金元石，張曉宇

（中國(guó)電子科技集團(tuán)公司第四十七研究所，沈陽(yáng)110032）

計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析

金元石，張曉宇

（中國(guó)電子科技集團(tuán)公司第四十七研究所，沈陽(yáng)110032）

隨著經(jīng)濟(jì)水平的逐步提高與科學(xué)技術(shù)日新月異的發(fā)展，計(jì)算機(jī)在人們?nèi)粘Ｉ钆c工作中的應(yīng)用也更加具有普遍性，但是由于計(jì)算機(jī)網(wǎng)絡(luò)等新興技術(shù)的發(fā)展尚且處于一個(gè)不夠完備的階段，人們?cè)谟?jì)算機(jī)實(shí)際使用過(guò)程中經(jīng)常會(huì)出現(xiàn)網(wǎng)絡(luò)安全，因此，網(wǎng)絡(luò)安全問(wèn)題也受到了人們更為廣泛的關(guān)注。防火墻技術(shù)作為能夠應(yīng)對(duì)這種安全威脅挑戰(zhàn)的有效手段，加強(qiáng)防火墻技術(shù)內(nèi)容的探索對(duì)于維護(hù)整個(gè)互聯(lián)網(wǎng)具有十分重要意義。

計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防火墻；技術(shù)；分析

1 引言

互聯(lián)網(wǎng)就像電一樣，悄無(wú)聲息地貫穿于我們的日常生活，無(wú)所不在。雖然計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了巨大便利，但網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻，如不斷曝出的精準(zhǔn)電信詐騙、斯諾登棱鏡門、熊貓燒香病毒攻擊等。終端設(shè)備面臨的威脅和挑戰(zhàn)日益增加。所以，加強(qiáng)網(wǎng)絡(luò)安全與防火墻建設(shè)非常重要。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的內(nèi)容及存在問(wèn)題

在用戶對(duì)計(jì)算機(jī)進(jìn)行使用的過(guò)程中，為了保障計(jì)算機(jī)所存儲(chǔ)數(shù)據(jù)信息的完整性與安全性，免于受到外部攻擊而導(dǎo)致篡改、泄漏，為使得網(wǎng)絡(luò)運(yùn)行環(huán)境能夠始終處于一個(gè)安全、穩(wěn)定的環(huán)境中，便需要類似于安全屏障類的隔離技術(shù)，而這種“防火墻”技術(shù)則為其提供了途徑。防火墻的相關(guān)技術(shù)不僅能夠?qū)W(wǎng)絡(luò)之間的訪問(wèn)權(quán)限以及內(nèi)容控制起到很好的阻隔、管理作用，同時(shí)也阻止了一些非法行為的發(fā)生，降低因黑客非法獲取網(wǎng)絡(luò)的信息資源及其他非法行為而給普通用戶帶來(lái)危害的概率[1]。

在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的使用過(guò)程中也存在著一些問(wèn)題，概況起來(lái)主要有以下項(xiàng)內(nèi)容：

（1）關(guān)于計(jì)算機(jī)的數(shù)據(jù)威脅問(wèn)題。在數(shù)據(jù)運(yùn)行時(shí)時(shí)常會(huì)出現(xiàn)一些漏洞，攻擊者利用計(jì)算機(jī)中的漏洞，從計(jì)算機(jī)網(wǎng)絡(luò)中的薄弱部分開(kāi)始侵入，進(jìn)而窺探到網(wǎng)絡(luò)中的數(shù)據(jù)，并植入病毒、木馬程序等，從而威脅到計(jì)算機(jī)網(wǎng)絡(luò)的正常的使用。關(guān)于病毒的不同特征，可以簡(jiǎn)單劃分為如表1所示的不同種類。

