黃曉璐 朱江毅

摘 要 隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，人們的生活越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)，而計(jì)算機(jī)網(wǎng)絡(luò)安全是人們良好的上網(wǎng)體驗(yàn)的基礎(chǔ)，文章主要介紹計(jì)算機(jī)防火墻技術(shù)，并對于防火墻的應(yīng)用進(jìn)行探究。

關(guān)鍵詞 計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防火墻技術(shù)

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2018）212-0126-02

隨著計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)與社會(huì)工作以及人們的生活越來越緊密的結(jié)合在了一起，計(jì)算機(jī)病毒以及惡意軟件給人們造成的困擾也越來越明顯，人們在平時(shí)使用計(jì)算機(jī)的時(shí)候應(yīng)當(dāng)重視網(wǎng)絡(luò)安全問題，而防火墻技術(shù)作為計(jì)算機(jī)安全防范基本技術(shù)，更應(yīng)當(dāng)?shù)玫礁叨汝P(guān)注。本文就如何應(yīng)用防火墻技術(shù)完善計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行研究。

1 防火墻技術(shù)概念及原理

防火墻技術(shù)其實(shí)是一種有計(jì)算機(jī)硬件與軟件所構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)，利用防火墻中所設(shè)置的安全策略，防火墻可以執(zhí)行設(shè)計(jì)人員所布置的各種安全控制策略監(jiān)控，并自動(dòng)分析網(wǎng)絡(luò)通訊進(jìn)程，進(jìn)而能夠有效防范用戶上網(wǎng)過程的不安全因素，確保計(jì)算機(jī)系統(tǒng)可以流暢運(yùn)行。防火墻一般都布置在用戶所使用的網(wǎng)絡(luò)外圍，嘗試著在網(wǎng)絡(luò)之間起到篩選和隔離作用，將用戶上網(wǎng)過程中可能遇到的病毒或者惡意攻擊等威脅隔離在網(wǎng)絡(luò)之外。

防火墻進(jìn)行網(wǎng)絡(luò)防護(hù)的原理其實(shí)都是一樣的，都是網(wǎng)絡(luò)兩端計(jì)算機(jī)之間進(jìn)行分析其傳輸?shù)臄?shù)據(jù)包，進(jìn)而根據(jù)所設(shè)置的安全策略判斷是否放行數(shù)據(jù)包。基本所有的網(wǎng)絡(luò)防火墻都會(huì)使用IP地址過濾技術(shù)，當(dāng)防火墻一端的計(jì)算機(jī)M要向另一端計(jì)算機(jī)N進(jìn)行通訊請求，由于TCP或者IP協(xié)議的限制，為了實(shí)現(xiàn)通訊，計(jì)算機(jī)N就必須首先生成一個(gè)數(shù)據(jù)包，而且還需要向計(jì)算機(jī)M？發(fā)送一個(gè)已經(jīng)在N的本地協(xié)議中打包完成的、帶有IP地址標(biāo)識的數(shù)據(jù)包，為了網(wǎng)絡(luò)通訊安全性，防火墻就會(huì)對N所發(fā)出的數(shù)據(jù)包進(jìn)行檢測，如果無法通過防火墻的安全配置策略，M就無法收到數(shù)據(jù)，通訊也就失敗了。

傳統(tǒng)的防火墻都會(huì)包括包過濾、應(yīng)用代理以及監(jiān)測模塊幾個(gè)部分，包過濾檢測數(shù)據(jù)包的時(shí)候，不必理會(huì)數(shù)據(jù)包內(nèi)的具體信息內(nèi)容，僅僅是檢測數(shù)據(jù)包頭中的源地址、目的地址以及封裝協(xié)議、輸出端接口信息，如果數(shù)據(jù)包頭信息符合要求，就可以準(zhǔn)許數(shù)據(jù)包進(jìn)入防火墻內(nèi)部。防火墻系統(tǒng)內(nèi)部有細(xì)致地劃分為Web管理、轉(zhuǎn)換以及內(nèi)核模塊多個(gè)部分，地址轉(zhuǎn)換功能模式具有實(shí)現(xiàn)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換以及端口重定向轉(zhuǎn)換的功能。為了實(shí)現(xiàn)數(shù)據(jù)傳輸，需要使用IP協(xié)議，并利用ARP、RARP協(xié)議進(jìn)行地址信息的接受，除以以外，還需要配置相關(guān)的硬件參數(shù)，利用相關(guān)的設(shè)置軟件進(jìn)行intranet內(nèi)部網(wǎng)址的配置，將內(nèi)核文件復(fù)制到源代碼目錄中，生成一個(gè)文件名為.config，root？@server56？src]？#？ cd？linux？-3.01？；/boot/config？-2.6.18-164.el5？./.config.然后進(jìn)入編譯的界面，利用make命令進(jìn)行內(nèi)核信息編譯。

