◆權 園

?

防火墻技術在網絡安全防御體系中有效性研究

◆權 園

(通信站 北京 100000)

在信息時代下，互聯網與計算機已經融入現實生活中的各個領域，并為人們的生活與工作帶來了很多的便利，但由于互聯網本身具有開放性的特點，各種各樣的網絡安全問題隨之產生，而防火墻技術作為保護計算機網絡安全的有效技術措施，其重要性自然也就變得越來越高。為此，本文對現代社會網絡安全防護中防火墻技術的常見類型進行了分析，并對其在網絡安全防御體系中的有效運用展開了探討。

防火墻技術；網絡安全；數據

0 引言

防火墻是一種廣泛應用的網絡安全防御技術，這種技術能夠在外部網絡與內部網絡之間建立起一道“防火墻”，以阻擋來自外部網絡的非法訪問和不安全的數據傳遞，保護本地系統(tǒng)和網絡免受各種網絡安全威脅，是目前網絡安全防范工作中最為常見的網絡安全技術之一。因此，對于防火墻技術在網絡安全防御體系中有效性的研究是非常具有現實意義的。

1 防火墻技術的常見類型

（1）包過濾型防火墻

在各類防火墻技術中，包過濾型防火墻是最早被作為網絡安全保護措施使用的一種防火墻技術，這一技術最開始只能夠作用于網絡層，因此被稱為靜態(tài)過濾技術，后來隨著技術的不斷發(fā)展，傳輸層也被納入包過濾型防火墻的工作范圍之內，成為現在的動態(tài)過濾技術。簡單來說，包過濾型防火墻實際上就是對數據層與網絡層內進出的數據進行分析與比對，判斷數據包與防火墻過濾規(guī)則相匹配，一旦發(fā)現有不匹配的數據包，就執(zhí)行預先設定的阻止命令，將數據包丟棄。此外，目前市面上普遍使用的動態(tài)包過濾型防火墻還會對已經發(fā)送的數據包進行跟蹤檢測，一旦發(fā)現其對系統(tǒng)產生威脅，就可以直接對現有的防火墻過濾規(guī)則進行補充或修改。包過濾型防火墻具有安全性較高、成本低、容易實現等優(yōu)勢，但同時由于整個過濾工作是建立在防火墻過濾規(guī)則的基礎上進行的，因此往往存在一些沖突與漏洞，在判斷數據包威脅的準確性上也不夠高，缺點也是十分明顯的[1]。

（2）應用代理型防火墻

應用代理型防火墻的出現晚于包過濾型防火墻，主要是為了對包過濾型防火墻的缺陷進行彌補，因此這一技術相比于包過濾型防火墻在網絡安全防護上更為全面。應用代理型防火墻以小型代理服務器的形式存在，這個代理服務器中被嵌入了應用協議分析技術，能夠進行有效的數據過濾檢測，同時由于這種技術以應用層作為工作范圍，因此能夠對數據報的最終形式進行過濾檢測，檢測形式更加高級、全面，除了能夠對數據層所獲取的信息進行分析判斷外，還能夠實現對可能危害的分辨。此外，由于應用代理型防火墻采用了代理服務器，因此所有的內外部網絡通信不僅需要由代理服務器進行審核，還會由代理服務器進行連接，這很好杜絕了內部網絡被數據驅動滲透的可能，實現了更加完善的網絡安全防護。但需要注意的是，應用代理型防火墻在使用代理服務器建立連接時，代理程序需要一定時間來完成進程，從而造成一定的延遲，一旦需要進行大量的數據交換時，數據流量就會超越代理服務器的限度，從而使網絡癱瘓的概率大大增加，而這一缺陷也使得應用代理型防火墻的應用范圍受到了很大的限制。

（3）狀態(tài)監(jiān)視型防火墻

狀態(tài)監(jiān)視型防火墻是在動態(tài)包過濾型防火墻的基礎上建立起來的，主要是通過狀態(tài)監(jiān)視模塊對數據包的相關數據進行抽取，從而實現分層次的網絡通信監(jiān)控，另外，狀態(tài)監(jiān)控技術同樣需要防火墻過濾規(guī)則進行配合，這一點與包過濾型防火墻十分相似[2]。之所以說狀態(tài)監(jiān)視型防火墻是建立在動態(tài)包過濾型防火墻的基礎上，不僅是因為這一技術使用了防火墻過濾規(guī)則，更重要的是狀態(tài)監(jiān)控技術同樣會分析數據包的網絡協議、地址、端口以及類型等多方面的信息。而與包過濾型防火墻不同的是，狀態(tài)監(jiān)控技術在此基礎上添加了會話過濾功能。這一功能能夠在內外部網絡建立通信連接的同時，主動構造會話狀態(tài)，并將前文提到的數據包的一系列信息納入會話狀態(tài)中來，這樣就可以將之后的數據傳輸與會話狀態(tài)中的信息進行比對，從而實現多種信息的全面監(jiān)控?？偟膩碚f，狀態(tài)監(jiān)控技術相較于其他兩種防火墻技術沒有明顯的缺陷，是目前較為先進的技術，但由于實現技術十分復雜，因此在現階段尚未得到廣泛應用。

