關(guān)于計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)的探討

摘 要：計算機(jī)安全在信息時代網(wǎng)絡(luò)大范圍普及的背景下，是一個十分重要的課題，特別是在大數(shù)據(jù)云技術(shù)逐步發(fā)展的前提下，許多涉及財產(chǎn)安全、部隊利益發(fā)展，甚至安全重要信息，都儲存在網(wǎng)絡(luò)平臺上。所以網(wǎng)絡(luò)環(huán)境安全性的維護(hù)非常重要。而防火墻技術(shù)則是維護(hù)安全的第一道防線，所以應(yīng)當(dāng)針對計算機(jī)網(wǎng)絡(luò)安全的維護(hù)措施，防火墻技術(shù)的改革優(yōu)化進(jìn)行討論，進(jìn)而給出防范網(wǎng)絡(luò)風(fēng)險的有效建議。

關(guān)鍵詞：計算機(jī)技術(shù)；網(wǎng)絡(luò)安全；防火墻技術(shù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：2096-4706（2018）01-0148-02

Discussion on Computer Network Security and Firewall Technology

LIU Xiangru1，ZHANG Lu2

（1. China People's Liberation Army 78156，Chengdu 610000，China；2.The Original Chengdu Military Command Communication Station，Chengdu 610015，China）

Abstract：The popularization of computer security in the information age network wide under the background，is a very important issue，especially in the premise of the gradual development of big data cloud technology，many involving property safety，military benefits development，even the security of important information，are stored in the network platform. So to maintain the security of the network environment is the first priority，and the firewall technology is the first line of defense to maintain security，so it should be for the computer network security maintenance measures，firewall technology reform and optimization are discussed，and give effective suggestions to prevent network risk.

Keywords：computer technology；network security；firewall technology

0 引 言

在網(wǎng)絡(luò)化的環(huán)境下，網(wǎng)絡(luò)環(huán)境的安全是確保各個領(lǐng)域，能夠安全用網(wǎng)的基礎(chǔ)。特別是在大數(shù)據(jù)趨勢下，許多重要信息都儲存在虛擬的云空間當(dāng)中，為了確保部隊網(wǎng)絡(luò)上數(shù)據(jù)的安全，就必須要進(jìn)一步革新相關(guān)安全技術(shù)，最大程度避免風(fēng)險產(chǎn)生，而防火墻是維護(hù)網(wǎng)絡(luò)安全的第一道平屏障，因此必須要充分重視，才能讓安全用網(wǎng)的目標(biāo)真正達(dá)成。

1 部隊計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)的重要內(nèi)涵

計算機(jī)網(wǎng)絡(luò)技術(shù)的普及，使得社會整體的發(fā)展步調(diào)及大環(huán)境產(chǎn)生了變化，給各個領(lǐng)域的發(fā)展以及生產(chǎn)帶來了很大便利，特別是在大數(shù)據(jù)云技術(shù)產(chǎn)生并迅速普及后，部隊信息的傳輸、存儲及取用都更有效率。但是與此同時，也給部隊網(wǎng)絡(luò)環(huán)境的安全帶來了挑戰(zhàn)，網(wǎng)絡(luò)是一個不存在明確界限的空間，而且云平臺普遍需要借助賬號、密碼等信息去登錄，才能有進(jìn)一步操作，所以一旦他人借助病毒或是其他技術(shù)竊取了賬號密碼，便很可能引發(fā)重大損失，甚至關(guān)乎國家安全。所以只有深入思考如何改革安全防火墻技術(shù)，提升網(wǎng)絡(luò)安全系數(shù)，才能真正避免網(wǎng)絡(luò)環(huán)境風(fēng)險。首先我們必須要了解防火墻的類型。

