計算機網絡安全及防火墻技術分析

金元石，張曉宇

（中國電子科技集團公司第四十七研究所，沈陽110032）

計算機網絡安全及防火墻技術分析

金元石，張曉宇

（中國電子科技集團公司第四十七研究所，沈陽110032）

隨著經濟水平的逐步提高與科學技術日新月異的發展，計算機在人們日常生活與工作中的應用也更加具有普遍性，但是由于計算機網絡等新興技術的發展尚且處于一個不夠完備的階段，人們在計算機實際使用過程中經常會出現網絡安全，因此，網絡安全問題也受到了人們更為廣泛的關注。防火墻技術作為能夠應對這種安全威脅挑戰的有效手段，加強防火墻技術內容的探索對于維護整個互聯網具有十分重要意義。

計算機；網絡；安全；防火墻；技術；分析

1 引言

互聯網就像電一樣，悄無聲息地貫穿于我們的日常生活，無所不在。雖然計算機網絡給人們帶來了巨大便利，但網絡安全問題日益嚴峻，如不斷曝出的精準電信詐騙、斯諾登棱鏡門、熊貓燒香病毒攻擊等。終端設備面臨的威脅和挑戰日益增加。所以，加強網絡安全與防火墻建設非常重要。

2 計算機網絡安全中防火墻技術

2.1 計算機網絡安全中防火墻技術的內容及存在問題

在用戶對計算機進行使用的過程中，為了保障計算機所存儲數據信息的完整性與安全性，免于受到外部攻擊而導致篡改、泄漏，為使得網絡運行環境能夠始終處于一個安全、穩定的環境中，便需要類似于安全屏障類的隔離技術，而這種“防火墻”技術則為其提供了途徑。防火墻的相關技術不僅能夠對網絡之間的訪問權限以及內容控制起到很好的阻隔、管理作用，同時也阻止了一些非法行為的發生，降低因黑客非法獲取網絡的信息資源及其他非法行為而給普通用戶帶來危害的概率[1]。

在當前計算機網絡技術的使用過程中也存在著一些問題，概況起來主要有以下項內容：

（1）關于計算機的數據威脅問題。在數據運行時時常會出現一些漏洞，攻擊者利用計算機中的漏洞，從計算機網絡中的薄弱部分開始侵入，進而窺探到網絡中的數據，并植入病毒、木馬程序等，從而威脅到計算機網絡的正常的使用。關于病毒的不同特征，可以簡單劃分為如表1所示的不同種類。

（2）計算機中的外力破壞問題也是能夠對數據運行產生不利影響。當前的外力數據破壞主要是指利用郵件病毒、網站病毒的方式對用戶的計算機進行攻擊。在許多情況下是由于用戶采取的不正當操作習慣，使得整個網絡系統出現問題。比如，用戶在長時間沒有對所瀏覽過的網站進行清除，沒能定期完成病毒查殺以及其他不良習慣，都會給攻擊者帶來可乘之機，使其從用戶的使用記錄中探尋出用戶的操作習慣，接著再以添加具有攻擊性鏈接的方式來完成病毒的立即啟動，繼而完成對計算機的攻擊動作。

表1 常見的病毒種類

（3）網絡環境中的威脅性問題。計算機網絡環境是一個共享的環境背景，這既是計算機得以運行與訪問的基礎，同時也是每位用戶實現各種上網操作的重要保障。通常來說，在網絡環境中共享情況越是緊密，所能遭受到的攻擊也就更為頻繁與激烈。計算機具體實踐使用的過程也是依靠網絡環境得以實現，而攻擊者則可以透過讓網絡環境內部互相交流的信息包，攜帶攻擊性的信息內容，接著再經過數據包的作用，將這些具有攻擊性的信息帶進內網，進而實現對內網結構的破壞[2]。

2.2 研究防火墻技術的優勢意義

關于防火墻技術的研究，具有多方面的優勢意義，簡單概括起來主要有以下方面的內容：

1）防火墻技術研究是當前計算機網絡發展現狀的必然要求。在信息化處于迅速發展狀態的今天，計算機安全問題是制約計算機科技發展的重要因素之一。當計算機網絡中的節點一旦遭受到攻擊，那么其數據則很容易會被惡意破壞或是竊取篡改。所以，發展相關的防火墻技術，則能夠在互聯網中建立起一道“屏障”，關于防火墻的使用示意圖如圖1所示，從中不難看出，通過建立防火墻也為人們更好地利用計算機互聯網完成各項事業提供條件。