2 傳統(tǒng)防火墻技術(shù)介紹

1）包過濾防火墻。提到防火墻技術(shù)，就不得不介紹包過濾防火墻技術(shù)，作為最基礎(chǔ)的防火墻技術(shù)，其工作原理是對經(jīng)過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包進(jìn)行檢驗(yàn)，如果在檢驗(yàn)過程中發(fā)現(xiàn)不符合要求的數(shù)據(jù)包就會(huì)不允許其進(jìn)入網(wǎng)絡(luò)。檢驗(yàn)數(shù)據(jù)包的時(shí)候，一般來說都是從數(shù)據(jù)包頭開始檢驗(yàn)，完成數(shù)據(jù)爆頭檢驗(yàn)以后返回檢測報(bào)告，從而進(jìn)行進(jìn)一步的判斷。為了更加準(zhǔn)確地判斷數(shù)據(jù)包是否合乎安全要求，在進(jìn)行防火墻設(shè)計(jì)的時(shí)候相關(guān)人員則需要制定更為完善的安全策略，當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)包的時(shí)候，首先應(yīng)當(dāng)根據(jù)目的IP地址利用還原IP地址等操作來進(jìn)行匹配工作。包過濾防火墻安裝程序簡單，成本低廉，檢測數(shù)據(jù)包的速度也比較快，但是也具備過濾數(shù)據(jù)不夠詳細(xì)的缺點(diǎn)，容易放過一些有危害的數(shù)據(jù)包進(jìn)行用戶網(wǎng)絡(luò)。

2）透明防火墻。透明防火墻作為傳統(tǒng)防火墻體系中十分重要的一種防火墻，作為一種建立在OSI參考模式上，針對數(shù)據(jù)鏈路層的安全進(jìn)行防范的防火墻，這種防火于具有交換機(jī)功能，可以對數(shù)據(jù)進(jìn)行檢測，一般都被設(shè)立在信用網(wǎng)絡(luò)內(nèi)部，被用來控制用戶們的登錄過程以及數(shù)據(jù)庫訪問過程中可能遇到的風(fēng)險(xiǎn)問題。而且，很多情況下在設(shè)立并且引用透明防火墻的時(shí)候都需要首先對應(yīng)用數(shù)據(jù)進(jìn)行訪問和修改，用戶使用之前也需要登錄操作。

3）應(yīng)用網(wǎng)關(guān)防火墻。應(yīng)用網(wǎng)管防火墻也被稱為代理防火墻，是一種建立在應(yīng)用層上的防火墻技術(shù)，應(yīng)用網(wǎng)關(guān)防火墻分為網(wǎng)關(guān)連接防火墻以及直通式防火墻兩種，應(yīng)用網(wǎng)關(guān)連接防火墻所需要的認(rèn)證機(jī)構(gòu)更多樣。與包過濾防火墻相比，應(yīng)用網(wǎng)關(guān)防火墻對于應(yīng)用層數(shù)據(jù)的檢測更加可靠，而且還可以提供更具安全性的安全日志以供網(wǎng)絡(luò)安全專業(yè)人員參考。該防火墻應(yīng)用范圍比較廣泛，能夠被應(yīng)用與大多數(shù)的網(wǎng)絡(luò)協(xié)議以及服務(wù)系統(tǒng)中，應(yīng)用網(wǎng)關(guān)防火墻能夠?qū)W(wǎng)絡(luò)差、傳輸層以及應(yīng)用層的數(shù)據(jù)都起到防護(hù)作用，使用應(yīng)用網(wǎng)關(guān)防火墻的用戶如果要進(jìn)行網(wǎng)絡(luò)訪問，首先用戶要進(jìn)行身份驗(yàn)證，因此，應(yīng)用網(wǎng)關(guān)防火墻具有比較強(qiáng)的安全性。

