摘 要：計算機安全在信息時代網(wǎng)絡大范圍普及的背景下，是一個十分重要的課題，特別是在大數(shù)據(jù)云技術逐步發(fā)展的前提下，許多涉及財產(chǎn)安全、部隊利益發(fā)展，甚至安全重要信息，都儲存在網(wǎng)絡平臺上。所以網(wǎng)絡環(huán)境安全性的維護非常重要。而防火墻技術則是維護安全的第一道防線，所以應當針對計算機網(wǎng)絡安全的維護措施，防火墻技術的改革優(yōu)化進行討論，進而給出防范網(wǎng)絡風險的有效建議。

關鍵詞：計算機技術；網(wǎng)絡安全；防火墻技術

中圖分類號：TP393.08 文獻標識碼：A文章編號：2096-4706（2018）01-0148-02

Discussion on Computer Network Security and Firewall Technology

LIU Xiangru1，ZHANG Lu2

（1. China People's Liberation Army 78156，Chengdu 610000，China；2.The Original Chengdu Military Command Communication Station，Chengdu 610015，China）

Abstract：The popularization of computer security in the information age network wide under the background，is a very important issue，especially in the premise of the gradual development of big data cloud technology，many involving property safety，military benefits development，even the security of important information，are stored in the network platform. So to maintain the security of the network environment is the first priority，and the firewall technology is the first line of defense to maintain security，so it should be for the computer network security maintenance measures，firewall technology reform and optimization are discussed，and give effective suggestions to prevent network risk.

Keywords：computer technology；network security；firewall technology

0 引 言

在網(wǎng)絡化的環(huán)境下，網(wǎng)絡環(huán)境的安全是確保各個領域，能夠安全用網(wǎng)的基礎。特別是在大數(shù)據(jù)趨勢下，許多重要信息都儲存在虛擬的云空間當中，為了確保部隊網(wǎng)絡上數(shù)據(jù)的安全，就必須要進一步革新相關安全技術，最大程度避免風險產(chǎn)生，而防火墻是維護網(wǎng)絡安全的第一道平屏障，因此必須要充分重視，才能讓安全用網(wǎng)的目標真正達成。

1 部隊計算機網(wǎng)絡安全與防火墻技術的重要內(nèi)涵

計算機網(wǎng)絡技術的普及，使得社會整體的發(fā)展步調(diào)及大環(huán)境產(chǎn)生了變化，給各個領域的發(fā)展以及生產(chǎn)帶來了很大便利，特別是在大數(shù)據(jù)云技術產(chǎn)生并迅速普及后，部隊信息的傳輸、存儲及取用都更有效率。但是與此同時，也給部隊網(wǎng)絡環(huán)境的安全帶來了挑戰(zhàn)，網(wǎng)絡是一個不存在明確界限的空間，而且云平臺普遍需要借助賬號、密碼等信息去登錄，才能有進一步操作，所以一旦他人借助病毒或是其他技術竊取了賬號密碼，便很可能引發(fā)重大損失，甚至關乎國家安全。所以只有深入思考如何改革安全防火墻技術，提升網(wǎng)絡安全系數(shù)，才能真正避免網(wǎng)絡環(huán)境風險。首先我們必須要了解防火墻的類型。

