劉在英

（上海民航職業(yè)技術(shù)學(xué)院基礎(chǔ)教學(xué)部計算機教研室 上海市 200235）

所謂“防火墻”可以將其理解為計算機網(wǎng)絡(luò)防護技術(shù)，能夠?qū)W(wǎng)絡(luò)進行有效保護，在受眾登錄訪問網(wǎng)（如Internet）可以實時阻止入侵問題，隨著我國科學(xué)技術(shù)的不斷發(fā)展，其在計算機網(wǎng)絡(luò)中的作用日益凸顯，未來將會有著更加良好的發(fā)展趨勢?，F(xiàn)如今我國人民日常生活中，正廣泛運用信息網(wǎng)絡(luò)開展工作，由此可見對防火墻安全技術(shù)進行探索與應(yīng)用，已經(jīng)成為了時代發(fā)展的大勢所趨。

1 計算機網(wǎng)絡(luò)安全及防火墻技術(shù)

1.1 網(wǎng)絡(luò)安全

如今計算機網(wǎng)絡(luò)（如Internet）已經(jīng)成為了生活的重要組成部分，其已經(jīng)涉及到了各方面，包括無紙化辦公、信息統(tǒng)計與整理、信息查詢等，其便利性被群眾所依賴。但就目前情況來看，在使用計算機網(wǎng)絡(luò)的過程中仍然會存在一定的風(fēng)險，其原因在于網(wǎng)絡(luò)具有較大的開放性，各種不安全因素會在訪問網(wǎng)絡(luò)時出現(xiàn)，對互聯(lián)網(wǎng)安全帶來了巨大的威脅。計算機網(wǎng)絡(luò)都有固定的主體服務(wù)器，而防火墻則可以將“流動”的威脅隔絕在“墻外”，避免受到惡意攻擊[1]。

1.2 防火墻技術(shù)

在當(dāng)前互聯(lián)網(wǎng)發(fā)展日新月異的時代背景下，計算機應(yīng)用變得格外常見，從通常意義上來說，防火墻可以稱之為一道阻止病毒入侵的“圍墻”，且各類安全防護任務(wù)都是通過防火墻開展的，其能夠阻擋“墻”外部的數(shù)據(jù)流，且可以為數(shù)據(jù)設(shè)立一道“門”，一般IT設(shè)備的使用壽命被設(shè)計為3至5年，通過冗余協(xié)議（VRRP）等技術(shù)實現(xiàn)主備冗余，可以自由選擇允許數(shù)據(jù)進入或不允許數(shù)據(jù)進入，防止計算機被惡意攻擊?？梢娫诰W(wǎng)絡(luò)使用過程中，必須采用現(xiàn)代防火墻技術(shù)對現(xiàn)存信息漏洞進行補充，從而使計算機網(wǎng)絡(luò)更加安全。

2 計算機信息系統(tǒng)的特點及防火墻安全技術(shù)

計算機信息系統(tǒng)在我國發(fā)展建設(shè)中有著重要的作用，其不僅是資源整合的手段，也是資源傳遞、儲存、應(yīng)用的重要工具。

2.1 計算機信息系統(tǒng)的特點

計算機信息系統(tǒng)集成當(dāng)中包括各類核心數(shù)據(jù)，指操作系統(tǒng)對計算機信息系統(tǒng)的硬件和軟件資源進行有效控制，包括口令機制有口令字、IC卡控制、指紋鑒別和視網(wǎng)膜鑒別等，利用對程序和數(shù)據(jù)的讀、寫管理，操作系統(tǒng)的安全性必須有所保障，因此在技術(shù)應(yīng)用過程中可以結(jié)合防火墻進行認(rèn)證與隔離，融合現(xiàn)代化監(jiān)測手段實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的有效防護。用戶認(rèn)證具備一定的復(fù)雜性與精密性，因此建設(shè)中必須借助防火墻系統(tǒng)進行完善，替代密碼RAS加密、PKI和MD5等算法以及秘密同態(tài)加密技術(shù)等，保證系統(tǒng)負(fù)荷用戶需求[2]。

2.2 計算機網(wǎng)絡(luò)安全技術(shù)