3 新型防火墻技術(shù)介紹

隨著時(shí)代的進(jìn)步，網(wǎng)絡(luò)安全研究人員也不斷進(jìn)行防火墻技術(shù)的創(chuàng)新，盡量提升防火墻功能和性能，接下來，作者就介紹集中新型的防火墻技術(shù)。

1）流量過濾防火墻。傳統(tǒng)的流量過濾防火墻是直接進(jìn)行數(shù)據(jù)包的過濾和檢驗(yàn)，設(shè)計(jì)人員直接進(jìn)行語法邏輯設(shè)計(jì)，防火墻就會(huì)依照設(shè)計(jì)好的邏輯進(jìn)行通過網(wǎng)絡(luò)流量的截獲，當(dāng)解讀出流量的原地址以后進(jìn)行其目的地址的找尋與分配，這種檢測方法安全性不夠高，新型的流量過濾防火墻技術(shù)則是在內(nèi)部安全策略中添加協(xié)議，直接進(jìn)行應(yīng)用層數(shù)據(jù)的過濾，設(shè)計(jì)人員增添了信息識別功能，防火墻能夠進(jìn)行流量滯留充足，防火墻過濾了滯留下信息流以后，進(jìn)入網(wǎng)絡(luò)的信息流也得到了重裝，大大提升防火墻的防護(hù)功能。

2）深層檢測防火墻。深處檢測防火墻目前還處于設(shè)計(jì)和研發(fā)階段，隨著社會(huì)對于網(wǎng)絡(luò)空間安全投入全所未有的重視以后，相關(guān)防火墻研究人員也提出了深處檢測防火墻的概念，該防火墻不僅能夠進(jìn)行信息流和數(shù)據(jù)包的識別，而且能夠?qū)?nèi)部的數(shù)據(jù)直接定向到TCP堆棧中，然后防火墻就可以依照基本檢測程序進(jìn)行信息檢測，從而實(shí)現(xiàn)更好的防護(hù)作用。深處檢測防火墻不僅僅能夠保護(hù)其接觸到的網(wǎng)絡(luò)層安全，而且還能夠?qū)崿F(xiàn)對應(yīng)用層信息的保護(hù)和方案。當(dāng)然，深處檢測防火墻技術(shù)目前還不夠成熟，相關(guān)技術(shù)人員還需要進(jìn)行深入的研究與探索。

3）分布式防火墻。分布式防火墻分為主機(jī)防火墻以及網(wǎng)絡(luò)防火墻兩種，顧名思義，主機(jī)防火墻主要是針對主機(jī)而進(jìn)行安全監(jiān)測工作設(shè)計(jì)的，由于大部分的惡意攻擊都是針對主機(jī)進(jìn)行的，主機(jī)出現(xiàn)安全問題的可能性要更大一些，因此，主機(jī)防火墻所能夠進(jìn)行網(wǎng)絡(luò)防護(hù)的范圍相對要更大，對于網(wǎng)絡(luò)內(nèi)部以及外部都進(jìn)行防護(hù)。而分布式防火墻往往都是安裝于公司或者企業(yè)內(nèi)部，這種防火墻能夠不僅僅能夠完成信息篩選，而且還能夠保護(hù)公司、企業(yè)的服務(wù)器、桌面，使用分布式防火墻能夠減少主機(jī)位置對于防護(hù)效果的影響，因此，近些年來，分布式防火墻發(fā)展趨勢迅猛，越來越多的公司以及企業(yè)開始選擇使用分布式防火墻進(jìn)行網(wǎng)絡(luò)安全維護(hù)。