其一是包過濾型。這類防火墻的運作主要是在OSI模型中的傳輸層和網(wǎng)絡層中進行，在判定信息能否通過時，主要是根據(jù)數(shù)據(jù)目的地址以及包頭源地址等標志進行審核的，滿足過濾條件的數(shù)據(jù)包，才能被傳輸?shù)较鄳牡刂?。其二是應用代理型防火墻，其運作主要是在OSI模型中的最高層，即是在應用層中進行，這樣的防火墻能夠徹底阻斷網(wǎng)絡通信流，并且通過編制有針對性的代理程序，實現(xiàn)在應用層對通信流進行管控的作用。最大的優(yōu)勢是安全系數(shù)較高，能夠?qū)脤舆M行偵測及掃描進而避免基于應用層的入侵及病毒。缺陷是過于嚴格的審核環(huán)境，影響了系統(tǒng)的正常使用，大幅提升了系統(tǒng)管理的難度。其三是狀態(tài)檢測型防火墻，其運作基于連接狀態(tài)檢測的機制，需要將處于同一連接的所有的數(shù)據(jù)包，當成一個整體數(shù)據(jù)流，并構成連接狀態(tài)表，借助規(guī)則表和狀態(tài)表的匹配，來判別表中各種連接狀態(tài)相關的信息。動態(tài)連接表中所記錄的內(nèi)容，不僅可以是以往的通信信息，也可以是其他的應用程序信息，這類防火墻，相對于傳統(tǒng)包過濾防火墻及靜態(tài)過濾規(guī)則表來說靈活性更大也更可靠。不同的防火墻，有不同的防護方式，不同的用途，也有不同的優(yōu)化措施，需要針對性思考安全策略。

2 部隊計算機網(wǎng)絡的安全策略

2.1 物理安全策略

所謂的物理安全策略，其最主要的目標，是要維護計算機系統(tǒng)、打印機、網(wǎng)絡服務器等硬件部分以及通信的鏈路，以防受到人為破壞、外部環(huán)境破壞以及搭線攻擊的影響，而且要對計算機用戶的身份以及使用權限進行審核，避免用戶越權操作。這樣的防護措施能保證計算機系統(tǒng)在更好的電磁兼容工作環(huán)境下運作，并且要不斷完善安全管理制度，避免非法進入計算機控制室以及各類偷竊、破壞行為的產(chǎn)生。此外還要積極研究抑制與防范電磁泄漏的技術，即TEMPEST技術，這是物理安全防護策略的最重要課題。目前主要的防護措施有兩種。其一是對傳導發(fā)射的防范，需要針對電源線及信號線加裝性能優(yōu)異的濾波器，進而削減傳輸?shù)淖杩挂约皩Ь€之間的交叉耦合。其二是對輻射的防范，具體措施包含兩種，第一是要使用各類電磁屏蔽的方法，例如設備的金屬屏蔽，以及不同接插件的屏蔽，而且還要針對機房任何含有金屬成分的門窗、管道等進行屏蔽與隔離，避免信號傳輸受阻。第二是對各類干擾的防護措施，即是在保證系統(tǒng)正常運作的同時合理運用干擾裝置，制造一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射，進而掩蓋計算機系統(tǒng)的工作頻率以及信息的特點。

2.2 訪問控制策略

借助合理的訪問控制措施，能夠有效維護網(wǎng)絡資源，避免受到非法竊取。這樣的防范措施，能夠?qū)W(wǎng)絡環(huán)境的整體安全以及全網(wǎng)資源的保護起到很大的作用，也是確保網(wǎng)絡安全的主要手段。在實際的部隊網(wǎng)絡安全防護工作中，安全策略的配合使用，能夠讓任何防護措施都有更好的效果，這樣能夠真正確保網(wǎng)絡安全，可見網(wǎng)絡訪問的控制有著很大的重要性。針對入網(wǎng)訪問控制進行深入分析，是網(wǎng)絡訪問的第一道防衛(wèi)關口，借助對外來數(shù)據(jù)訪問的控制，能夠篩選出哪些用戶能夠登錄到哪些服務器上，對其權限進行控制，才能避免非法的入侵。外部用戶的入網(wǎng)訪問控制途徑主要有三種。一是對用戶名的認證，二是對用戶登錄口令的審核，三是對用戶帳號的缺省限制排查。外部用戶登錄時，要確保這三個審核過程均已通過，才能最終獲取訪問網(wǎng)絡的權限，否則是不能夠登入的。用戶名及密碼口令更是最主要的防護機制，任何用戶在進行注冊的時候，都要通過用戶名及密碼口令的錄入獲取用戶的身份，如果服務器在驗證后，認定用戶的申請不合法，那么這次申請便會認定為失敗，在認證成功后用戶再次進行網(wǎng)關訪問時，系統(tǒng)會要求用戶輸入相應的用戶名及密碼，如同出示自身的身份證明，只有通過了這一層驗證才能夠獲得訪問的權利。