（2）計(jì)算機(jī)中的外力破壞問(wèn)題也是能夠?qū)?shù)據(jù)運(yùn)行產(chǎn)生不利影響。當(dāng)前的外力數(shù)據(jù)破壞主要是指利用郵件病毒、網(wǎng)站病毒的方式對(duì)用戶的計(jì)算機(jī)進(jìn)行攻擊。在許多情況下是由于用戶采取的不正當(dāng)操作習(xí)慣，使得整個(gè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題。比如，用戶在長(zhǎng)時(shí)間沒(méi)有對(duì)所瀏覽過(guò)的網(wǎng)站進(jìn)行清除，沒(méi)能定期完成病毒查殺以及其他不良習(xí)慣，都會(huì)給攻擊者帶來(lái)可乘之機(jī)，使其從用戶的使用記錄中探尋出用戶的操作習(xí)慣，接著再以添加具有攻擊性鏈接的方式來(lái)完成病毒的立即啟動(dòng)，繼而完成對(duì)計(jì)算機(jī)的攻擊動(dòng)作。

表1 常見(jiàn)的病毒種類

（3）網(wǎng)絡(luò)環(huán)境中的威脅性問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境是一個(gè)共享的環(huán)境背景，這既是計(jì)算機(jī)得以運(yùn)行與訪問(wèn)的基礎(chǔ)，同時(shí)也是每位用戶實(shí)現(xiàn)各種上網(wǎng)操作的重要保障。通常來(lái)說(shuō)，在網(wǎng)絡(luò)環(huán)境中共享情況越是緊密，所能遭受到的攻擊也就更為頻繁與激烈。計(jì)算機(jī)具體實(shí)踐使用的過(guò)程也是依靠網(wǎng)絡(luò)環(huán)境得以實(shí)現(xiàn)，而攻擊者則可以透過(guò)讓網(wǎng)絡(luò)環(huán)境內(nèi)部互相交流的信息包，攜帶攻擊性的信息內(nèi)容，接著再經(jīng)過(guò)數(shù)據(jù)包的作用，將這些具有攻擊性的信息帶進(jìn)內(nèi)網(wǎng)，進(jìn)而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)結(jié)構(gòu)的破壞[2]。

2.2 研究防火墻技術(shù)的優(yōu)勢(shì)意義

關(guān)于防火墻技術(shù)的研究，具有多方面的優(yōu)勢(shì)意義，簡(jiǎn)單概括起來(lái)主要有以下方面的內(nèi)容：

1）防火墻技術(shù)研究是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展現(xiàn)狀的必然要求。在信息化處于迅速發(fā)展?fàn)顟B(tài)的今天，計(jì)算機(jī)安全問(wèn)題是制約計(jì)算機(jī)科技發(fā)展的重要因素之一。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)一旦遭受到攻擊，那么其數(shù)據(jù)則很容易會(huì)被惡意破壞或是竊取篡改。所以，發(fā)展相關(guān)的防火墻技術(shù)，則能夠在互聯(lián)網(wǎng)中建立起一道“屏障”，關(guān)于防火墻的使用示意圖如圖1所示，從中不難看出，通過(guò)建立防火墻也為人們更好地利用計(jì)算機(jī)互聯(lián)網(wǎng)完成各項(xiàng)事業(yè)提供條件。

2）防火墻技術(shù)本身在計(jì)算機(jī)互聯(lián)網(wǎng)中也具有著極高的使用價(jià)值。對(duì)其使用價(jià)值進(jìn)行分析，概括來(lái)說(shuō)主要有以下幾方面的內(nèi)容：

（1）防火墻中關(guān)于代理技術(shù)的使用。代理技術(shù)指的是當(dāng)計(jì)算機(jī)在運(yùn)用過(guò)程中時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)能夠?qū)?nèi)部運(yùn)行的各個(gè)模塊進(jìn)行控制，并展現(xiàn)出一種強(qiáng)效的狀態(tài)，從而在內(nèi)、外網(wǎng)之間將其自身的作用充分地發(fā)揮出來(lái)[3]。在內(nèi)網(wǎng)中，這種分發(fā)的代理請(qǐng)求能夠被接收到，而在外網(wǎng)中的請(qǐng)求則可以直接被拒絕，從而保障網(wǎng)絡(luò)能夠?qū)π畔?nèi)容作出分割，進(jìn)而為杜絕信息混淆以及減輕技術(shù)壓力創(chuàng)造條件。