在計算機網(wǎng)絡(luò)中，安全技術(shù)的應(yīng)用尤為重要，如忽視相關(guān)內(nèi)容則可能早信息傳遞的過程中被盜取或攔截，即用戶受到主動攻擊而造成嚴(yán)重的損失，比如對信息的內(nèi)容進行更改、刪除、添加，從安全角度上考慮，需要在交換過程中提高合理性，避免非法入侵情況的發(fā)生。系統(tǒng)安全性常常依賴于對終端用戶身份的正確識別與檢驗，防火墻是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，能夠通過“墻”來限制未經(jīng)許可的用戶訪問相關(guān)資源，也無法在他人網(wǎng)絡(luò)內(nèi)進行信息攔截或信息獲取，即對互聯(lián)網(wǎng)區(qū)域進行限制，可以理解為內(nèi)部網(wǎng)和外部網(wǎng)(INTERNET)之間的海關(guān)檢查站。

3 計算機信息網(wǎng)絡(luò)安全現(xiàn)狀分析

3.1 網(wǎng)絡(luò)自身漏洞

網(wǎng)絡(luò)系統(tǒng)作為信息網(wǎng)絡(luò)系統(tǒng)核心所在，是連接應(yīng)用協(xié)議和服務(wù)的載體，因此信息系統(tǒng)都不可避免的存在漏洞，信息網(wǎng)絡(luò)系統(tǒng)軟件或數(shù)據(jù)傳輸都有可能會帶來風(fēng)險，不法分子會利用這一偏差出現(xiàn)的空白區(qū)進行入侵，控制設(shè)備盜取重要信息、文件等，進而導(dǎo)致安全風(fēng)險問題的發(fā)生[3]。

3.2 木馬病毒威脅

木馬病毒還可能影響系統(tǒng)正常運行，自檢也很難將其查出，造成的信息網(wǎng)絡(luò)安全問題較為嚴(yán)重。木馬病毒威脅可以將其稱之為計算機網(wǎng)絡(luò)應(yīng)用的一大難題，在用戶使用計算機時若不進行預(yù)防則會受到木馬攻擊，且該問題的潛伏期可長可短，可通過信息、文件、郵箱、軟件、網(wǎng)頁等途徑進行傳播，潛伏期內(nèi)會侵蝕計算機系統(tǒng)，通過毀壞保護程序來盜取相關(guān)信息，對用戶造成無法挽回的損失。

3.3 網(wǎng)絡(luò)結(jié)構(gòu)偏差

現(xiàn)有的信息網(wǎng)絡(luò)可能都會存在一定的結(jié)構(gòu)偏差問題，受到攻擊后程序代碼、指令受到串改，包括文件錯誤、軟件錯誤等，由于此時系統(tǒng)狀態(tài)并不穩(wěn)定，如缺少防火墻技術(shù)的支撐，則可能會收到黑客攻擊，對數(shù)據(jù)信息進行肆意盜取，信息安全受到嚴(yán)重影響。

3.4 操作安全隱患

信息網(wǎng)絡(luò)開放的系統(tǒng)性使得其共享性大大提高，在開放性系統(tǒng)模式下，各類網(wǎng)絡(luò)信息數(shù)據(jù)的安全性得不到有力的保障。由于使用不當(dāng)系統(tǒng)操作成為了主要風(fēng)險問題之一，當(dāng)前市面上有大量的鉤魚網(wǎng)站專門進行惡意操作，通過非法軟件竊取資源謀得利益，可進行入侵盜取信息網(wǎng)絡(luò)數(shù)據(jù)庫，最終導(dǎo)致信息泄露。