2 防火墻技術在網絡安全防御體系中的有效運用

（1）防火墻技術在訪問策略方面的應用

在對防火強技術的應用中，在訪問策略中的應用是最為核心的內容之一，主要是對網絡資源的訪問權與使用權進行限制，以免遭到非法使用與非法訪問，造成不必要的損失，而訪問策略的制定則離不開防火墻技術。首先，防火墻技術需要對當前網絡的運行信息進行劃分并分析安全價值。其次，要對網絡運行的個性地址進行詳細的了解，進而網絡運行的特點進行準確判斷，并以此為基礎做出明確、合理的安全保護規(guī)劃。最后還要將訪問策略的活動信息記錄下來，形成能夠自主調節(jié)的策略表對防火墻技術的網絡安全保護行為進行規(guī)范，提高網絡安全保護效率。

（2）防火墻技術在數據安全方面的應用

數據是網絡資源中最為主要的一種形式，如個人財務數據、密碼信息、各單位的財務信息，科研機構院校的實驗數據等在網絡信息時代下通常都會以數據的形式儲存在計算機中，因而對于數據安全的保護也成為防火墻技術應用的重要內容。需要明確的是，數據存儲并不等于數據得到了防火墻的保護，目前通過防火墻技術對數據安全的防護有很多，但大多處于初級階段，總體上不夠成熟、完善，其中較為有效的有數據庫攻擊特征阻斷防護、撞庫防護、數據庫虛擬補丁等。

（3）防火墻技術在日志監(jiān)控方面的應用

日志監(jiān)控主要是指對防火墻技術在攔截外部網絡入侵時產生的保護日志進行監(jiān)控，保護日志雖然不會對網絡安全產生直接的影響，但用戶卻可以對保護日志中的信息進行分析，了解被攔截信息的具體情況，從而得到錯誤攔截率、攔截頻率等數據，找到攔截策略中的不出之處，進而通過重新設置來加以改進[3]。在防火墻應用中，保護日志會記錄大量的攔截信息，這些信息并非全部具有分析價值，因此采集部分具有價值的關鍵日志即可，如系統(tǒng)警告等，而對于流量信息則可以選擇性的采集。此外，在面對病毒問題時，用戶往往會在清除病毒后建立新的攔截策略，這時就可以通過對流量信息的檢測來確定攔截策略的有效性。

（4）防火墻技術在安全配置方面的應用

防火墻技術中的安全配置實際上就是對網絡的模塊化管理，系統(tǒng)會對內部網絡安全的性質進行分析，并根據網絡重要性的不同將防范區(qū)域分為不同的級別，對于網絡安全級別高的模塊會進行重點管理與保護，而對于網絡安全級別較低的模塊則會適當降低保護程度。從具體上來看，就是對重點保護的網絡模塊利用防火墻技術進行隔離，將其與其他不重要的網絡模塊分割開來，這樣不同網絡安全級別的網絡模塊間同樣可以共同組成內部局域網，但由于重點保護的網絡模塊受到了防火墻技術的保護，因此受到外部網絡入侵攻擊的可能性大大降低，內部網絡的安全性也因此大大提升。

（5）防火墻技術應用需要注意的問題

經過數十年來的發(fā)展，當前的防火墻技術雖然已經比較成熟，但部分弊端仍然未能得到有效解決，因此在基于防火墻技術的網絡安全防御體系建設中，仍然需要對這些問題加以注意。首先，防火墻能夠對經過網絡邊界的信息進行過濾與檢測，但對于不經過網絡邊界的數據信息卻毫無作用，而這也將會成為網絡安全防御體系的漏洞，因此，網絡安全防御體系還需利用其他技術，對內部網絡安全問題、內部通過撥號網絡直接與外網連接等情況進行有效防范。其次，防火墻本身在設計上同樣有可能存在漏洞，而這些漏洞則會給不法分子的網絡入侵提供可乘之機，因此在對硬件或軟件防火墻進行應用時，必須要對其設計合理性進行檢測，以免其存在嚴重的設計漏洞。

3 結束語

總而言之，計算機網絡安全問題在現代社會已經得到了高度重視，而各種類型的防火墻技術也在網絡安全防御體系中得到了廣泛應用，但要想為網絡安全提供切實保障，還需要在未來對防火墻技術的進行更加深入研究與創(chuàng)新，從而使其能夠在網絡安全防御體系中發(fā)揮出更大的作用。

[1]張雪.防火墻技術在網絡安全防御體系中有效性分析[J].網絡安全技術與應用，2019(02)：14+49.

[2]喬巧.計算機網絡安全中防火墻技術的應用探究[J].企業(yè)科技與發(fā)展，2019(02)：178-179.

[3]徐晨莉.淺析防火墻技術在計算機安全構建中的應用[J].電腦知識與技術，2018，14(07)：39-40.