圖1 防火墻使用示意圖

（2）關(guān)于防火墻中的過(guò)濾性技術(shù)，在計(jì)算機(jī)使用中同樣具有著不容忽視的作用。這種過(guò)濾技術(shù)主要是依據(jù)特定地點(diǎn)位置，從而為網(wǎng)絡(luò)提供優(yōu)質(zhì)的過(guò)濾服務(wù)。比如，在計(jì)算機(jī)網(wǎng)絡(luò)TCP位置，防火墻能夠?qū)CP位置上所接收的數(shù)據(jù)包內(nèi)容展開(kāi)預(yù)先檢查，在安全性合乎標(biāo)準(zhǔn)的情況下才能夠繼續(xù)順利進(jìn)行下去，而當(dāng)出現(xiàn)具有威脅性的因素或是有攻擊性的行為時(shí)，過(guò)濾技術(shù)便可以讓數(shù)據(jù)包的傳輸馬上隔斷開(kāi)來(lái)，并且對(duì)于外網(wǎng)的環(huán)境進(jìn)行過(guò)濾，將預(yù)防性、科學(xué)性的信息傳輸作為確保TCP區(qū)域能夠運(yùn)行安全的重要原則[4]。

（3）計(jì)算機(jī)網(wǎng)絡(luò)使用中的檢測(cè)技術(shù)也是其中不可或缺的組成部分。這種檢測(cè)技術(shù)也成為在狀態(tài)機(jī)制上建成的新興技術(shù)。

3）防火墻在網(wǎng)絡(luò)安全方面的重要作用

（1）防火墻能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)攻擊進(jìn)行精確的識(shí)別。一般情況下，互聯(lián)網(wǎng)中的攻擊都是采用不同層次的攻擊來(lái)實(shí)現(xiàn)的，因而攻擊的種類也較為多元化，而防火墻技術(shù)則可以根據(jù)不用的攻擊路徑與攻擊方法來(lái)對(duì)攻擊內(nèi)容與行為的具體屬性展開(kāi)判斷，以此確保網(wǎng)絡(luò)運(yùn)行處于良好的環(huán)境之中。

（2）防火墻技術(shù)對(duì)于互聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng)還具有高效的保護(hù)作用。這種保護(hù)作用主要是當(dāng)計(jì)算機(jī)面對(duì)危險(xiǎn)時(shí)，防火墻能夠?qū)τ?jì)算機(jī)所面臨具有風(fēng)險(xiǎn)性的活動(dòng)展開(kāi)維護(hù)。既保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能夠得以繼續(xù)正常運(yùn)行，同時(shí)也促進(jìn)了整個(gè)網(wǎng)絡(luò)系統(tǒng)性能的提升，從而對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的強(qiáng)化以及網(wǎng)絡(luò)使用效率的提高也都起到了巨大的推動(dòng)功能[5]。

