計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)研究

◆薄 楠

計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)研究

◆薄 楠

（遼寧邊防總隊(duì)大連周水子邊防檢查站 遼寧 116033）

防火墻技術(shù)是一種重要且高效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，對(duì)構(gòu)建安全的網(wǎng)絡(luò)運(yùn)行環(huán)境具有現(xiàn)實(shí)意義。本文首先，簡(jiǎn)要介紹了防火墻的相關(guān)概念；其次，重點(diǎn)對(duì)防火墻中的過(guò)濾、代理、檢測(cè)和協(xié)議等關(guān)鍵技術(shù)進(jìn)行了介紹和分析；然后，研究了防火墻技術(shù)在安全服務(wù)配置、訪(fǎng)問(wèn)策略配置和日志監(jiān)控等方面的應(yīng)用；最后，指出了防火墻相比于其他防護(hù)措施的優(yōu)勢(shì)。

計(jì)算機(jī)網(wǎng)絡(luò)；安全防護(hù)；防火墻技術(shù)

0 前言

當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷進(jìn)步，不僅給人類(lèi)的工作、生活、學(xué)習(xí)等各個(gè)方面都帶來(lái)了極大便利，而且?guī)缀踉谏鐣?huì)系統(tǒng)正常運(yùn)行的各個(gè)領(lǐng)域發(fā)揮著不可替代的作用。然而，其存在的安全問(wèn)題也時(shí)刻威脅著人們的個(gè)人信息和社會(huì)系統(tǒng)的正常運(yùn)轉(zhuǎn)。計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問(wèn)題一旦為惡意攻擊者所利用，輕則導(dǎo)致人們無(wú)法正常使用計(jì)算機(jī)，擾亂正常的工作、生活、學(xué)習(xí)秩序，重則可能導(dǎo)致國(guó)家或企業(yè)的重要數(shù)據(jù)和核心信息遭到竊取并泄漏，帶來(lái)不可想象的嚴(yán)重后果和重大損失[1]。近年來(lái)，防火墻技術(shù)的不斷更新和優(yōu)化，使其成為目前最為常用的防護(hù)技術(shù)之一,并得到了眾多用戶(hù)和安全防護(hù)人員的青睞[2]。防火墻技術(shù)操作起來(lái)既簡(jiǎn)單方便,又可發(fā)揮其強(qiáng)大的防護(hù)功能,將來(lái)自外部網(wǎng)絡(luò)的威脅高效攔截。

1 防火墻簡(jiǎn)介

防火墻是一種常用的網(wǎng)絡(luò)防護(hù)和隔離技術(shù)，通常由硬件和軟件兩個(gè)部分構(gòu)成。防火墻技術(shù)的目的是為計(jì)算機(jī)運(yùn)行提供安全的網(wǎng)絡(luò)環(huán)境，防止被惡意破壞或攻擊[3]。如基于網(wǎng)絡(luò)通信安全機(jī)制的防火墻技術(shù)僅接收對(duì)來(lái)自網(wǎng)絡(luò)上的已授權(quán)的信息，在計(jì)算機(jī)與網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行通信之前，首先對(duì)網(wǎng)絡(luò)中的信息進(jìn)行過(guò)濾、篩選和判別，通過(guò)判別，對(duì)安全的信息允許通過(guò)，對(duì)可能存在安全問(wèn)題的信息則阻止通過(guò)。因此，防火墻可看作是計(jì)算機(jī)和網(wǎng)絡(luò)之間的安全檢查站，對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)之間交互的信息進(jìn)行檢查和處理。簡(jiǎn)而言之，防火墻的主要功能可概括如下：（1）通過(guò)判別，屏蔽非法服務(wù)和用戶(hù)；（2）審計(jì)計(jì)算機(jī)系統(tǒng)的安全性；（3）阻止外部網(wǎng)絡(luò)竊取計(jì)算機(jī)內(nèi)部信息；（4）通過(guò)強(qiáng)化安全策略，管理對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)。

2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

2.1 防火墻中的關(guān)鍵技術(shù)

防火墻中使用的關(guān)鍵技術(shù)主要包括過(guò)濾技術(shù)、代理技術(shù)、檢測(cè)技術(shù)和協(xié)議技術(shù)，下面分別簡(jiǎn)要分析這幾個(gè)關(guān)鍵技術(shù)。

2.1.1 過(guò)濾技術(shù)

防火墻利用過(guò)濾技術(shù)，對(duì)非法或威脅數(shù)據(jù)進(jìn)行過(guò)濾。過(guò)濾技術(shù)通常設(shè)置在TCP位置，對(duì)接收到的數(shù)據(jù)包，防火墻首先對(duì)該數(shù)據(jù)包的安全性進(jìn)行檢查，根據(jù)數(shù)據(jù)包中是否存在不安全因素，執(zhí)行相應(yīng)的措施，如當(dāng)發(fā)現(xiàn)其中包含可疑因素，或存在威脅網(wǎng)絡(luò)安全的潛在攻擊行為時(shí)，防火墻可立即切斷該數(shù)據(jù)包的流通。過(guò)濾技術(shù)能夠起到一定的預(yù)防作用，可控制威脅信息的傳輸，防止可以數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，從而保證TCP區(qū)域的安全性。此外，過(guò)濾技術(shù)還常常用于路由器的防護(hù)。