2）防火墻技術本身在計算機互聯網中也具有著極高的使用價值。對其使用價值進行分析，概括來說主要有以下幾方面的內容：

（1）防火墻中關于代理技術的使用。代理技術指的是當計算機在運用過程中時，計算機網絡能夠對內部運行的各個模塊進行控制，并展現出一種強效的狀態，從而在內、外網之間將其自身的作用充分地發揮出來[3]。在內網中，這種分發的代理請求能夠被接收到，而在外網中的請求則可以直接被拒絕，從而保障網絡能夠對信息內容作出分割，進而為杜絕信息混淆以及減輕技術壓力創造條件。

圖1 防火墻使用示意圖

（2）關于防火墻中的過濾性技術，在計算機使用中同樣具有著不容忽視的作用。這種過濾技術主要是依據特定地點位置，從而為網絡提供優質的過濾服務。比如，在計算機網絡TCP位置，防火墻能夠對TCP位置上所接收的數據包內容展開預先檢查，在安全性合乎標準的情況下才能夠繼續順利進行下去，而當出現具有威脅性的因素或是有攻擊性的行為時，過濾技術便可以讓數據包的傳輸馬上隔斷開來，并且對于外網的環境進行過濾，將預防性、科學性的信息傳輸作為確保TCP區域能夠運行安全的重要原則[4]。

（3）計算機網絡使用中的檢測技術也是其中不可或缺的組成部分。這種檢測技術也成為在狀態機制上建成的新興技術。

3）防火墻在網絡安全方面的重要作用

（1）防火墻能夠對計算機網絡中出現的網絡攻擊進行精確的識別。一般情況下，互聯網中的攻擊都是采用不同層次的攻擊來實現的，因而攻擊的種類也較為多元化，而防火墻技術則可以根據不用的攻擊路徑與攻擊方法來對攻擊內容與行為的具體屬性展開判斷，以此確保網絡運行處于良好的環境之中。

（2）防火墻技術對于互聯網網絡系統還具有高效的保護作用。這種保護作用主要是當計算機面對危險時，防火墻能夠對計算機所面臨具有風險性的活動展開維護。既保證計算機網絡系統能夠得以繼續正常運行，同時也促進了整個網絡系統性能的提升，從而對網絡結構的強化以及網絡使用效率的提高也都起到了巨大的推動功能[5]。

3 關于防火墻技術的具體分析和應用

3.1 計算機防火墻技術的相關內容

1）防火墻技術在計算機網絡中應用的目的

要保障整個防護效果是積極的、高效的，則需要用戶對其需要保護的網絡安全內容進行了解。網絡安全通常指的是網絡傳輸與存儲中的信息安全，而在實踐中能夠對網絡信息安全起到不利影響主要可以分為信息泄密、傳輸非法信息流、信息數據被惡意篡改、非法使用網絡資源、軟件漏洞、環境影響、人為安全因素等。其中信息泄密、信息篡改、軟件安全漏洞是用戶在日常使用中時常會遭遇到的情況[6]。此外需要注意的還有非法信息流傳輸與網絡資源被錯誤地使用與利用等。通常情況下，不同的用戶其被允許進入的通信類型也是有所區分的，對于一些特殊信息是不被允許以電子郵件或其他軟件進行文件資源傳送的。當用戶對一些資源信息進行不合理的資源訪問時，這種資源也可能會被故意或是偶然地破壞。

2）防火墻完成網絡安全維護主要策略分析

（1）要提高整個網絡環境的安全性首先需要對數據內容進行加密。通過加密后的數據對于防止信息數據被泄露、篡改與破壞起到極為有效的作用。

（2）鏈路加密的方式也可以為網絡中兩個相鄰的節點數據做到保護加密，通過確保加密數據在鏈路傳輸中實現不同數據的獨立加密。

（3）節點加密指的是通過對源節點至目標節點過程的鏈路進行保護，這種節點加密方式同鏈路加密方式比較類似，二者的不同之處在于使用節點加密的方法中，網絡節點能夠將所接收到的數據內容完成解密。

（4）端端加密指的是通過源節點用戶在數據目標節點的加密，并允許源節點的目標節點始終將密文形式作為有效的形式，而這種加密方式往往也更加的安全、可靠，并且利于設計與完成[7]。

（5）混合加密方式是端端加密與鏈路加密相互組合而成的一種加密形式，這種混合型的方法不僅能夠對報頭中敏感的數據內容進行有效保護，同時也能最大限度地保障數據的安全性。

