計算機網絡安全隱患及防火墻技術應用對策芻議

戴小將（中華人民共和國莆田邊防檢查站，福建 莆田 351100）

計算機網絡安全隱患及防火墻技術應用對策芻議

戴小將
（中華人民共和國莆田邊防檢查站，福建 莆田 351100）

摘 要：計算機網絡技術是存在一定安全隱患的，一旦計算機技術的安全隱患被人利用盜取用戶的機密信息，將會給用戶造成非常嚴重的經濟損失。本文對當前計算機網絡存在的主要安全隱患進行了分析，并討論了防火墻技術在計算機網絡安全中的應用。

關鍵詞：計算機；網絡安全；防火墻

在計算機技術不斷取得新的進步背景下，保證網絡安全也越來越被人們所重視，每一次計算機技術與系統的更新都會衍生出大量新的網絡安全隱患，一旦這些網絡安全隱患被人主動利用攻擊用戶、盜取用戶的私密信息，都會給用戶造成一系列難以挽回的損失。防火墻是當前應對計算機網絡安全隱患及網絡攻擊的主要防范技術之一，應用防火墻能夠對當前計算網絡安全存在的多種隱患類型采取相應的防范措施。

1 計算機網絡安全隱患的內容及分類

計算機網絡安全的含義是指利用相應的網絡管理控制措施和技術措施，對當前網絡環境中用戶數據的保密性、完整性及可使用性提供保護的一系列活動。具體來講，計算機網絡安全的內容包括管理控制網絡的軟件、機內儲存的資源信息、方便快捷的網絡瀏覽服務、計算機自身的硬件等。計算機網絡安全可以分為兩個方面，分別是物理安全和邏輯安全，物理安全指的是計算機系統設備及其相關設備的物理安全性，防止受到破損和丟失等；邏輯安全則指的是網絡范圍內儲存信息的安全性、完整性、保密性和可用性。計算機網絡安全隱患，就是指對以上網絡安全能夠造成一定安全風險的隱患。具體來講，能夠給計算機網絡造成安全隱患的因素主要包括以下兩個方面：

1.1 人為因素造成的計算機網絡安全隱患

人為因素造成的計算機安全隱患是指由于人的自覺或者不自覺的行為造成的計算機安全問題的發生，包括使用者在使用計算機網絡時不小心對網絡中存儲的信息格式化或者刪除、對計算機的硬件線路不小心纏繞過深引起硬件損壞或線路燒毀等，這些都是不自覺的行為造成的計算機網絡安全隱患類型；自覺的行為造成的計算機網絡安全隱患大多是由于違法分子依據計算機網絡安全中存在的漏洞或非法進入計算機機房盜取計算機網絡中存儲的信息資源或對計算機系統的安全防護機制進行修改盜取控制，破壞計算機的硬件組成部分，編制計算機病毒散播出去，導致用戶無法完整使用計算機網絡功能或私密信息被竊取等。這種非法行為是造成計算機安全威脅的主要原因，在計算機網絡安全隱患因素中占據了相當一大部分的比例。防火墻技術在計算機網絡安全中的應用就是對人為因素造成的安全問題的解決措施。

1.2 自然原因造成的計算機網絡安全隱患

自然原因造成的計算機安全隱患主要是指由于自然天氣因素及計算機網絡設備的自然老化等造成的計算機網絡安全存在一定的隱患。以雷雨天氣下發生的對計算機硬件的雷擊現象為例，雷擊造成計算機硬件發生破壞并且信息資源發生丟失的現象就是由于自然原因造成的計算機網絡安全問題。除此之外，一般自然原因造成的計算機網絡安全隱患都是間接性質的，例如計算機硬盤的老化不可使用、溫度過高造成的計算機系統無法正常運轉等。

2 防火墻技術在計算機網絡安全中的運用

防火墻技術，也可以稱為防護墻技術，是一種位于用戶自身計算機內部與外圍網絡連接之間的網絡安全系統，由計算機系統內部軟件及相應的硬件設備綜合組成，能夠在用戶內部網絡和外部網絡（私人網絡與公共網絡）之間構建一種類似于保護屏障的計算機安全保護系統，構建目的是為了保護用戶的私人網絡免受外部非法用戶的入侵。防火墻系統主要組成部分包括服務訪問規則、驗證工具、包過濾和應用網關四個部分，在計算機網絡中安裝了防火墻系統之后，所有經過當前計算機網絡的通信和數據包都要經過防火墻的檢查，對防范外來非法用戶夾雜在數據通信中的計算機病毒提供有力的技術保障。簡單來講，就是無論是外來信息主動連接用戶的私人網絡還是用戶的私人網絡主動訪問外界信息，這期間兩者信息的交換都必須通過防火墻信息通訊和數據包的鑒別，如果防火墻發現外界信息有任何不符合防火墻技術要求的地方，那么兩者之間的連接都是無法建立的，即外界信息無法連接到用戶的私人計算機，用戶的私人計算機也無法連接到外界信息。