4 計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

4.1 分析用戶行為

計算機相關(guān)項目是極為重要的工作內(nèi)容，要求掌握影響項目的不確定因素，從各個層面進行分析與判斷，分析限制項目發(fā)展的條件，因此在計算機網(wǎng)絡(luò)應(yīng)用的過程中，需要通過新建項目系統(tǒng)對設(shè)備進行參數(shù)調(diào)整，在大數(shù)據(jù)技術(shù)下采用不同設(shè)備、不同類型設(shè)備互聯(lián)互通的方式進行控制，避免項目出現(xiàn)較大風(fēng)險。網(wǎng)絡(luò)安全要分析相關(guān)行為，監(jiān)測非法的網(wǎng)絡(luò)問題，并借助防火墻可以建立有效的網(wǎng)絡(luò)用戶特征數(shù)據(jù)庫，根據(jù)實際需要開展評估工作，基于網(wǎng)絡(luò)用戶特點甄別出假冒合法用戶，保證局域網(wǎng)（LAN）網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，使多個系統(tǒng)相互獨立且關(guān)聯(lián)。同時需要通過數(shù)據(jù)分析掌握用戶使用計算機網(wǎng)絡(luò)的特點和習(xí)慣，減少對系統(tǒng)破壞的問題，從而不斷提高計算機網(wǎng)絡(luò)安全分析與管理的質(zhì)量。

4.2 監(jiān)控網(wǎng)絡(luò)流量

計算機網(wǎng)絡(luò)作為我國信息化發(fā)展的重要內(nèi)容，期安全性直接會影響到建設(shè)效果，導(dǎo)致整體網(wǎng)絡(luò)規(guī)劃難以按照管控要求進行，而防火前可以實現(xiàn)對網(wǎng)絡(luò)流量的全方位監(jiān)控，而且能夠在點對點的網(wǎng)絡(luò)連接通信過程中，對不同計算機之間傳輸?shù)馁Y源進行監(jiān)控，基于Intel X86架構(gòu)的防火墻，結(jié)合ASIC專用集成電路，采用PCI總線接口達到2Gbps的吞吐量甚至更高，相關(guān)網(wǎng)絡(luò)管理員分析異?，F(xiàn)狀尋找原因，以此解決帶寬容量和性能不足的問題。在此基礎(chǔ)上可以采用多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù)，ASIC架構(gòu)防火墻穩(wěn)定性也得到了很好的保證，防火墻的構(gòu)建可以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞，確保計算機網(wǎng)絡(luò)的安全性。

4.3 數(shù)據(jù)準(zhǔn)確獲取

系統(tǒng)安全管理是一項周期性工作，需要對涉及到的人員、材料、質(zhì)量等進行實時的監(jiān)督與管理，打破傳統(tǒng)管理的時間和地域的限制，NAT（Network Address Translation）地址翻譯技術(shù)，自動啟動預(yù)防和管理控制程序措施，將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址，外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，需要由防火墻對內(nèi)部網(wǎng)絡(luò)的IP地址進行地址翻譯，使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，而NAT模式能夠挖掘數(shù)據(jù)，完善數(shù)據(jù)接入、識別、分類，通過建模以及數(shù)據(jù)模型代入等進行預(yù)測，保證數(shù)據(jù)資料不會因網(wǎng)絡(luò)而被非法獲取，具體如圖1.所示。在現(xiàn)階段科學(xué)技術(shù)的支持下，應(yīng)進一步完善網(wǎng)絡(luò)安全管理的內(nèi)容，從而不斷提高網(wǎng)絡(luò)安全分析的效率。

5 計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

5.1 完善信息服務(wù)模式

要求借助“平臺化”思路轉(zhuǎn)變現(xiàn)有的安全管理模式，有效連接信息的提供方和需求方，以促進平臺系統(tǒng)完成整體操作，提高信息網(wǎng)絡(luò)的安全系數(shù)。在技術(shù)的實際應(yīng)用過程中，現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的防護設(shè)備通過系統(tǒng)本身實現(xiàn)對 OSI 全層次的數(shù)據(jù)處理，包括以及data字段的數(shù)據(jù)分析，以此保證多個系統(tǒng)的獨立性，使得計算機信息網(wǎng)絡(luò)中的數(shù)據(jù)在經(jīng)過平臺后的各個“動作”都會被捕捉，在匯總和整理數(shù)據(jù)信息后，保證數(shù)據(jù)資料不會因網(wǎng)絡(luò)而被非法獲取，且如發(fā)現(xiàn)風(fēng)險能夠及時處理，避免更大的問題出現(xiàn)。

5.2 合理劃分子網(wǎng)