3 關(guān)于防火墻技術(shù)的具體分析和應(yīng)用

3.1 計(jì)算機(jī)防火墻技術(shù)的相關(guān)內(nèi)容

1）防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用的目的

要保障整個(gè)防護(hù)效果是積極的、高效的，則需要用戶對(duì)其需要保護(hù)的網(wǎng)絡(luò)安全內(nèi)容進(jìn)行了解。網(wǎng)絡(luò)安全通常指的是網(wǎng)絡(luò)傳輸與存儲(chǔ)中的信息安全，而在實(shí)踐中能夠?qū)W(wǎng)絡(luò)信息安全起到不利影響主要可以分為信息泄密、傳輸非法信息流、信息數(shù)據(jù)被惡意篡改、非法使用網(wǎng)絡(luò)資源、軟件漏洞、環(huán)境影響、人為安全因素等。其中信息泄密、信息篡改、軟件安全漏洞是用戶在日常使用中時(shí)常會(huì)遭遇到的情況[6]。此外需要注意的還有非法信息流傳輸與網(wǎng)絡(luò)資源被錯(cuò)誤地使用與利用等。通常情況下，不同的用戶其被允許進(jìn)入的通信類型也是有所區(qū)分的，對(duì)于一些特殊信息是不被允許以電子郵件或其他軟件進(jìn)行文件資源傳送的。當(dāng)用戶對(duì)一些資源信息進(jìn)行不合理的資源訪問(wèn)時(shí)，這種資源也可能會(huì)被故意或是偶然地破壞。

2）防火墻完成網(wǎng)絡(luò)安全維護(hù)主要策略分析

（1）要提高整個(gè)網(wǎng)絡(luò)環(huán)境的安全性首先需要對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密。通過(guò)加密后的數(shù)據(jù)對(duì)于防止信息數(shù)據(jù)被泄露、篡改與破壞起到極為有效的作用。

（2）鏈路加密的方式也可以為網(wǎng)絡(luò)中兩個(gè)相鄰的節(jié)點(diǎn)數(shù)據(jù)做到保護(hù)加密，通過(guò)確保加密數(shù)據(jù)在鏈路傳輸中實(shí)現(xiàn)不同數(shù)據(jù)的獨(dú)立加密。

（3）節(jié)點(diǎn)加密指的是通過(guò)對(duì)源節(jié)點(diǎn)至目標(biāo)節(jié)點(diǎn)過(guò)程的鏈路進(jìn)行保護(hù)，這種節(jié)點(diǎn)加密方式同鏈路加密方式比較類似，二者的不同之處在于使用節(jié)點(diǎn)加密的方法中，網(wǎng)絡(luò)節(jié)點(diǎn)能夠?qū)⑺邮盏降臄?shù)據(jù)內(nèi)容完成解密。

（4）端端加密指的是通過(guò)源節(jié)點(diǎn)用戶在數(shù)據(jù)目標(biāo)節(jié)點(diǎn)的加密，并允許源節(jié)點(diǎn)的目標(biāo)節(jié)點(diǎn)始終將密文形式作為有效的形式，而這種加密方式往往也更加的安全、可靠，并且利于設(shè)計(jì)與完成[7]。

（5）混合加密方式是端端加密與鏈路加密相互組合而成的一種加密形式，這種混合型的方法不僅能夠?qū)?bào)頭中敏感的數(shù)據(jù)內(nèi)容進(jìn)行有效保護(hù)，同時(shí)也能最大限度地保障數(shù)據(jù)的安全性。

3.2 防火墻技術(shù)的具體應(yīng)用

1）加密技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)，比較基礎(chǔ)的是加密技術(shù)，加密技術(shù)指的是在信息發(fā)送之前，先對(duì)信息進(jìn)行加密操作，加密的密碼一般由發(fā)送方和接收方共同掌握。接收方在受到信息后利用密碼進(jìn)行解密操作，從而完成信息的安全傳輸。

計(jì)算機(jī)網(wǎng)絡(luò)加密技術(shù)，提高了信息傳輸?shù)陌踩?，不?huì)暴露出信息的內(nèi)容，起到安全保護(hù)的作用。加密技術(shù)在防火墻技術(shù)中最為常見(jiàn)，也是使用時(shí)間較長(zhǎng)的一類技術(shù)，改善了網(wǎng)絡(luò)運(yùn)行的狀態(tài)，更加重視計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

2）配置訪問(wèn)策略

防火墻技術(shù)是整個(gè)訪問(wèn)策略的運(yùn)用，該應(yīng)用方式也在網(wǎng)絡(luò)安全中占據(jù)了主要地位。要實(shí)施網(wǎng)絡(luò)訪問(wèn)的配置需要經(jīng)過(guò)縝密的安排和計(jì)算，并且對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中所運(yùn)行的整個(gè)信息過(guò)程也都要進(jìn)行深化，從而才能保障科學(xué)、可靠的防護(hù)系統(tǒng)的形成。要完成對(duì)整個(gè)訪問(wèn)流程的保護(hù)，具體說(shuō)來(lái)需要從以下方面入手：

