實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)的最終載體，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件的接口，同時還提供所需的網(wǎng)絡(luò)通信協(xié)議和服務(wù)程序。由于網(wǎng)絡(luò)協(xié)議的復(fù)雜性，操作系統(tǒng)在實(shí)現(xiàn)過程中必然存在缺陷和漏洞。

網(wǎng)絡(luò)系統(tǒng)設(shè)計中的缺陷。網(wǎng)絡(luò)系統(tǒng)設(shè)計指的是拓?fù)浣Y(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)的不合理將直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，也能保證更好的安全性。網(wǎng)絡(luò)設(shè)計的不合理將對網(wǎng)絡(luò)安全造成威脅。

惡意攻擊。黑客是一種常見的網(wǎng)絡(luò)攻擊和病毒，這是最難以防范的網(wǎng)絡(luò)安全的威脅因素。隨著計算機(jī)教育的普及，這樣的攻擊越來越多，影響也越來越大[4]。

二、防火墻技術(shù)

（一）防火墻定義

防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，根據(jù)網(wǎng)絡(luò)安全策略控制（權(quán)限拒絕監(jiān)聽）訪問網(wǎng)絡(luò)信息流，本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、保障網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。理論上講，防火墻是一個分離器、一個限制器、也是一個分析器，它可以監(jiān)控內(nèi)部網(wǎng)和Internet之間的所有活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

（二）防火墻的種類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同，總體來講分為兩大類：分組過濾以及應(yīng)用代理。

分組過濾（Packetfiltering）；作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號，協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過[5]。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用，實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。

（三）防火墻技術(shù)原理

1、包過濾技術(shù)

包過濾是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)一組過濾規(guī)則，檢查IP分組以確定數(shù)據(jù)包是否通過。不符合IP地址要求的，將被防火墻過濾掉，從而保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢曰谝恍┗蛩幸韵碌男畔⒔MIP包過濾：源IP地址；目的IP地址；TCP / UDP源端口；TCP / UDP目的端口。數(shù)據(jù)包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大的優(yōu)點(diǎn)是價格便宜，易于實(shí)現(xiàn)邏輯，易于安裝和使用[6]。

2、代理技術(shù)

代理技術(shù)是另一種完全不同于包過濾技術(shù)的防火墻技術(shù)。其主要思想是在兩個網(wǎng)絡(luò)之間建立一個“中間檢查點(diǎn)”，通過網(wǎng)絡(luò)進(jìn)行通信?！爸虚g檢查點(diǎn)”是代理服務(wù)器，在兩個網(wǎng)絡(luò)之間運(yùn)行并檢查網(wǎng)絡(luò)之間的每個請求。當(dāng)代理服務(wù)器接收用戶請求時，它檢查請求的有效性。如果是合法的，則請求轉(zhuǎn)發(fā)到實(shí)際服務(wù)器并轉(zhuǎn)發(fā)給用戶。為應(yīng)用程序服務(wù)編寫代理服務(wù)器，在應(yīng)用層中工作。

3、監(jiān)視技術(shù)

這是第三代防火墻技術(shù)，融合了前兩者的優(yōu)點(diǎn)。網(wǎng)絡(luò)通信可以在各級檢測。用同包過濾技術(shù)，可以檢測IP地址，端口號，以及TCP標(biāo)簽，過濾掉數(shù)據(jù)包。它允許客戶信任和不信任的主機(jī)建立直接的聯(lián)系，不依賴于相關(guān)的應(yīng)用層代理、應(yīng)用層數(shù)據(jù)，但在方法確定進(jìn)口，這些算法通過已知的合法數(shù)據(jù)包模式比較導(dǎo)入數(shù)據(jù)包，因此理論上可以更多的應(yīng)用級代理的數(shù)據(jù)包過濾。

狀態(tài)監(jiān)視器的監(jiān)控模塊支持多種協(xié)議和應(yīng)用，可擴(kuò)展應(yīng)用和服務(wù)。此外，它還可以監(jiān)視RPC和UDP端口的信息，并且數(shù)據(jù)包過濾和代理不支持這樣的端口。這樣，通過對各個層的監(jiān)控，實(shí)現(xiàn)狀態(tài)監(jiān)控，達(dá)到網(wǎng)絡(luò)安全的目的。目前，使用多狀態(tài)監(jiān)控防火墻，它對用戶是透明的，在OSI頂部加密數(shù)據(jù)，不修改客戶端程序，就沒有必要為每個運(yùn)行在防火墻上的服務(wù)添加一個代理。

結(jié)語

現(xiàn)如今，網(wǎng)絡(luò)安全問題已引起世界各國的嚴(yán)密關(guān)注，隨著計算機(jī)網(wǎng)絡(luò)在人類生活各個領(lǐng)域的廣泛應(yīng)用，不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵，重要資料被竊取等嚴(yán)重問題，網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來越多，各種病毒泛濫成災(zāi)。這一切，對國家及眾多商業(yè)公司造成巨大的經(jīng)濟(jì)損失，甚至危害到國家安全，加強(qiáng)網(wǎng)絡(luò)安全管理已刻不容緩。

參考文獻(xiàn)

[1]楊富國.網(wǎng)絡(luò)通信安全及防火墻技術(shù)分析[J]. 信息通信，2013，（09）：139-140.

[2]李志平，張偉斌，鄭昕，黃智英. 網(wǎng)絡(luò)通信安全及防火墻技術(shù)淺析[J].中國新通信，2014，（21）：3-4.

[3]張瑞.計算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J].電腦知識與技術(shù)，2012，（24）：5787-5788.

[4]衛(wèi)星，周瑜龍.網(wǎng)絡(luò)通信安全及防火墻技術(shù)淺析[J].計算機(jī)光盤軟件與應(yīng)用，2012，（13）：135-136.

[5]付冬波，吳偉豐.基于分布式防火墻技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)分析[J].信息與電腦（理論版），2016，（08）：133-134.

[6]汪紅瓊.網(wǎng)絡(luò)通信安全與防火墻技術(shù)研究[J].通訊世界，2015，（16）：12.