賀兵

摘要：自從計(jì)算機(jī)面世以來(lái)，給人們的生活和生產(chǎn)發(fā)展帶來(lái)了諸多的便利，但計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)。面對(duì)網(wǎng)絡(luò)的威脅，人們需要在計(jì)算機(jī)網(wǎng)絡(luò)安全中心應(yīng)用防火墻技術(shù)。防火墻技術(shù)在實(shí)際運(yùn)用中，可以保護(hù)計(jì)算機(jī)運(yùn)行的安全、保護(hù)人們財(cái)產(chǎn)等信息的保密安全等。因此，充分發(fā)揮其作用，已逐漸成為一項(xiàng)重要的探索內(nèi)容。本文通過(guò)對(duì)防火墻的定義、原理、分類等內(nèi)容的概述，然后用實(shí)際案列來(lái)分析網(wǎng)絡(luò)安全問(wèn)題的重要性，為解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題提供了參考資料。

關(guān)鍵詞：防火墻計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用分析

Abstract： Since the advent of computers， it has brought more convenience to people's life and production development. However， computer network security problems also follow. In face of network threats， we need to apply firewall technology in the computer network security center. In practical application， firewall technology can protect the security of computer operation and the confidentiality of people's property and other information. Therefore， giving full play to its role has gradually become an important exploration content. This article summarizes the definition， principle and classification of firewalls， and then uses actual cases to analyze the importance of network security issues， and provides reference materials for solving computer network security issues.

Key Words： Firewall; Computer; Network security; Application analysis

1 ?防火墻的概念

防火墻的功能主要是對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，它可以監(jiān)控和過(guò)濾網(wǎng)絡(luò)上的數(shù)據(jù)包，從而拒絕發(fā)送可疑數(shù)據(jù)包，但它不能有效區(qū)分同意抵制IP的用戶，安全性相對(duì)較低[1]。

2 ?防火墻的基本原理

對(duì)應(yīng)圖1、圖2的字節(jié)傳輸流程，可以分為以下幾層。

包過(guò)濾（Packet filtering）：在網(wǎng)絡(luò)層次結(jié)構(gòu)中，僅根據(jù)IP地址、端口號(hào)和包頭的協(xié)議類型決定是否允許數(shù)據(jù)包通過(guò)。

應(yīng)用代理（Application Proxy）：在應(yīng)用層工作，編寫(xiě)各種應(yīng)用代理，實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)的檢測(cè)和分析。

狀態(tài)檢測(cè)（Stateful Inspection）：在2～4層工作，2～4的訪問(wèn)控制模式與1相同，在整個(gè)處理過(guò)程中，針對(duì)的是整個(gè)連接，而不是單個(gè)數(shù)據(jù)包。因此，規(guī)則表、連接狀態(tài)表可以判斷數(shù)據(jù)包的通過(guò)與否。

完全內(nèi)容檢測(cè)（Compelete Content Inspection）：在2～7層工作，數(shù)據(jù)分析主要包括包頭信息和狀態(tài)信息，還包括恢復(fù)和分析應(yīng)用層協(xié)議，有效防止混合安全威脅。

3 ?防火墻的分類

根據(jù)實(shí)現(xiàn)原理，防火墻技術(shù)分為4類：網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。

3.1 ?網(wǎng)絡(luò)級(jí)防火墻

通過(guò)或失敗通常根據(jù)每個(gè)IP數(shù)據(jù)包的源地址和目標(biāo)地址、應(yīng)用程序、協(xié)議和端口來(lái)判斷。防火墻檢查每個(gè)規(guī)則，直到數(shù)據(jù)包信息與特定規(guī)則一致。當(dāng)沒(méi)有需要滿足的規(guī)則時(shí)，防火墻使用基本規(guī)則。通常，基本規(guī)則是防火墻要求丟棄數(shù)據(jù)包。通過(guò)基于TCP或UDP數(shù)據(jù)包定義端口號(hào)，防火墻可以決定是否允許特定連接，如Telnet和FTP[2-3]。