（1）防火墻技術(shù)經(jīng)過(guò)對(duì)不同的運(yùn)行信息分成不同單位，再在不同單位的內(nèi)外部分進(jìn)行規(guī)劃，以此確定流通訪問(wèn)的重大價(jià)值。

（2）防火墻技術(shù)也通過(guò)訪問(wèn)策略對(duì)網(wǎng)絡(luò)運(yùn)行中的地址進(jìn)行訪問(wèn)。比如，針對(duì)端口地址、目的地址也可以對(duì)計(jì)算機(jī)運(yùn)行中的特點(diǎn)，從而規(guī)劃出最為安全的保護(hù)方式。

（3）在計(jì)算機(jī)網(wǎng)絡(luò)的安全保護(hù)中，訪問(wèn)策略對(duì)應(yīng)著不同的技術(shù)，以此生成策略表，進(jìn)而對(duì)訪問(wèn)策略中所有的活動(dòng)予以訪問(wèn)。值得注意的是，策略表信息通常也不能完全適應(yīng)訪問(wèn)策略調(diào)整的需要，要實(shí)現(xiàn)最佳的訪問(wèn)結(jié)果則還需防火墻根據(jù)自身策略表中的順序進(jìn)行嚴(yán)格地執(zhí)行，從而通過(guò)眾多約束性的行為來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的保護(hù)。

（4）當(dāng)所有的訪問(wèn)策略已經(jīng)被運(yùn)行完畢之后，使用者還需要對(duì)網(wǎng)絡(luò)運(yùn)行后的漏洞進(jìn)行及時(shí)的排除，而這些具體操作也成為防火墻技術(shù)保護(hù)中不可缺少的配置性環(huán)節(jié)，經(jīng)過(guò)這些步驟也才能真正對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全起到相對(duì)全面的保護(hù)[8]。

（5）日志監(jiān)控

一些計(jì)算機(jī)運(yùn)用也能夠從對(duì)防火墻技術(shù)的保護(hù)日志中探尋到具有參考價(jià)值的信息。日志監(jiān)控在計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)中也同樣應(yīng)當(dāng)占有極大的比重，并且成為防火墻技術(shù)所重點(diǎn)保護(hù)的對(duì)象。用戶在對(duì)防火墻的日志進(jìn)行分析，這時(shí)并不需要全面執(zhí)行操作內(nèi)容，從而也避免了對(duì)關(guān)鍵信息的操作問(wèn)題。譬如，當(dāng)用戶在利用防火墻對(duì)網(wǎng)絡(luò)保護(hù)中生成的日志內(nèi)容開(kāi)展執(zhí)行活動(dòng)時(shí)，對(duì)某種類別的信息采集也會(huì)導(dǎo)致防火墻的工作量?jī)?nèi)容極為龐大。并且在其產(chǎn)生的龐雜信息中，又是通過(guò)類別劃分的方式來(lái)實(shí)現(xiàn)的。因此要完成監(jiān)控的內(nèi)容，則還需要用戶對(duì)日志采集所需難度標(biāo)準(zhǔn)予以降低，再防止它對(duì)其中的信息造成惡意的屏蔽，所以用戶在對(duì)同樣類別的信息中提取關(guān)鍵信息時(shí)，可以將這些日志監(jiān)控內(nèi)容作為依據(jù)，進(jìn)而將監(jiān)控的效益成果最大限度地激發(fā)出來(lái)。此外，當(dāng)用戶在監(jiān)控日志中查找到實(shí)時(shí)記錄下的防火墻報(bào)警信息后，這種具備優(yōu)化價(jià)值的日志信息也能夠使選擇記錄問(wèn)題的解決和監(jiān)控日志在防火墻運(yùn)用中的能力效果得到顯著增強(qiáng)。