其一是包過濾型。這類防火墻的運(yùn)作主要是在OSI模型中的傳輸層和網(wǎng)絡(luò)層中進(jìn)行，在判定信息能否通過時，主要是根據(jù)數(shù)據(jù)目的地址以及包頭源地址等標(biāo)志進(jìn)行審核的，滿足過濾條件的數(shù)據(jù)包，才能被傳輸?shù)较鄳?yīng)的地址。其二是應(yīng)用代理型防火墻，其運(yùn)作主要是在OSI模型中的最高層，即是在應(yīng)用層中進(jìn)行，這樣的防火墻能夠徹底阻斷網(wǎng)絡(luò)通信流，并且通過編制有針對性的代理程序，實(shí)現(xiàn)在應(yīng)用層對通信流進(jìn)行管控的作用。最大的優(yōu)勢是安全系數(shù)較高，能夠?qū)?yīng)用層進(jìn)行偵測及掃描進(jìn)而避免基于應(yīng)用層的入侵及病毒。缺陷是過于嚴(yán)格的審核環(huán)境，影響了系統(tǒng)的正常使用，大幅提升了系統(tǒng)管理的難度。其三是狀態(tài)檢測型防火墻，其運(yùn)作基于連接狀態(tài)檢測的機(jī)制，需要將處于同一連接的所有的數(shù)據(jù)包，當(dāng)成一個整體數(shù)據(jù)流，并構(gòu)成連接狀態(tài)表，借助規(guī)則表和狀態(tài)表的匹配，來判別表中各種連接狀態(tài)相關(guān)的信息。動態(tài)連接表中所記錄的內(nèi)容，不僅可以是以往的通信信息，也可以是其他的應(yīng)用程序信息，這類防火墻，相對于傳統(tǒng)包過濾防火墻及靜態(tài)過濾規(guī)則表來說靈活性更大也更可靠。不同的防火墻，有不同的防護(hù)方式，不同的用途，也有不同的優(yōu)化措施，需要針對性思考安全策略。

2 部隊計算機(jī)網(wǎng)絡(luò)的安全策略

2.1 物理安全策略

所謂的物理安全策略，其最主要的目標(biāo)，是要維護(hù)計算機(jī)系統(tǒng)、打印機(jī)、網(wǎng)絡(luò)服務(wù)器等硬件部分以及通信的鏈路，以防受到人為破壞、外部環(huán)境破壞以及搭線攻擊的影響，而且要對計算機(jī)用戶的身份以及使用權(quán)限進(jìn)行審核，避免用戶越權(quán)操作。這樣的防護(hù)措施能保證計算機(jī)系統(tǒng)在更好的電磁兼容工作環(huán)境下運(yùn)作，并且要不斷完善安全管理制度，避免非法進(jìn)入計算機(jī)控制室以及各類偷竊、破壞行為的產(chǎn)生。此外還要積極研究抑制與防范電磁泄漏的技術(shù)，即TEMPEST技術(shù)，這是物理安全防護(hù)策略的最重要課題。目前主要的防護(hù)措施有兩種。其一是對傳導(dǎo)發(fā)射的防范，需要針對電源線及信號線加裝性能優(yōu)異的濾波器，進(jìn)而削減傳輸?shù)淖杩挂约皩?dǎo)線之間的交叉耦合。其二是對輻射的防范，具體措施包含兩種，第一是要使用各類電磁屏蔽的方法，例如設(shè)備的金屬屏蔽，以及不同接插件的屏蔽，而且還要針對機(jī)房任何含有金屬成分的門窗、管道等進(jìn)行屏蔽與隔離，避免信號傳輸受阻。第二是對各類干擾的防護(hù)措施，即是在保證系統(tǒng)正常運(yùn)作的同時合理運(yùn)用干擾裝置，制造一種與計算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射，進(jìn)而掩蓋計算機(jī)系統(tǒng)的工作頻率以及信息的特點(diǎn)。

2.2 訪問控制策略

借助合理的訪問控制措施，能夠有效維護(hù)網(wǎng)絡(luò)資源，避免受到非法竊取。這樣的防范措施，能夠?qū)W(wǎng)絡(luò)環(huán)境的整體安全以及全網(wǎng)資源的保護(hù)起到很大的作用，也是確保網(wǎng)絡(luò)安全的主要手段。在實(shí)際的部隊網(wǎng)絡(luò)安全防護(hù)工作中，安全策略的配合使用，能夠讓任何防護(hù)措施都有更好的效果，這樣能夠真正確保網(wǎng)絡(luò)安全，可見網(wǎng)絡(luò)訪問的控制有著很大的重要性。針對入網(wǎng)訪問控制進(jìn)行深入分析，是網(wǎng)絡(luò)訪問的第一道防衛(wèi)關(guān)口，借助對外來數(shù)據(jù)訪問的控制，能夠篩選出哪些用戶能夠登錄到哪些服務(wù)器上，對其權(quán)限進(jìn)行控制，才能避免非法的入侵。外部用戶的入網(wǎng)訪問控制途徑主要有三種。一是對用戶名的認(rèn)證，二是對用戶登錄口令的審核，三是對用戶帳號的缺省限制排查。外部用戶登錄時，要確保這三個審核過程均已通過，才能最終獲取訪問網(wǎng)絡(luò)的權(quán)限，否則是不能夠登入的。用戶名及密碼口令更是最主要的防護(hù)機(jī)制，任何用戶在進(jìn)行注冊的時候，都要通過用戶名及密碼口令的錄入獲取用戶的身份，如果服務(wù)器在驗(yàn)證后，認(rèn)定用戶的申請不合法，那么這次申請便會認(rèn)定為失敗，在認(rèn)證成功后用戶再次進(jìn)行網(wǎng)關(guān)訪問時，系統(tǒng)會要求用戶輸入相應(yīng)的用戶名及密碼，如同出示自身的身份證明，只有通過了這一層驗(yàn)證才能夠獲得訪問的權(quán)利。