3.2 ?應(yīng)用級(jí)網(wǎng)關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)可以檢查傳入和傳出的數(shù)據(jù)包，并通過(guò)網(wǎng)關(guān)復(fù)制和傳輸數(shù)據(jù)，因此可以防止可靠的服務(wù)器和客戶端以及不可靠的主機(jī)之間的直接連接。應(yīng)用層網(wǎng)關(guān)可以理解應(yīng)用層中的協(xié)議，執(zhí)行更復(fù)雜的訪問(wèn)控制，以及準(zhǔn)確的注冊(cè)和審核[4]。

對(duì)于一種特殊的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，即數(shù)據(jù)過(guò)濾協(xié)議，可以分析數(shù)據(jù)包并編寫(xiě)相關(guān)報(bào)告。應(yīng)用程序網(wǎng)關(guān)提供對(duì)特定環(huán)境的嚴(yán)格控制，以方便登錄、控制所有輸入和輸出通信，并防止有價(jià)值的程序和數(shù)據(jù)被盜[5]。

3.3 ?電路級(jí)網(wǎng)關(guān)

在受信任的客戶端或服務(wù)器和不受信任的主機(jī)之間使用TCP握手信息確定會(huì)話是否合法。電路級(jí)網(wǎng)關(guān)過(guò)濾OSI模型會(huì)話層中的數(shù)據(jù)包。過(guò)濾防火墻必須有兩層以上。線路級(jí)網(wǎng)關(guān)代理服務(wù)器功能代理服務(wù)器是防火墻網(wǎng)關(guān)中設(shè)置的一種特殊的應(yīng)用級(jí)代碼。通過(guò)此代理服務(wù)，網(wǎng)絡(luò)管理員可以允許或拒絕特定應(yīng)用程序或應(yīng)用程序的特定功能。數(shù)據(jù)包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)使用特定邏輯來(lái)決定是否允許特定數(shù)據(jù)包通過(guò)，從而成功隔離防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)[6-7]。

4 ?XX企業(yè)網(wǎng)絡(luò)安全防火墻技術(shù)應(yīng)用分析

XX企業(yè)是一家化學(xué)公司。經(jīng)過(guò)多年的努力發(fā)展，在信息化建設(shè)方面，已經(jīng)取得了一定的規(guī)模。企業(yè)的信息化子系統(tǒng)主要有OA辦公自動(dòng)化系統(tǒng)、人事系統(tǒng)、網(wǎng)站服務(wù)系統(tǒng)、DNS服務(wù)器等，這些內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建，覆蓋了整個(gè)企業(yè)所有的生產(chǎn)、管理及經(jīng)營(yíng)部門。目前企業(yè)網(wǎng)絡(luò)系統(tǒng)工連接458臺(tái)電腦、12臺(tái)服務(wù)器、1臺(tái)路由器和多臺(tái)交換器，局域網(wǎng)絡(luò)包括各種辦公大樓和各種生產(chǎn)和管理部門，通過(guò)網(wǎng)通的200米非專用線路連接到外部網(wǎng)絡(luò)[8-9]。

4.1 ?網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

通過(guò)現(xiàn)場(chǎng)調(diào)查，可知企業(yè)的網(wǎng)絡(luò)拓?fù)涫切切切螤畹模ㄟ^(guò)綜合調(diào)查，繪制了目前網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)洌鐖D3所示。

在整個(gè)企業(yè)網(wǎng)絡(luò)運(yùn)行中，各網(wǎng)絡(luò)設(shè)備的使用和連接方法表述如下。

（1）外部網(wǎng)絡(luò)通過(guò)路由器，主要是企業(yè)LAN通過(guò)CISCO PIX 525安全硬件防火墻進(jìn)行連接。

（2）通過(guò)配置CISCO 4506系列交換機(jī)與主交換機(jī)進(jìn)行連接，主要打開(kāi)了防火墻和內(nèi)部網(wǎng)絡(luò)之間的連接從而實(shí)現(xiàn)生產(chǎn)子網(wǎng)的分割。

（3）辦公區(qū)和服務(wù)區(qū)的子網(wǎng)，通過(guò)配置CISCO 2950型號(hào)的思科交換機(jī)6系列與主交換機(jī)進(jìn)行連接，主要通過(guò)訪問(wèn)防火墻，用于執(zhí)行生產(chǎn)業(yè)務(wù)的生產(chǎn)執(zhí)行系統(tǒng)服務(wù)器網(wǎng)絡(luò)運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)。