2.1.2 代理技術(shù)

防火墻中的代理技術(shù)的主要作用是對(duì)內(nèi)網(wǎng)和外網(wǎng)之間的數(shù)據(jù)進(jìn)行中轉(zhuǎn)，其中，內(nèi)網(wǎng)僅對(duì)代理發(fā)送來(lái)的請(qǐng)求給出回應(yīng)，外網(wǎng)的其他請(qǐng)求則拒絕回應(yīng)，從而將內(nèi)網(wǎng)和外網(wǎng)隔離開(kāi)來(lái)，避免內(nèi)網(wǎng)和外網(wǎng)相互混淆。代理技術(shù)能夠在計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行過(guò)程中的各個(gè)模塊中發(fā)揮作用，效果十分明顯。

2.1.3 檢測(cè)技術(shù)

防火墻中的檢測(cè)技術(shù)主要用于對(duì)網(wǎng)絡(luò)的當(dāng)前狀態(tài)是否正常進(jìn)行檢測(cè)。在各個(gè)不同層的網(wǎng)絡(luò)之間使用檢測(cè)技術(shù)來(lái)獲取網(wǎng)絡(luò)的當(dāng)前狀態(tài)信息，并在此基礎(chǔ)上擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)安全的運(yùn)行環(huán)境。檢測(cè)技術(shù)首先分析來(lái)自外網(wǎng)的數(shù)據(jù)包的狀態(tài)內(nèi)容，然后將分析結(jié)果匯總為記錄表，通過(guò)對(duì)其中的規(guī)則表和狀態(tài)表的對(duì)比來(lái)識(shí)別其中的狀態(tài)內(nèi)容。

2.1.4 協(xié)議技術(shù)

防火墻中的協(xié)議技術(shù)的主要作用是對(duì)來(lái)自外網(wǎng)的Dos攻擊進(jìn)行防護(hù)。Dos攻擊是一種常用的黑客攻擊手段，且技術(shù)含量較低，無(wú)攻擊限制。防火墻中的協(xié)議技術(shù)通過(guò)提供網(wǎng)關(guān)服務(wù)，對(duì)內(nèi)部網(wǎng)絡(luò)提供防護(hù)。協(xié)議技術(shù)確保服務(wù)器處于安全的網(wǎng)絡(luò)環(huán)境，從而避免來(lái)自外網(wǎng)的惡意攻擊。

2.2 防火墻技術(shù)的常見(jiàn)應(yīng)用方式

2.2.1 安全服務(wù)配置

安全服務(wù)配置通常將需要保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)劃分為多個(gè)模塊，并將需要進(jìn)行重點(diǎn)安全防護(hù)的模塊作為隔離區(qū)。與其他的安全防護(hù)措施相比，防火墻技術(shù)通過(guò)安全配置得到的隔離區(qū)域的特征往往更為獨(dú)特。對(duì)在隔離區(qū)域內(nèi)的數(shù)據(jù)，防火墻首先利用地址轉(zhuǎn)換技術(shù)，將需要發(fā)送到外網(wǎng)的數(shù)據(jù)包的IP地址有轉(zhuǎn)換為公共IP，此時(shí)，即使惡意攻擊者試圖從外網(wǎng)解析源IP時(shí)，僅能得到轉(zhuǎn)換后的公共IP，而無(wú)法得到真實(shí)的IP。因此，安全服務(wù)配置使得在內(nèi)網(wǎng)和外網(wǎng)進(jìn)行數(shù)據(jù)交換時(shí)，攻擊者無(wú)法獲得真實(shí)的IP，僅能獲得虛假的IP，難以利用內(nèi)網(wǎng)信息對(duì)內(nèi)網(wǎng)造成攻擊，從而保障內(nèi)網(wǎng)的安全性，防止來(lái)自外網(wǎng)的惡意攻擊。

2.2.2 配置訪(fǎng)問(wèn)策略

訪(fǎng)問(wèn)策略的主要實(shí)施方式之一是進(jìn)行合理科學(xué)的配置。防火墻技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)置訪(fǎng)問(wèn)策略，來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)。保護(hù)過(guò)程可簡(jiǎn)要概括如下：

（1）將計(jì)算機(jī)運(yùn)行中的信息分為多個(gè)不同的單位，對(duì)不同的單位，劃分成內(nèi)部訪(fǎng)問(wèn)保護(hù)和外部訪(fǎng)問(wèn)保護(hù)。

（2）通過(guò)訪(fǎng)問(wèn)策略，了解計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行特征以及運(yùn)行過(guò)程中的目的、端口地址等各種地址，為規(guī)劃合理科學(xué)的保護(hù)方式提供依據(jù)。

