計算機網絡防火墻設置問題探討

【摘 要】隨著網絡技術的不斷發展和普及，我們的工作和生活都隨之發生了改變，網絡給人們帶來極大便利的同時威脅著信息安全。網絡防火墻技術有防御病毒侵入、彌補漏洞等功能，受到廣大計算機用戶的親睞。本文針對網絡防火墻實用性不強、防火墻技術單一和沒有內外兼顧三個問題，探討了計算機網絡防火墻設置的方法為用戶安全使用網絡提供了保障。

【關鍵詞】網絡防火墻 設置 防火墻技術

1 設置網絡防火墻呈現出的問題

1.1 設置的網絡防火墻實用性不強

有關單位在設置網絡防火墻時，不是以自身所需以及當下網絡狀況為依據，來設置網絡防火墻，大多數企業在購買了防火墻之后，只是用防火墻技術所默認的“防毒”和“檢測”手段，因此很多新型網絡病毒以及木馬，網絡防火墻并不能真正被攔截和檢測出來，所以給很多單位和用戶帶來無法挽回的損失。另外，有的防火墻技術沒有秉承簡單實用性原則，運用起來較為繁瑣，給用戶應用帶來較大困難。

1.2 網絡防火墻技術單一

很多單位在設置網絡防火墻時，并沒有將各種防火墻類型聯合運用，像包過濾技術、代理型防火墻以及檢測型防火墻，它們都有各自的側重點，有的是能防御木馬，有的則是能夠防治黑客侵襲。由于很多用戶或者單位設置單一的防火墻技術，不利于病毒的全面查殺，防火墻在運轉過程中并不是面面俱到，所以在隔離病毒和木馬時，總有漏網之魚，這也是導致黑客侵襲屢禁不止的主因之一。

1.3 網絡防火墻內外不兼顧

防火墻是內網和外網之間的一個隔離墻，這就說明設置的防火墻是防止外部入侵不防護內部信息的技術，然而在分析計算機網絡安全的實況得知，有八成以上的安全威脅是由內部造成，基于要采用進侵檢測、掃描漏洞以及查殺病毒等方式，但是用戶以及使用網絡的單位并沒有重視其內部防控的重要性，并沒有將這些方式加入到網絡防火墻設置當中，因此使自身的網絡安全受到威脅。

2 網絡防火墻科學配置策略

2.1 科學的配置和部署網絡防火墻

網絡防火墻的部署：在計算機上使網絡防火墻充分發揮其作用，科學、合理的對網絡防火墻進行部署安裝是第一要務，即不管是內部網還是外部公共網絡，只要是有可能受到惡意病毒侵襲的地方，都要部署好網絡防火墻[1]。通常來說，以系統需求為依據，可以在下面的幾個地方部署網絡防火墻，第一外部公共網絡和內部網的接口處部署網絡防火墻；第二針對很多有較大網絡規模，且設置了虛擬局域網的位置，應在各虛擬局域網之間部署好網絡防火墻；第三在用公共網絡進行聯系的總部和各類支部之間部署網絡防火墻。另外在兩種網絡相連時，應當在接口處運用硬件防火墻來設置網關設備，以實現網絡隔離、地址轉化、網絡存取安全、地址映射等功能，進而將原有的軟件防火墻所遇到的難以處理問題解決掉。此外在客戶端和公共服務器的接口之間也可以部署防火墻，主要起到控制網絡流量、負載分組、用戶認證、存取控制、記錄日志的作用。

網絡防火墻的配置：為了能夠將網絡防火墻的功能充分發揮出來，不但要部署上保持科學合理，同時也要保證能夠科學的配置網絡防火墻。大部分單位都無法意識到設置網絡防火墻的重要性，就投入大量資本來買防火墻，不過只購買卻忽視了網絡防火墻配置也非常關鍵。因此網絡防火墻不能將其功能充分發揮出來，從而產生各種問題。這就必須重視配置網絡防火墻的工作，網絡防火墻是否有強大的保障功能與配置網絡的正確性有莫大關系。在這里配置網絡防火墻的安全功能得到發揮必須要完成有條理性的、簡便的安裝條件才可以，這就要求管理員必須對配置網絡防火墻有清晰的認知度，在網絡的安全、傳輸速率和靈活性這三個方面找準平衡點[2]。

2.2 設置可靠安全的網絡防火墻

確保網絡防火墻的可靠性和安全性重要的一步是擬定一套有明確條例的防火墻準則集。通常而言，想要網絡防火墻實現其可靠性和安全性應當從以下兩點來設置：

網絡防火墻的功能設置：在設置功能時，首要考慮的是在未接入網絡之前啟動防火墻，然后再設置防火墻的安全級別。假如是固定的IP地址用戶，設置成為中等級別就可以保障其安全性，這時因為以前的有固定IP地址的用戶通常是局域網用戶，局域網自身就已經采取防護措施，因此在固定用戶設置時無需進行高級設置[3]。

以下就對包過濾技術這一基于功能設置的技術進行簡要的探討：該類型的防火墻在開放是互聯網絡中是以傳輸層和網絡層為參考模型，以數據包頭源地址、端口號、目的地址和協議種類等標識為依據，來確定是否能夠通過該關卡傳輸給用戶，只有符合過濾要求的數據包才能夠被傳輸到對應的目標地址，其他的數據包則是丟棄在數據流當中。該種防火墻技術是一種成本低、通用性高而且有效的安全措施。其通用性表現在它對全部網絡服務都具有實用性；其成本低主要表現在實現數據的包過濾功能，多部分是由路由器而集成；有效性主要表現在大部分企業使用該種技術都能夠滿足其安全要求。因此包過濾防火墻技術是使用最為廣泛的一個防火墻技術。

網絡防火墻的規則設置：通常網絡防火墻有本身默認的規則，不過有些規則只能夠防御一般的漏洞、木馬和病毒，針對新進爆發的漏洞、木馬和病毒并不能起到防護作用，這就不能在默認設置的網絡防火墻規則中確保網絡的安全性。所以我們需要對網絡防火墻的規則進行重新設置。首先，在分析計算機安全漏洞、木馬和病毒時，可以將反病毒公司提供的有關信息充分利用起來進行全方面分析。然后以此為基礎，再以用戶本身所需和目前網絡安全狀況為依據，設置網路防火墻的規則。

3 結語

網絡技術遍及到千家萬戶給我們生產生活帶來許多便利，不過多種多樣的網絡安全威脅也日漸增多，想要防護網絡安全既是管理問題又是技術問題，網絡防火墻作為技術和管理兼備的一種防護網絡的安全技術，只要將其技術掌握扎實且牢固應用，就能夠確保計算機網絡在安全狀態下運行。

參考文獻：

[1] 陳禹.計算機網絡防火墻的設置分析[J].中國新技術新產品，2012（18）：33.

[2] 羅進杰.有關計算機網絡防火墻的設置分析[J].計算機光盤軟件與應用，2012（19）：122-123.

[3] 徐美紅，封心充，孫鵬，黃勁燦.基于防火墻技術的計算機網絡安全問題探討[J].科技傳播，2013（18）：160.

作者簡介：許葵元（1977—），男，河南信陽人，碩士，河南信陽職業技術學院，講師，研究方向：計算機網絡與數據庫。