（6）安全服務(wù)配置

安全服務(wù)配置通常將需要保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)劃分為多個(gè)模塊，并將需要進(jìn)行重點(diǎn)安全防護(hù)的模塊作為隔離區(qū)。與其他的安全防護(hù)措施相比，防火墻技術(shù)通過(guò)安全配置得到的隔離區(qū)域的特征往往更為獨(dú)特。對(duì)在隔離區(qū)域內(nèi)的數(shù)據(jù)，防火墻首先利用地址轉(zhuǎn)換技術(shù)，將需要發(fā)送到外網(wǎng)的數(shù)據(jù)包的IP地址有轉(zhuǎn)換為公共IP，此時(shí)，即使惡意攻擊者試圖從外網(wǎng)解析源IP時(shí)，僅能得到轉(zhuǎn)換后的公共IP，而無(wú)法得到真實(shí)的IP。因此，安全服務(wù)配置使得在內(nèi)網(wǎng)和外網(wǎng)進(jìn)行數(shù)據(jù)交換時(shí)，攻擊者無(wú)法獲得真實(shí)的IP，僅能獲得虛假的IP，難以利用內(nèi)網(wǎng)信息對(duì)內(nèi)網(wǎng)造成攻擊，從而保障內(nèi)網(wǎng)的安全性，防止來(lái)自外網(wǎng)的惡意攻擊。

（7）防病毒技術(shù)

防病毒技術(shù)是防火墻最常使用的一種功能，體現(xiàn)在病毒預(yù)防、病毒檢測(cè)以及消除病毒3個(gè)方面。防火墻顧名思義就像是一道處于計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的保護(hù)墻，對(duì)信息和數(shù)據(jù)的傳送進(jìn)行過(guò)濾和檢查，阻擋住第三方未經(jīng)授權(quán)的主體進(jìn)入，影響數(shù)據(jù)和信息的傳輸。在防病毒技術(shù)方面，防火墻可以自動(dòng)修改路由器里面的存取控制表，過(guò)濾非法IP，對(duì)外來(lái)的非常訪問(wèn)進(jìn)行禁止和阻擋，以達(dá)到防御非法入侵的目的。

3.3 配置實(shí)例

1）需求

依托互聯(lián)網(wǎng)實(shí)現(xiàn)二級(jí)單位非密局域網(wǎng)與集團(tuán)非密網(wǎng)連接，通過(guò)VPN建立虛擬通道，以防火墻限定訪問(wèn)策略，保護(hù)二級(jí)單位非密網(wǎng)網(wǎng)絡(luò)安全。

2）配置說(shuō)明

（1）路由器主要實(shí)現(xiàn)公網(wǎng)地址與私網(wǎng)地址轉(zhuǎn)換，保證私網(wǎng)與互聯(lián)網(wǎng)建立連接。

（2）VPN設(shè)立在互聯(lián)網(wǎng)內(nèi)部接口與防火墻之間，建立虛擬通道，保證二級(jí)單位私網(wǎng)與集團(tuán)非密網(wǎng)建立點(diǎn)對(duì)點(diǎn)連接。

（3）防火墻外部接口與內(nèi)部接口設(shè)定相關(guān)訪問(wèn)策略，因內(nèi)部接口直連二級(jí)單位非密網(wǎng)，所以設(shè)定若干規(guī)則約束訪問(wèn)規(guī)則。具體配置如下（如圖2所示）：

圖2 網(wǎng)絡(luò)拓?fù)鋱D

IP限定：由外向內(nèi)訪問(wèn)控制，設(shè)定any地址為源地址，設(shè)定二級(jí)單位所有IP地址為目的地址，禁止源地址訪問(wèn)目的地址，全面封閉外部網(wǎng)絡(luò)訪問(wèn)二級(jí)單位私有網(wǎng)絡(luò)。由內(nèi)向外訪問(wèn)集團(tuán)非密網(wǎng)，可通過(guò)設(shè)定地址對(duì)象來(lái)限定私網(wǎng)中部分地址訪問(wèn)集團(tuán)非密網(wǎng)。

