計算機網絡信息安全及其防火墻技術分析

王志強

（濟源職業技術學院，河南 濟源 459000）

網絡安全威脅著人們的財產安全，與人們的工作學習生活有著密切關系，人們一定要學會運用網絡安全技術，以保障隱私安全、財產安全，確保人們的生活和工作不被干擾，能夠正常有序地進行。

1 網絡信息安全現狀

雖然隨著人們生活水平和對高科技接受程度的不斷提高，人們在對現代網絡技術的理解程度和認知能力還是不夠成熟，很多計算機用戶PC端還是以Windows 98，Windows 2000，Windows XP 操作系統為主。這些操作系統已經不能滿足現在用戶的需求，而相應的系統更新和補丁升級也沒有及時跟上網絡發展的步伐，出現了很多安全漏洞，“家庭攝像頭遭入侵”WiFi設備WAP2安全協議遭破解等各種安全事件的發生就是很好證明。

另一方面，現代人們的生活每天都離不開網絡，公共WiFi遍布每個角落，幾乎每家一臺電腦每人一部手機，而且每個PC端都下載著各種APP，這些APP來自世界各個網站，同時也攜帶者各種各樣都是病毒，再加上很多黑客惡性攻擊損害網絡，使得服務器缺乏安全保障，完全暴露在外部攻擊范圍之內，給人們的生活帶來很大的威脅。例如，2017年，由于數字加密貨幣掀起了“炒幣”熱潮，吸引了像勒索病毒、挖礦木馬的大肆盛行，據騰訊電腦管家統計，僅2017年PC端總計攔截病毒近30億次，新發現的病毒數量為1.36億，這是多么龐大的一組數據。

2 網絡安全技術分析

2.1 信息加密技術

人們運用網絡更多的時候是為了了解外部信息，接受外部信息，同時與他人交流。現在普遍使用的信息保密方式就是信息加密技術。這種技術將人們交流的信息進行變換或者編碼，把人們都能接受明白的信息變成了秘密信息，這樣就只有特定的知道解密方式的人能接收到這些信息，從而達到了信息傳遞的有目標性單一性，確保了信息傳遞的安全，這種加密技術也是目前人們保護網絡信息安全的核心和關鍵。

計算機密鑰、防復制軟盤等都是現網絡安全中最常用的信息加密技術，目前世界上最流行的幾種加密體制和加密算法有RSA算法和商業通信保密聯保計劃（Commercial Communications Enhancement Plan，CCEP）算法等。為防止破密，加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡，這就是硬件加密措施。在軟盤上用激光穿孔，使軟件的存儲區有不為人所知的局部損壞，就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用，以保護軟件。由于計算機軟件的非法復制，解密及盜版問題日益嚴重，甚至引發國際爭端，因此對信息加密技術和加密手段的研究與開發，受到各國計算機界的重視，發展日新月異。在實際應用中，網絡中的加密普遍采用了單鑰密碼和公鑰密碼相結合的混合加密體制，即加解密采用臨時生成的單鑰密碼，密碼傳送則采用公鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。

2.2 數字簽名加密技術

數字簽名就如同人們平時所用到的手寫簽名，能夠使用戶能在海量的網絡信息中認知屬于自己的電子信息。這種通過加密算法制作的數字標簽具備以下3個主要功能：（1）到信息的一方能夠準確認證發送該信息的身份。（2）發送信息的一方事后也能夠準確辨認信息的出處。（3）信息接收方或是第三人在未經發送者應許的情況下不能隨意篡改信息內容。

2.3 生物識別技術

以上兩種網絡安全技術基本可以代表兩個不同時期的網絡安全發展階段，即：第一階段就是早期網絡技術人員所熟知的各種機械密匙;第二階段就是現在數字化生活中民眾普遍使用的數字密鑰，它是現階段使用最廣泛發展成本最低的一種密保方式。但是，隨著人們生活越來越依靠網絡，更加先進高級方便快捷的網絡技術被研發出來并開始使用了，就是生物識別技術。