但是當前網(wǎng)絡環(huán)境下，用戶名及口令泄露的問題十分常見，所以考慮到口令的安全性提升，目前已經(jīng)開發(fā)出了輸入口令不顯示在屏幕上的隱蔽化驗證，以及二維碼驗證、手機驗證碼輔助驗證等驗證方式，隨著加密的層數(shù)越來越多，驗證越來越傾向僅用戶自身可操作的獨有化，安全性也會越來越高。

2.3 部隊防火墻控制策略

網(wǎng)絡防火墻，是計算機上用于強化網(wǎng)絡訪問控制的最主要關卡，如同守衛(wèi)安全的堡壘，為了維護網(wǎng)絡安全，網(wǎng)絡防火墻主要借助對用戶的合理限制，防治非法用戶的入侵，避免內(nèi)部網(wǎng)絡資源被竊取、毀壞或篡改。其運作的機制，主要是對網(wǎng)絡之間相互傳遞的數(shù)據(jù)包進行審查，檢驗其是否是在不會損壞系統(tǒng)安全的范圍內(nèi)，如果是非法入侵的數(shù)據(jù)包，則不能夠任其通過，防火墻能夠?qū)W(wǎng)絡的運行狀態(tài)起到監(jiān)管控制的作用。目前網(wǎng)絡防火墻的主要構成包括包過濾路由、堡壘主機、電路層網(wǎng)關、應用層網(wǎng)關及屏蔽主機防火墻等。包過濾的防火墻設置在網(wǎng)絡層，可以借助路由器達成包過濾目標，但首先必須建立一定數(shù)量的信息過濾表，而信息過濾表的建設，主要以其接收的數(shù)據(jù)包頭信息作為基礎。一個數(shù)據(jù)包能夠充分滿足過濾表中的要求則能夠允許數(shù)據(jù)包通行，反之則會禁止。這樣的機制在防范外部不合法用戶對內(nèi)訪問時十分有效，還能夠禁止系統(tǒng)訪問部分服務類型。代理防火墻主要是代理服務器及過濾路由器所構成的，是當前使用比較多的防火墻類型。過濾路由器對從系統(tǒng)中通過的數(shù)據(jù)進行嚴格的篩選，并且與網(wǎng)絡相連接，會將通過審核的數(shù)據(jù)傳送給代理服務器，是結合性的防范機制，多層過濾的效果更為可靠。

3 結 論

計算機網(wǎng)絡環(huán)境的安全，是讓使用者能夠安全用網(wǎng)的基礎。隨著云技術的產(chǎn)生，越來越多的信息集合在網(wǎng)絡上，特別是許多重要的機密信息，所以部隊網(wǎng)絡安全性的提升與防火墻技術的應用更是不可忽視的課題，因此以上進行了深入討論，望成為技術優(yōu)化的有利意見。

參考文獻：

[1] 王崇剛.我國目前計算機網(wǎng)絡安全與防火墻技術探討 [J].電子技術與軟件工程，2015（24）：208.

[2] 張艷斌.計算機網(wǎng)絡安全中防火墻技術的應用研究 [J].計算機光盤軟件與應用，2014，17（9）：148-149.

[3] 戴銳.探析防火墻技術在計算機網(wǎng)絡安全中的應用 [J].信息與電腦（理論版），2011（11）：45-46.

作者簡介：劉相如（1985.03-），女，漢族，山西芮城人，本科，技術10級。研究方向：計算機。