（4）管理安全區(qū)的網(wǎng)絡(luò)，也是通過(guò)配置子交換機(jī)與主交換機(jī)進(jìn)行連接，從而管理和控制企業(yè)內(nèi)部整個(gè)網(wǎng)絡(luò)。

（5）企業(yè)的網(wǎng)絡(luò)連接，主要是通過(guò)局域網(wǎng)和網(wǎng)通的200米非專用線路進(jìn)行連接傳輸網(wǎng)絡(luò)。

4.2 ?網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果

網(wǎng)絡(luò)系統(tǒng)的安全包括網(wǎng)絡(luò)病毒防御、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)、網(wǎng)絡(luò)警告和隔離、DMZ 區(qū)防護(hù)、安全審計(jì)等技術(shù)。XX企業(yè)只使用互聯(lián)網(wǎng)上常見(jiàn)的防火墻技術(shù)來(lái)隔離。殺毒服務(wù)器部署在服務(wù)網(wǎng)絡(luò)單元中，沒(méi)有采用防病毒網(wǎng)關(guān)技術(shù)，所以網(wǎng)絡(luò)防御功能只限于下載檢測(cè)防御和計(jì)算機(jī)的升級(jí)中。雖然VLAN在主交換機(jī)上有所區(qū)別，但網(wǎng)絡(luò)部分的劃分非?；靵y，整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)非常復(fù)雜，結(jié)構(gòu)不是很清楚[10-11]。通過(guò)評(píng)估，網(wǎng)絡(luò)層面的風(fēng)險(xiǎn)主要有如下問(wèn)題。

（1） XX 企業(yè)有許多主服務(wù)器、數(shù)據(jù)和核心子網(wǎng)，需要高安全性，但它們沒(méi)有受到特別保護(hù)，或者只是被防火墻隔離，有些頑強(qiáng)的病毒系統(tǒng)的侵入會(huì)繞過(guò)防火墻的抵御攻擊，還有內(nèi)部局域網(wǎng)的遺漏也會(huì)造成網(wǎng)絡(luò)安全問(wèn)題。

（2）在防火墻的訪問(wèn)控制規(guī)則設(shè)置方面，過(guò)于謹(jǐn)慎，無(wú)法反映計(jì)劃的安全策略，并為攻擊者提供執(zhí)行攻擊的機(jī)會(huì)。

（3）服務(wù)器組與內(nèi)外網(wǎng)之間的連接沒(méi)有考慮到不同的安全水平，使用不同的訪問(wèn)控制策略，劃分不同的安全水平，并建立DMZ 區(qū)域進(jìn)行保護(hù)敏感信息的安全。

（4）子網(wǎng)境內(nèi)LAN可以互訪，若沒(méi)有對(duì)網(wǎng)絡(luò)安全訪問(wèn)進(jìn)行防御，同樣也會(huì)造成嚴(yán)重的安全風(fēng)險(xiǎn)問(wèn)題。

（5）安全審計(jì)系統(tǒng)是企業(yè)的網(wǎng)絡(luò)系統(tǒng)的重要組成部分，一旦缺乏，網(wǎng)絡(luò)攻擊和入侵后，無(wú)法記錄相關(guān)信息并編寫(xiě)系統(tǒng)安全日志報(bào)告。因此，快速、全面地了解當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)是無(wú)益的。

（6）普通手動(dòng)數(shù)據(jù)備份方式的采用，比較落后。沒(méi)有可感知的數(shù)據(jù)恢復(fù)功能，重要數(shù)據(jù)無(wú)法實(shí)時(shí)自動(dòng)備份恢復(fù)。

4.3 ?防火墻部署策略

在XX企業(yè)中，企業(yè)運(yùn)行的458臺(tái)電腦，都是通過(guò)網(wǎng)通的公共網(wǎng)絡(luò)線連接到網(wǎng)絡(luò)，從而獲取網(wǎng)絡(luò)信息。其中，企業(yè)內(nèi)部郵件服務(wù)器，通過(guò)企業(yè)內(nèi)的WWW服務(wù)器，可以發(fā)送和接收郵件向外部世界提供服務(wù)?；谄髽I(yè)網(wǎng)絡(luò)安全的必要性，考慮到XX企業(yè)與外部網(wǎng)絡(luò)信息交換的規(guī)模，以及通過(guò)各種性價(jià)比和實(shí)際比較，選擇Cisco PIX525硬件防火墻作為網(wǎng)絡(luò)邊界的安全設(shè)備[12]。因此，必須設(shè)計(jì)兩個(gè)防火墻來(lái)保護(hù)企業(yè)網(wǎng)絡(luò)。