2.1 防火墻技術的種類

防火墻技術的種類根據不同的劃分方法也有不同的類型。根據建立結構來區別，防火墻技術可以分為代理主機結構和路由器加上過濾器綜合組成的結構兩種類型。根據系統建立時使用技術的原理不同，防火墻系統又可以分為特殊設計的硬件防火墻系統、以數據包過濾為主要內容的防火墻系統、電路層網關和應用層網關四種。用戶可以對這四種類型綜合選擇，運用多種技術類型綜合構建防火墻系統，保證自己計算機網絡的信息安全。網絡層防火墻系統主要是報文過濾技術的運用和構建，主要原理是通過網絡協議上的IP地址設定，只允許擁有安全IP地址和網絡協議的外來用戶連接或信息通過，其余的網絡連接一概拒絕，被統一關在防火墻門外。值得注意的是，這種防火墻技術無法做到對外來用戶網絡協議及IP地址的有效識別，如果非法入侵者盜取別的用戶的健康地址和網絡協議，那么也是可以進入到用戶私人計算機網絡中的，同時這種技術無法對外來病毒進行有效的抵擋；應用層防火墻是借由計算機中的TCP/IP堆棧應用層構建而成，能夠對通過某些應用程序的數據包進行網絡封鎖，從而封鎖該應用程序所有的數據流進入到用戶私人計算機網絡中。這種防火墻技術能夠有效防范電腦蠕蟲以及木馬程序的快速蔓延并對其做到有效識別，但是由于外來程序的復雜性及繁多的特點，防火墻需要防備的軟件太多，工作量十分巨大；數據包防火墻技術則是以數據庫協議分析與控制技術為基礎的數據庫安全防護系統，能夠實現對用戶計算機數據庫的主動防御，對外來用戶的訪問、危險操作及可疑行為進行分辨和控制。

2.2 防火墻技術在計算機網絡安全中的應用

防火墻技術在計算機網絡安全中的應用和實施可以從以下方面具體分析，首先，防火墻技術能夠對用戶計算機的路由器進行屏蔽，也就是對用戶計算機與外界網絡連接的唯一方式進行關閉與否的控制行為。當前計算機技術中，路由器作為計算機與外界網絡連接的必經通道，用戶與外界網絡的所有連接信息與交換數據包都會經過路由器通道來實現，而防火墻系統能夠通過在路由器上設立的報文過濾技術來對數據包及外界信息的IP地址進行分辨和過濾，對那些不健康或有一定危險程度的IP地址進行封鎖，從而有效保護用戶私人計算機網絡的安全。當前很多計算機中的路由器都會裝有報文過濾的配置選項，以便用戶對外來用戶的IP進行過濾。

其次，防火墻技術能夠對主機網關進行屏蔽。技術原理是在計算機內部網絡中建立類似的內部堡壘主機，內部堡壘主機通過路由器與外部網絡進行連接并對外部網絡發送過來的信息和數據包進行分辨和審查，將內部堡壘主機作為用戶私人計算機與外界網絡連接的唯一連接點，從而保護用戶私人計算機的網絡安全，保證即使受到外部信息的攻擊也只是內部堡壘主機遭受攻擊，用戶內部網絡的安全性依然良好。同時，如果用戶的私人計算機網絡是一個虛擬擴展的本地局域網，并沒有子網和路由器等有關網絡連接的配置，那么內網的變化就無法影響到用戶計算機中內部堡壘主機和屏蔽路由器的配置。屏蔽主機網關在保護網絡時具有相關的控制和保護策略，主要由安裝在網關中的軟件決定，一旦外來入侵者登陸到用戶網關上，將會對內部網絡中的主機造成非常嚴重的安全威脅。

另外，防火墻技術還能對用戶的子網進行屏蔽。技術原理是在用戶內部網絡和外接網絡之間建立一個完全隔離的子網，用戶可以使用兩臺分組過濾路由器將這一子網與內部網絡和外界網絡完全隔離。在屏蔽子網的體系結構中，有一臺主機專門與內部網絡的主機連接，使用其與內部網絡的主機進行網絡連接及相關信息的交換，而另外一臺主機則與外部網絡連接，外來網絡與用戶計算機網絡之間的信息交換則通過已經設置好的子網空間進行交流，通過兩個主機對信息的分別過濾和子網空間的建立來保證外來信息不會對用戶私人計算機網絡造成任何信息交換過程中的安全問題。

最后，防火墻技術還能夠解決用戶計算機網絡安全中的其它安全隱患，包括對用戶計算機儲存信息的即時備份和鏡像技術來保證用戶信息數據的完整性、安全性，防止信息突然丟失給用戶造成的相關損失；同時，防火墻技術還能夠通過自身對外來病毒信息的不斷記錄和補丁安裝及自身技術系統的升級，從而有效防范非法入侵者通過網絡病毒對用戶的計算機網絡安全造成威脅；防火墻技術還能夠幫助用戶對機密信息進行加密以提高用戶信息的安全性，保證計算機網絡的安全。

結語

防火墻技術是目前應對網絡非法攻擊，保護用戶私人計算機網絡安全的主要技術手段，然而計算機網絡除了會遭受到外來網絡的非法入侵以外，還會遭受到其它不同因素造成的安全威脅，用戶應該積極應用防火墻技術，綜合運用多種防火墻技術類型構建計算機防火墻系統，同時做好對計算機硬件、軟件、信息交流、工作生活使用中的相關保護工作，做好對計算機網絡的全面保護，保證用戶的計算機網絡安全不會受到影響。

參考文獻

[1]顧永仁.基于防火墻的網絡安全技術分析[J].網絡安全技術與應用，2014（04）：148+151.

[2]馬利，梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術，2014（16）.

[3]付建民.計算機網絡安全與防火墻技術探討[J].信息系統工程，2014（07）：63.

中圖分類號：TP393

文獻標識碼：A