策略：只開(kāi)放二級(jí)單位私網(wǎng)訪問(wèn)集團(tuán)非密網(wǎng)的相關(guān)業(yè)務(wù)端口，與業(yè)務(wù)無(wú)關(guān)的端口全部封閉。

服務(wù)：根據(jù)相關(guān)業(yè)務(wù)需求，設(shè)定相關(guān)服務(wù)，服務(wù)可集合若干端口，設(shè)定一個(gè)服務(wù)，由內(nèi)向外可設(shè)定一個(gè)相關(guān)服務(wù)來(lái)實(shí)現(xiàn)對(duì)集團(tuán)相關(guān)業(yè)務(wù)訪問(wèn)。

4 結(jié)束語(yǔ)

關(guān)于防火墻技術(shù)的研究，不僅能夠促進(jìn)網(wǎng)絡(luò)環(huán)境更加安全化與穩(wěn)定化，同時(shí)防火墻技術(shù)的探索也能為網(wǎng)絡(luò)健康發(fā)展以及互聯(lián)網(wǎng)市場(chǎng)的繁榮奠定更為堅(jiān)實(shí)的基礎(chǔ)。因此，做好防火墻技術(shù)的研究，并將其廣泛地運(yùn)用到實(shí)踐中，才能促進(jìn)互聯(lián)網(wǎng)更好的發(fā)展，進(jìn)而為每位用戶提供更為優(yōu)質(zhì)的服務(wù)。

[1] 張瑞.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J].電腦知識(shí)與技術(shù)，2012（24）:5787-5788.Zhang Rui.Analysis of computer network security and firewall technology [J].computer knowledge and technology，2012（24）:5787-5788.

[2] 馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014（16）:3743-3745.Marley，Liang Hongjie.Research on the application of firewall technology in computer network security [J].computer knowledge and technology，2014（16）：3743-3745.

[3] 張鳴，高楊.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011（2）：48-50.Zhang Ming，Gao Yang.Journal of computer network security and firewall technology research [J].of Yellow River Conservancy Technical Institute，2011（2）：48-50.

[4] 薛毅飛.探討計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].信息系統(tǒng)工程，2011（4）：63-64.

[5] 陳柏巖.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（11）：67-68.Chen Po yen.Analysis and application of[J].network security network security and firewall technology of computer，2015（11）：67-68.

[6] 陳蘭蘭.論計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)[J].現(xiàn)代商貿(mào)工業(yè)，2016（9）：183-184.Chen Lanlan.On computer network security and firewall technology[J].modern commerce and trade industry，2016（9）：183-184.

[7] 孟慶威.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)——防火墻[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（12）：170-171.Meng Meng.Analysis of computer network security technology-firewall[J].computer CD-ROM software and applications，2013（12）：170-171.

[8] 施然.計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)分析[J].通訊世界，2016（18）：101-102.Shi ran.Computer network security and firewall technology analysis[J].communications world，2016（18）：101-102.

Analysis of Computer Network Security and Firewall Technology

Jin Yuanshi，Zhang Xiaoyu
（The 47th Research Institute of China Eletronics Technology Group Corporation,Shenyang 110032,China）

With the development of economy and science,computer is used universally in our daily life and work.However,computer network is still not perfect as emerging technology,which may cause information security threats.Therefore,people pay more attention to network security problems of using computer.The firewall technology is used as an effective way to counter against this kind of security threat,which has an important significance on Internet maintenance.

Computer；Network；Security；Firewall；Technology；Analyze

10.3969/j.issn.1002-2279.2017.03.007

TN492

A

1002-2279-（2017）03-0030-04

金元石（1982-），男（回族），遼寧省遼陽(yáng)市人，助理工程師，主研方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。

2016-11-07