3.2 防火墻技術的具體應用

1）加密技術

計算機網絡安全中的防火墻技術，比較基礎的是加密技術，加密技術指的是在信息發送之前，先對信息進行加密操作，加密的密碼一般由發送方和接收方共同掌握。接收方在受到信息后利用密碼進行解密操作，從而完成信息的安全傳輸。

計算機網絡加密技術，提高了信息傳輸的安全性，不會暴露出信息的內容，起到安全保護的作用。加密技術在防火墻技術中最為常見，也是使用時間較長的一類技術，改善了網絡運行的狀態，更加重視計算機網絡的安全性。

2）配置訪問策略

防火墻技術是整個訪問策略的運用，該應用方式也在網絡安全中占據了主要地位。要實施網絡訪問的配置需要經過縝密的安排和計算，并且對計算機網絡中所運行的整個信息過程也都要進行深化，從而才能保障科學、可靠的防護系統的形成。要完成對整個訪問流程的保護，具體說來需要從以下方面入手：

（1）防火墻技術經過對不同的運行信息分成不同單位，再在不同單位的內外部分進行規劃，以此確定流通訪問的重大價值。

（2）防火墻技術也通過訪問策略對網絡運行中的地址進行訪問。比如，針對端口地址、目的地址也可以對計算機運行中的特點，從而規劃出最為安全的保護方式。

（3）在計算機網絡的安全保護中，訪問策略對應著不同的技術，以此生成策略表，進而對訪問策略中所有的活動予以訪問。值得注意的是，策略表信息通常也不能完全適應訪問策略調整的需要，要實現最佳的訪問結果則還需防火墻根據自身策略表中的順序進行嚴格地執行，從而通過眾多約束性的行為來實現對計算機網絡運行的保護。

（4）當所有的訪問策略已經被運行完畢之后，使用者還需要對網絡運行后的漏洞進行及時的排除，而這些具體操作也成為防火墻技術保護中不可缺少的配置性環節，經過這些步驟也才能真正對計算機網絡的安全起到相對全面的保護[8]。

（5）日志監控

一些計算機運用也能夠從對防火墻技術的保護日志中探尋到具有參考價值的信息。日志監控在計算機網絡的保護中也同樣應當占有極大的比重，并且成為防火墻技術所重點保護的對象。用戶在對防火墻的日志進行分析，這時并不需要全面執行操作內容，從而也避免了對關鍵信息的操作問題。譬如，當用戶在利用防火墻對網絡保護中生成的日志內容開展執行活動時，對某種類別的信息采集也會導致防火墻的工作量內容極為龐大。并且在其產生的龐雜信息中，又是通過類別劃分的方式來實現的。因此要完成監控的內容，則還需要用戶對日志采集所需難度標準予以降低，再防止它對其中的信息造成惡意的屏蔽，所以用戶在對同樣類別的信息中提取關鍵信息時，可以將這些日志監控內容作為依據，進而將監控的效益成果最大限度地激發出來。此外，當用戶在監控日志中查找到實時記錄下的防火墻報警信息后，這種具備優化價值的日志信息也能夠使選擇記錄問題的解決和監控日志在防火墻運用中的能力效果得到顯著增強。

（6）安全服務配置

安全服務配置通常將需要保護的計算機網絡劃分為多個模塊，并將需要進行重點安全防護的模塊作為隔離區。與其他的安全防護措施相比，防火墻技術通過安全配置得到的隔離區域的特征往往更為獨特。對在隔離區域內的數據，防火墻首先利用地址轉換技術，將需要發送到外網的數據包的IP地址有轉換為公共IP，此時，即使惡意攻擊者試圖從外網解析源IP時，僅能得到轉換后的公共IP，而無法得到真實的IP。因此，安全服務配置使得在內網和外網進行數據交換時，攻擊者無法獲得真實的IP，僅能獲得虛假的IP，難以利用內網信息對內網造成攻擊，從而保障內網的安全性，防止來自外網的惡意攻擊。

（7）防病毒技術

防病毒技術是防火墻最常使用的一種功能，體現在病毒預防、病毒檢測以及消除病毒3個方面。防火墻顧名思義就像是一道處于計算機內部網絡與外部網絡之間的保護墻，對信息和數據的傳送進行過濾和檢查，阻擋住第三方未經授權的主體進入，影響數據和信息的傳輸。在防病毒技術方面，防火墻可以自動修改路由器里面的存取控制表，過濾非法IP，對外來的非常訪問進行禁止和阻擋，以達到防御非法入侵的目的。