劃分子網(wǎng)對于防護十分重要，結(jié)合大數(shù)據(jù)技術(shù)的應(yīng)用可以突破這個弊端，將局域網(wǎng)內(nèi)部合理劃分，優(yōu)化整合子網(wǎng)降低資源的消耗約40%，進一步提高系統(tǒng)的安全性和穩(wěn)定性。而ASP是發(fā)展比較成熟的第三方專業(yè)管理平臺，利用ASP語言編制的計算機網(wǎng)絡(luò)服務(wù)管理系統(tǒng)，能夠根據(jù)板塊設(shè)置進行各種內(nèi)容進行劃分，創(chuàng)建出符合用戶需求的網(wǎng)絡(luò)環(huán)境，多部門都可以同步獲得豐富的項目信息，實節(jié)約層層上報的時間，還可以保證信息資源使用的安全性與有效性，防止網(wǎng)絡(luò)黑客攻擊或木馬侵入，進而為用戶提供一個良好健康的網(wǎng)絡(luò)平臺。

5.3 數(shù)據(jù)加密模塊設(shè)計

防火墻的包過濾技術(shù)一般只應(yīng)用于OSI7層的模型網(wǎng)絡(luò)層的數(shù)據(jù)中，其能夠完成對防火墻的狀態(tài)檢測，隨著我國經(jīng)濟化建設(shè)逐漸深化，現(xiàn)如今計算機網(wǎng)絡(luò)相關(guān)技術(shù)正逐步完善，如數(shù)據(jù)加密模塊便是其中之一，能夠為用戶提供一定的安全保障。在進行計算機網(wǎng)絡(luò)設(shè)計過程中，可以利用大數(shù)據(jù)技術(shù)對系統(tǒng)對模塊進行整體劃分，包括以太網(wǎng)數(shù)據(jù)包最小字節(jié)檢測，通過接口設(shè)計大數(shù)據(jù)技術(shù)模塊，整合abber幀檢測、接口緩存區(qū)溢出檢測、線路信號檢測等，以計算機的信息平臺掌握網(wǎng)絡(luò)應(yīng)用過程中動態(tài)，數(shù)據(jù)包在此完成物理層及數(shù)據(jù)鏈路層檢測，在處理過后實現(xiàn)鄰層交換，從而滿足時代發(fā)展的實際需求，為信息提供安全保障。

5.4 防火墻系統(tǒng)部署

考慮到計算機信息系統(tǒng)的重要性，技術(shù)人員當(dāng)下需要考慮到沙漠存在的隱性風(fēng)險，做好技術(shù)風(fēng)險管控，避免項目開展出現(xiàn)隱患。計算機惡意攻擊會導(dǎo)致信息泄露，黑客會利用各類病毒對當(dāng)前網(wǎng)絡(luò)進行惡意行為，防火墻能夠根據(jù)信息采取不同的保護措施，截至2018年防火墻產(chǎn)品包括：智能防火墻、分布式防火墻和網(wǎng)絡(luò)產(chǎn)品的系統(tǒng)化應(yīng)用等，能夠?qū)Ω鞣N不良信息或者攻擊進行防護，避免黑客對單一終端造成毀壞。同時防火墻技術(shù)將會對計算機開展系統(tǒng)部署，以秘鑰設(shè)置允許、拒絕和重定幾種不同的選項，還可以使用地址/端口映射（MAP）技術(shù)，在防火墻上進行地址/端口映射配置，防火墻將請求映射到內(nèi)部服務(wù)器上對信息或者攻擊的IP進行追蹤，工作在橋模式下的防火墻沒有IP地址，有效控制各類信息數(shù)據(jù)，避免計算機被惡意入侵。

6 結(jié)束語

隨著我國科學(xué)技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)技術(shù)也愈發(fā)完善，如防火墻技術(shù)現(xiàn)已被廣泛應(yīng)用在各個行業(yè)的中，防火墻是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，能夠保護用戶在網(wǎng)絡(luò)應(yīng)用過程中的安全隱私問題?，F(xiàn)如今我國人民日常生活中，正廣泛運用信息網(wǎng)絡(luò)開展工作，信息數(shù)據(jù)是計算機中的重要內(nèi)容，為了提高計算機網(wǎng)絡(luò)的安全性，需要合理運用防火墻技術(shù)，并根據(jù)實際需求進行完善，以此保證數(shù)據(jù)安全，避免出現(xiàn)意外風(fēng)險問題。