但是當(dāng)前網(wǎng)絡(luò)環(huán)境下，用戶名及口令泄露的問題十分常見，所以考慮到口令的安全性提升，目前已經(jīng)開發(fā)出了輸入口令不顯示在屏幕上的隱蔽化驗(yàn)證，以及二維碼驗(yàn)證、手機(jī)驗(yàn)證碼輔助驗(yàn)證等驗(yàn)證方式，隨著加密的層數(shù)越來越多，驗(yàn)證越來越傾向僅用戶自身可操作的獨(dú)有化，安全性也會越來越高。

2.3 部隊防火墻控制策略

網(wǎng)絡(luò)防火墻，是計算機(jī)上用于強(qiáng)化網(wǎng)絡(luò)訪問控制的最主要關(guān)卡，如同守衛(wèi)安全的堡壘，為了維護(hù)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)防火墻主要借助對用戶的合理限制，防治非法用戶的入侵，避免內(nèi)部網(wǎng)絡(luò)資源被竊取、毀壞或篡改。其運(yùn)作的機(jī)制，主要是對網(wǎng)絡(luò)之間相互傳遞的數(shù)據(jù)包進(jìn)行審查，檢驗(yàn)其是否是在不會損壞系統(tǒng)安全的范圍內(nèi)，如果是非法入侵的數(shù)據(jù)包，則不能夠任其通過，防火墻能夠?qū)W(wǎng)絡(luò)的運(yùn)行狀態(tài)起到監(jiān)管控制的作用。目前網(wǎng)絡(luò)防火墻的主要構(gòu)成包括包過濾路由、堡壘主機(jī)、電路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)及屏蔽主機(jī)防火墻等。包過濾的防火墻設(shè)置在網(wǎng)絡(luò)層，可以借助路由器達(dá)成包過濾目標(biāo)，但首先必須建立一定數(shù)量的信息過濾表，而信息過濾表的建設(shè)，主要以其接收的數(shù)據(jù)包頭信息作為基礎(chǔ)。一個數(shù)據(jù)包能夠充分滿足過濾表中的要求則能夠允許數(shù)據(jù)包通行，反之則會禁止。這樣的機(jī)制在防范外部不合法用戶對內(nèi)訪問時十分有效，還能夠禁止系統(tǒng)訪問部分服務(wù)類型。代理防火墻主要是代理服務(wù)器及過濾路由器所構(gòu)成的，是當(dāng)前使用比較多的防火墻類型。過濾路由器對從系統(tǒng)中通過的數(shù)據(jù)進(jìn)行嚴(yán)格的篩選，并且與網(wǎng)絡(luò)相連接，會將通過審核的數(shù)據(jù)傳送給代理服務(wù)器，是結(jié)合性的防范機(jī)制，多層過濾的效果更為可靠。

3 結(jié) 論

計算機(jī)網(wǎng)絡(luò)環(huán)境的安全，是讓使用者能夠安全用網(wǎng)的基礎(chǔ)。隨著云技術(shù)的產(chǎn)生，越來越多的信息集合在網(wǎng)絡(luò)上，特別是許多重要的機(jī)密信息，所以部隊網(wǎng)絡(luò)安全性的提升與防火墻技術(shù)的應(yīng)用更是不可忽視的課題，因此以上進(jìn)行了深入討論，望成為技術(shù)優(yōu)化的有利意見。

參考文獻(xiàn)：

[1] 王崇剛.我國目前計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)探討 [J].電子技術(shù)與軟件工程，2015（24）：208.

[2] 張艷斌.計算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用研究 [J].計算機(jī)光盤軟件與應(yīng)用，2014，17（9）：148-149.

[3] 戴銳.探析防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用 [J].信息與電腦（理論版），2011（11）：45-46.

作者簡介：劉相如（1985.03-），女，漢族，山西芮城人，本科，技術(shù)10級。研究方向：計算機(jī)。