（3）不同的訪(fǎng)問(wèn)策略往往對(duì)應(yīng)著計(jì)算機(jī)網(wǎng)絡(luò)中的不同的防護(hù)方式。防火墻技術(shù)根據(jù)不同環(huán)境下計(jì)算機(jī)的防護(hù)需求和實(shí)際應(yīng)用，合理調(diào)整訪(fǎng)問(wèn)策略，以最科學(xué)的配置對(duì)計(jì)算機(jī)的安全進(jìn)行防護(hù)，在防護(hù)過(guò)程中，訪(fǎng)問(wèn)策略會(huì)形成記錄訪(fǎng)問(wèn)策略活動(dòng)的相應(yīng)表。

（4）在完全運(yùn)行訪(fǎng)問(wèn)策略后，將形成的訪(fǎng)問(wèn)策略配置作為防火墻的配置，實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的合理科學(xué)高效防護(hù)。

2.2.3 日志監(jiān)控

通過(guò)分析防火墻的保護(hù)日志，往往能夠獲得一定有價(jià)值的信息。對(duì)日志的監(jiān)控也是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的常用措施之一，因此對(duì)日志監(jiān)控的保護(hù)，也是防火墻的重要應(yīng)用方式之一。在采集防火墻日志信息時(shí)，僅需要采集關(guān)鍵信息，并不需要采集所有的日志信息，這樣制作出的日志才能高效地發(fā)揮作用。在打開(kāi)防火墻日志時(shí)，由于每天經(jīng)過(guò)防火墻的數(shù)據(jù)量十分龐大，全部采集通常難度較大，且容易忽略關(guān)鍵信息，因此可通過(guò)對(duì)不同的類(lèi)別進(jìn)行劃分，來(lái)降低采集難度，并將提取的關(guān)鍵信息作為制作日志監(jiān)控的依據(jù)。

2.3 應(yīng)用防火墻的優(yōu)勢(shì)與其他的防護(hù)技術(shù)相比，防火墻技術(shù)在識(shí)別網(wǎng)絡(luò)攻擊和保護(hù)網(wǎng)絡(luò)系統(tǒng)方面具有明顯優(yōu)勢(shì)。

在識(shí)別網(wǎng)絡(luò)攻擊方面，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和提高，計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊種類(lèi)越來(lái)越多，且攻擊方式不斷變化。面對(duì)如此種類(lèi)繁多且多變的網(wǎng)絡(luò)攻擊方式，防火墻技術(shù)也在不斷更新和優(yōu)化，利用自身優(yōu)勢(shì)和特點(diǎn)，能夠?qū)粽叩墓袈窂健⒎绞降忍攸c(diǎn)進(jìn)行判斷和識(shí)別，并能夠?qū)Ξ?dāng)前攻擊的屬性進(jìn)行準(zhǔn)確判斷。在此基礎(chǔ)上，防火墻能夠針對(duì)不同攻擊方式的不同特點(diǎn)，采取相應(yīng)的防護(hù)措施。因此，即使面對(duì)快速變化的攻擊方式，防火墻往往仍可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行環(huán)境提供有效的防護(hù)效果。

在保護(hù)網(wǎng)絡(luò)系統(tǒng)方面，與其他防護(hù)技術(shù)相比，防火墻技術(shù)的保護(hù)能力和保護(hù)水平較高。在實(shí)際中，計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊往往種類(lèi)較多攻擊方式多變，一般的防護(hù)措施很難確定其種類(lèi)和方式，相比之下，防火墻技術(shù)往往能夠在較短的時(shí)間內(nèi)，檢測(cè)到當(dāng)前網(wǎng)絡(luò)可能遭受的攻擊行為，并能夠在合理的時(shí)間內(nèi)采取相應(yīng)的措施，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不被攻擊。防火墻技術(shù)不僅能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全進(jìn)行防護(hù)，還能強(qiáng)化網(wǎng)絡(luò)機(jī)構(gòu)，對(duì)系統(tǒng)的整體性能的提升提供幫助。

3 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)步推動(dòng)著社會(huì)經(jīng)濟(jì)、生活等多個(gè)方面不斷向前發(fā)展。當(dāng)前，各個(gè)行業(yè)都對(duì)計(jì)算機(jī)網(wǎng)絡(luò)有著前所未有的依賴(lài)程度，隨之而來(lái)的安全問(wèn)題也日益嚴(yán)峻。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的重要且有效的方式之一。科學(xué)地利用防火墻技術(shù)，有助于構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全的運(yùn)行環(huán)境。

[1]李艷，黃光球.動(dòng)態(tài)攻擊網(wǎng)絡(luò)演化分析模型[J].計(jì)算機(jī)應(yīng)用研究，2016.

[2]尹西杰，徐建國(guó).多防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的研究及應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2015.

[3]張艷斌.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2014.