3.3 配置實例

1）需求

依托互聯網實現二級單位非密局域網與集團非密網連接，通過VPN建立虛擬通道，以防火墻限定訪問策略，保護二級單位非密網網絡安全。

2）配置說明

（1）路由器主要實現公網地址與私網地址轉換，保證私網與互聯網建立連接。

（2）VPN設立在互聯網內部接口與防火墻之間，建立虛擬通道，保證二級單位私網與集團非密網建立點對點連接。

（3）防火墻外部接口與內部接口設定相關訪問策略，因內部接口直連二級單位非密網，所以設定若干規則約束訪問規則。具體配置如下（如圖2所示）：

圖2 網絡拓撲圖

IP限定：由外向內訪問控制，設定any地址為源地址，設定二級單位所有IP地址為目的地址，禁止源地址訪問目的地址，全面封閉外部網絡訪問二級單位私有網絡。由內向外訪問集團非密網，可通過設定地址對象來限定私網中部分地址訪問集團非密網。

策略：只開放二級單位私網訪問集團非密網的相關業務端口，與業務無關的端口全部封閉。

服務：根據相關業務需求，設定相關服務，服務可集合若干端口，設定一個服務，由內向外可設定一個相關服務來實現對集團相關業務訪問。

4 結束語

關于防火墻技術的研究，不僅能夠促進網絡環境更加安全化與穩定化，同時防火墻技術的探索也能為網絡健康發展以及互聯網市場的繁榮奠定更為堅實的基礎。因此，做好防火墻技術的研究，并將其廣泛地運用到實踐中，才能促進互聯網更好的發展，進而為每位用戶提供更為優質的服務。

[1] 張瑞.計算機網絡安全及防火墻技術分析[J].電腦知識與技術，2012（24）:5787-5788.Zhang Rui.Analysis of computer network security and firewall technology [J].computer knowledge and technology，2012（24）:5787-5788.

[2] 馬利，梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術，2014（16）:3743-3745.Marley，Liang Hongjie.Research on the application of firewall technology in computer network security [J].computer knowledge and technology，2014（16）：3743-3745.

[3] 張鳴，高楊.計算機網絡安全與防火墻技術研究[J].黃河水利職業技術學院學報，2011（2）：48-50.Zhang Ming，Gao Yang.Journal of computer network security and firewall technology research [J].of Yellow River Conservancy Technical Institute，2011（2）：48-50.

[4] 薛毅飛.探討計算機網絡安全與防火墻技術[J].信息系統工程，2011（4）：63-64.

[5] 陳柏巖.計算機網絡安全及防火墻技術分析[J].網絡安全技術與應用，2015（11）：67-68.Chen Po yen.Analysis and application of[J].network security network security and firewall technology of computer，2015（11）：67-68.

[6] 陳蘭蘭.論計算機網絡安全及防火墻技術[J].現代商貿工業，2016（9）：183-184.Chen Lanlan.On computer network security and firewall technology[J].modern commerce and trade industry，2016（9）：183-184.

[7] 孟慶威.淺析計算機網絡安全技術——防火墻[J].計算機光盤軟件與應用，2013（12）：170-171.Meng Meng.Analysis of computer network security technology-firewall[J].computer CD-ROM software and applications，2013（12）：170-171.

[8] 施然.計算機網絡安全及防火墻技術分析[J].通訊世界，2016（18）：101-102.Shi ran.Computer network security and firewall technology analysis[J].communications world，2016（18）：101-102.

Analysis of Computer Network Security and Firewall Technology

Jin Yuanshi，Zhang Xiaoyu
（The 47th Research Institute of China Eletronics Technology Group Corporation,Shenyang 110032,China）

With the development of economy and science,computer is used universally in our daily life and work.However,computer network is still not perfect as emerging technology,which may cause information security threats.Therefore,people pay more attention to network security problems of using computer.The firewall technology is used as an effective way to counter against this kind of security threat,which has an important significance on Internet maintenance.

Computer；Network；Security；Firewall；Technology；Analyze

10.3969/j.issn.1002-2279.2017.03.007

TN492

A

1002-2279-（2017）03-0030-04

金元石（1982-），男（回族），遼寧省遼陽市人，助理工程師，主研方向：計算機網絡安全。

2016-11-07