4 防火墻配置部署技術(shù)

為了使用戶所安裝的防火墻能發(fā)揮防護(hù)功能，首先在進(jìn)行防火墻部署的時(shí)候，應(yīng)當(dāng)充分了解自己所安裝系統(tǒng)的需求，并從一下幾方面進(jìn)行防火墻的配置：首先，應(yīng)當(dāng)在公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間布置防火墻，以此來確保內(nèi)部網(wǎng)絡(luò)環(huán)境安全。另外，如果所接入的網(wǎng)絡(luò)規(guī)模比較大并且網(wǎng)絡(luò)內(nèi)部有進(jìn)行了VLAN劃分，那么我們還需要在各個(gè)VLAN之間搭建網(wǎng)絡(luò)防火墻。最后，要將防火墻布置在公共網(wǎng)絡(luò)所聯(lián)系的總部以及分部之間。如果要進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的通訊，在網(wǎng)絡(luò)接口位置應(yīng)當(dāng)采用硬件防火墻進(jìn)行網(wǎng)關(guān)設(shè)置，繼而將網(wǎng)絡(luò)保護(hù)起來。

在進(jìn)行防火墻配置時(shí)，應(yīng)當(dāng)首先對于防火墻的功能進(jìn)行詳細(xì)了解，首先應(yīng)當(dāng)在未接入網(wǎng)絡(luò)之前就啟動(dòng)防火墻進(jìn)行防火墻功能設(shè)置，針對計(jì)算機(jī)使用網(wǎng)絡(luò)的具體情況來選擇防護(hù)級別，一般來說，固定的IP地址用戶將防火墻安全級別設(shè)置為中等即可滿足防護(hù)需求。雖然網(wǎng)絡(luò)防火墻預(yù)設(shè)了安全防護(hù)規(guī)則，但是由于電腦漏洞以及病毒發(fā)展速度很快，用戶為了做到更高枕無憂的防護(hù)，就需要進(jìn)行防護(hù)規(guī)則的重新設(shè)計(jì)，針對各種計(jì)算機(jī)漏洞和病毒威脅，尋求專業(yè)網(wǎng)絡(luò)安全人員進(jìn)行安全評測以及規(guī)則設(shè)置。

另外，現(xiàn)如今網(wǎng)絡(luò)安全問題受到極大的矚目，研究防火墻技術(shù)的人員更應(yīng)當(dāng)隨時(shí)注意網(wǎng)絡(luò)上出現(xiàn)的病毒以及惡意攻擊手段，及時(shí)進(jìn)行防火墻技術(shù)的更新，嘗試著探究出性能更強(qiáng)，功能更豐富的防火墻，技術(shù)人員可以從編碼技術(shù)入手，嘗試著進(jìn)行集成式網(wǎng)絡(luò)安全防護(hù)功能開發(fā)，打造具有高度集成性的防火墻，維護(hù)人們上網(wǎng)安全，打造更為安全可靠的網(wǎng)絡(luò)環(huán)境。

5 結(jié)論

總而言之，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，我們在使用計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)通訊的時(shí)候應(yīng)當(dāng)高度重視網(wǎng)絡(luò)安全防護(hù)，對于防火墻技術(shù)進(jìn)行基礎(chǔ)的了解，從而能夠根據(jù)自己的需求進(jìn)行防火墻類型的選擇，進(jìn)行防火墻規(guī)則的設(shè)定，提升自身上網(wǎng)安全性。為了更好地發(fā)揮出防火墻的防護(hù)功能，在進(jìn)行防火墻功能設(shè)置的時(shí)候還應(yīng)當(dāng)及時(shí)需求專業(yè)人員幫助，從而提升自身上網(wǎng)安全性。

參考文獻(xiàn)

[1]羅進(jìn)杰.有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)防火墻的設(shè)置分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（19）：123.

[2]陳凱.計(jì)算機(jī)防火墻安全應(yīng)用分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（1）：163.

[3]張森.關(guān)于計(jì)算機(jī)防火墻與internet安全性的研究[J].電子技術(shù)與軟件工程，2015（7）：216.