4.3.1 ?網(wǎng)絡(luò)邊界的防火墻

邊界防火墻是最傳統(tǒng)的防火墻，在內(nèi)部網(wǎng)和外部網(wǎng)的邊界上隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護(hù)警戒線的內(nèi)部網(wǎng)。所有外部服務(wù)請(qǐng)求只能在邊界防火墻的外部網(wǎng)絡(luò)卡上處理。收到數(shù)據(jù)包后，防火墻會(huì)對(duì)此進(jìn)行分析。如果請(qǐng)求遵守規(guī)則，將通過(guò)內(nèi)部網(wǎng)絡(luò)卡發(fā)送到目標(biāo)服務(wù)主機(jī)，而不遵守規(guī)則的請(qǐng)求將被拒絕。

4.3.2 ?生產(chǎn)子網(wǎng)邊界的防火墻

從邏輯上講，防火墻作為分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和網(wǎng)絡(luò)之間的所有活動(dòng)，并保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻用于保護(hù)內(nèi)部生產(chǎn)網(wǎng)絡(luò)的安全，并有效地控制和監(jiān)控對(duì)生產(chǎn)子網(wǎng)的訪問(wèn)。通過(guò)過(guò)濾不安全的服務(wù)，防火墻可以大幅提高網(wǎng)絡(luò)安全，減少子網(wǎng)主機(jī)的風(fēng)險(xiǎn)。

5 ?結(jié)語(yǔ)

防火墻是保護(hù)網(wǎng)絡(luò)信息安全的重要技術(shù)。它正在變得越來(lái)越完善，但它不能滿足于維持現(xiàn)狀。目前，大多數(shù)防火墻設(shè)置在邊界位置上，內(nèi)網(wǎng)和外網(wǎng)之間還有子網(wǎng)，可以形成防火墻。然而，這種防火墻的缺點(diǎn)是，不僅外部網(wǎng)絡(luò)，還有內(nèi)部網(wǎng)絡(luò)都是一個(gè)很大的風(fēng)險(xiǎn)因素。病毒和其他不安全因素將攻擊該網(wǎng)絡(luò)。之前已討論過(guò)防火墻技術(shù)是不能完全保證網(wǎng)絡(luò)的安全性的，因此，為了提高它們的技術(shù)水平，需要更多的開(kāi)發(fā)者去關(guān)注更嚴(yán)格的保護(hù)。

參考文獻(xiàn)

[1]劉恩軍.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：56-57.

[2]楊婷.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2020（5）：25.

[3]王明明，岳文雷，楊振乾.網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（9）：96-97.

[4]李潔帆.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用分析[J].科技視界，2019（3）：23-24.

[5]曾強(qiáng).基于計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用分析J].電腦知識(shí)與技術(shù)，2020（1）：54.

[6]姜可.基于網(wǎng)絡(luò)安全維護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用分析[J].計(jì)算機(jī)產(chǎn)品與流通，2020（4）：102.

[7]龐新煜.局域網(wǎng)下的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用分析[J].電子元器件與信息技術(shù)，2020（1）：20.

[8]石明.江西高速集團(tuán)數(shù)據(jù)資源集成方案設(shè)計(jì)與應(yīng)用[D].南昌：華東交通大學(xué)，2018.

[9]曲范.信息系統(tǒng)冗余功效測(cè)試和可靠性研究[D].西安：西安工業(yè)大學(xué)，2017.

[10]郭琬琦.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用探析[J].現(xiàn)代信息科技，2019（9）：63-64.

[11]武寧.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用[J].現(xiàn)代商貿(mào)工業(yè)，2021（3）：90.

[12]朱莉.網(wǎng)絡(luò)信息安全技術(shù)在計(jì)算機(jī)管理中的應(yīng)用[J].電子世界，2021（5）：123-124.