分析網絡通信安全及防火墻技術

王輝

摘 要：隨著信息技術在我國各地的普及應用，網絡問題也在不斷地出現，對人們的生活工作帶來了一定的困擾，信息技術問題主要體現在網絡故障和網絡通訊安全的問題上，網絡故障主要是由于硬件設施和軟件配置的問題導致的，相對而言，比較容易解決。目前，網絡通訊安全問題是影響信息技術發展和應用的嚴重問題。下文分析了威脅網絡安全技術的主要因素，闡述了防火墻在網絡安全中的巨大作用，對各種類型的防火墻的優點和缺點以及使用效果做了探討。

關鍵詞：計算機網絡 網絡安全 防范措施 防火墻技術

引言

隨著網絡技術的發展，網絡通信給人們的工作生活帶來諸多便利，同時網絡安全的問題也隨著網絡技術的發展而日益嚴重。網絡通訊安全問題主要表現在信息的泄漏、篡改以及非法信息的流傳和散播，還包括一些利用網絡資源進行非法貿易等問題，網絡通信安全問題可能給企業帶來嚴重的經濟損失，所以必須要引起我們我們的高度重視和關注。防火墻技術能提高系統的安全性，減少網絡的不安全因素。在現如今的計算機時代，網絡信息的安全尤為重要，我們對防火墻技術的要求也會越來越高。

一、網絡信息安全的主要威脅

網絡信息安全的威脅是多方面的，隨著時間的變化而變化。這些威脅大致可以分為自然威脅和人為威脅。

自然威脅可能來自各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些非目的性事件，有時直接威脅到網絡的安全，影響信息存儲介質。

人為威脅是對網絡的人為攻擊。這些攻擊都是通過搜索系統的弱點，以達到破壞、欺騙、竊取數據的目的，可能會造成經濟和政治上無法估量的損失。網絡安全的人為威脅主要分為以下幾類：網絡缺陷、黑客攻擊病毒、資源管理不足和內部網絡用戶濫用網絡源造成信息泄露[2]。

（一）影響計算機網絡安全的因素

網絡資源共享。資源共享是計算機網絡應用的主要目的，但它為攻擊者利用共享資源破壞系統安全提供了機會。隨著互聯網需求的不斷增長，不可能完全隔離外部服務請求，并且很容易通過服務請求的機會獲得網絡數據包。

網絡的開放性。互聯網上的任何用戶都非常方便地訪問互聯網上的信息資源，因此很容易得到一個企業、單位和個人的敏感信息[3]。

網絡操作系統漏洞。網絡操作系統是實現網絡協議和網絡服務的最終載體，它不僅負責網絡硬件的接口，同時還提供所需的網絡通信協議和服務程序。由于網絡協議的復雜性，操作系統在實現過程中必然存在缺陷和漏洞。

網絡系統設計中的缺陷。網絡系統設計指的是拓撲結構的設計和各種網絡設備的選擇。網絡設備、網絡協議、網絡操作系統的不合理將直接帶來安全隱患。合理的網絡設計在節約資源的情況下，也能保證更好的安全性。網絡設計的不合理將對網絡安全造成威脅。

惡意攻擊。黑客是一種常見的網絡攻擊和病毒，這是最難以防范的網絡安全的威脅因素。隨著計算機教育的普及，這樣的攻擊越來越多，影響也越來越大[4]。

二、防火墻技術

（一）防火墻定義

防火墻是設置在不同網絡或網絡安全域之間的一系列部件的組合，根據網絡安全策略控制（權限拒絕監聽）訪問網絡信息流，本身具有較強的抗攻擊能力。它是提供信息安全服務、保障網絡信息安全的基礎設施。理論上講，防火墻是一個分離器、一個限制器、也是一個分析器，它可以監控內部網和Internet之間的所有活動，保證了內部網絡的安全。

（二）防火墻的種類

防火墻技術可根據防范的方式和側重點的不同，總體來講分為兩大類：分組過濾以及應用代理。

分組過濾（Packetfiltering）；作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址和端口號，協議類型等標志確定是否允許數據包通過[5]。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。

應用代理（ApplicationProxy）：也叫應用網關（ApplicationGateway），它作用在應用層，其特點是完全“阻隔”了網絡通信流通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用，實際中的應用網關通常由專用工作站實現。

（三）防火墻技術原理

1、包過濾技術

包過濾是一種基于網絡層的防火墻技術。根據一組過濾規則，檢查IP分組以確定數據包是否通過。不符合IP地址要求的，將被防火墻過濾掉，從而保證網絡系統的安全。該技術通常可以基于一些或所有以下的信息組IP包過濾：源IP地址；目的IP地址；TCP / UDP源端口；TCP / UDP目的端口。數據包過濾技術實際上是一種基于路由器的技術，其最大的優點是價格便宜，易于實現邏輯，易于安裝和使用[6]。

2、代理技術

代理技術是另一種完全不同于包過濾技術的防火墻技術。其主要思想是在兩個網絡之間建立一個“中間檢查點”，通過網絡進行通信。“中間檢查點”是代理服務器，在兩個網絡之間運行并檢查網絡之間的每個請求。當代理服務器接收用戶請求時，它檢查請求的有效性。如果是合法的，則請求轉發到實際服務器并轉發給用戶。為應用程序服務編寫代理服務器，在應用層中工作。

3、監視技術

這是第三代防火墻技術，融合了前兩者的優點。網絡通信可以在各級檢測。用同包過濾技術，可以檢測IP地址，端口號，以及TCP標簽，過濾掉數據包。它允許客戶信任和不信任的主機建立直接的聯系，不依賴于相關的應用層代理、應用層數據，但在方法確定進口，這些算法通過已知的合法數據包模式比較導入數據包，因此理論上可以更多的應用級代理的數據包過濾。

狀態監視器的監控模塊支持多種協議和應用，可擴展應用和服務。此外，它還可以監視RPC和UDP端口的信息，并且數據包過濾和代理不支持這樣的端口。這樣，通過對各個層的監控，實現狀態監控，達到網絡安全的目的。目前，使用多狀態監控防火墻，它對用戶是透明的，在OSI頂部加密數據，不修改客戶端程序，就沒有必要為每個運行在防火墻上的服務添加一個代理。

結語

現如今，網絡安全問題已引起世界各國的嚴密關注，隨著計算機網絡在人類生活各個領域的廣泛應用，不斷出現網絡被非法入侵，重要資料被竊取等嚴重問題，網絡、應用程序的安全漏洞越來越多，各種病毒泛濫成災。這一切，對國家及眾多商業公司造成巨大的經濟損失，甚至危害到國家安全，加強網絡安全管理已刻不容緩。

參考文獻

[1]楊富國.網絡通信安全及防火墻技術分析[J]. 信息通信，2013，（09）：139-140.

[2]李志平，張偉斌，鄭昕，黃智英. 網絡通信安全及防火墻技術淺析[J].中國新通信，2014，（21）：3-4.

[3]張瑞.計算機網絡安全及防火墻技術分析[J].電腦知識與技術，2012，（24）：5787-5788.

[4]衛星，周瑜龍.網絡通信安全及防火墻技術淺析[J].計算機光盤軟件與應用，2012，（13）：135-136.

[5]付冬波，吳偉豐.基于分布式防火墻技術的網絡安全系統分析[J].信息與電腦（理論版），2016，（08）：133-134.

[6]汪紅瓊.網絡通信安全與防火墻技術研究[J].通訊世界，2015，（16）：12.