生物識別技術是一種應用光學、傳感技術、超聲波掃描和計算機技術的身份驗證技術。它的原理是利用了人體生理特征的唯一性穩定性和不可復制性。如人的指紋、聲音、視網膜、掌紋、骨骼形狀都是唯一而不可復制的，在計算機網絡PC端安裝相應的生理特征識別系統，通過初始使用者用代表自己唯一身份的身體部位進行匹配記錄，這種用使用者本人身體部位作為解鎖密碼的安全系統，相比于其他安全技術的安全系數有了很大的提高，也是目前計算機技術領域高端設備和重要部件所大力推廣運用的一種技術。

3 防火墻技術分析

網絡安全技術最常見的一種是防火墻，通過防火墻人們可以控制網絡與網絡間的相互訪問，減少了非法的隱形的不安全的外部網絡訪問內部網的次數，保護了內部網絡的工作環境和網絡資源，降低了安全風險。同時防火墻還可以對兩個網絡間相互傳換的鏈接按一定的安全策略進行檢查，從而來決定所進行的網絡通信是否被允許，保障網絡運行在安全范圍內，凈化了網絡環境。可以看出，防火墻決定了那些內部服務可以被外界網絡訪問交流，同時也對外部進入的網絡進行甄別，決定了哪些外部網絡可以訪問內部信息，它只允許被授權同意的網絡數據進行交流，如同PC端的一扇大門，只為合法身份者打開。

防火墻的工作原則是沒有被明確允許的就是禁止的；目前沒有被禁止的就是允許的。通過這兩條原則，可以發現防火墻的功能：（1）可以防止不被允許的用戶進入被保護的網絡。（2）監視網絡運行安全，遇到不安全威脅可以報警通知用戶。（3）部署網絡地址轉換器（Network Address Translation，NAT）可以把防火墻作為另一個IP地址，彌補PC端地址不足的問題。（4）可以把防火墻設置為新的IP地址，運用此地址與外部進行網絡交流，用物理方法與內部主網絡隔開運行，有效保護主網絡的安全。

4 防火墻的分類

4.1 包過濾防火墻

包過濾防火墻是一種簡單實用而且運用成本低的一種防火墻類型，是一種完全以外層網絡為保護對象的技術。包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。根據傳送數據包的起始地和端口信息來判斷網絡的運行安全程度，由于工作信息不完全，不能精確分析網絡運行情況，對于同一IP地址下的不同用戶無法準確分析，保護程度較弱。例如，有經驗的黑客會在Java小程序或是電子郵件中偽造一個IP地址，很容易就能騙過包過濾型防火墻。

4.2 代理服務器

代理服務器的作用就是作為一個空間站設立在原本要運行的兩個網絡之間，通過Proxy應用程序對相互訪問的網絡自動接管連接，并對傳送的數據文件進行安全化處理，確保安全再以本服務器的名義繼續原來的網絡訪問和數據傳輸，使得內外部網絡不存在直接連接，隔離了內外通信，所有數據都是通過代理服務器傳送，既是client，也是server，從而保護網絡安全。

5 結語

實施網絡領域的安全是一個既重要又復雜的問題，有技術難度、也有成本控制，人們應該在確保可行性的情況下盡可能地提高網絡系統的安全性，開發出性價比更高、操作更簡潔功能更全面的計算機網絡安全系統。

[參考文獻]

[1]蔣敏.探析防火墻技術在醫院信息化管理中的作用[J].網絡安全技術與應用，2016（11）：147，150.

[2]李國臻.防火墻和IDS聯動在網絡安全技術中的應用[J].信息通信，2016（5）：148-149.

[3]李貞.探究基于Web防火墻的校園網絡安全解決策略[J].網絡安全技術與應用，2016（7）：96-97.

[4]ACHIM D B，LUKAS B，BURKHART W.Formal firewall conformance testing：an application of test and proof techniques[J].Software Testing，Verification and Reliability，2015（1）：34-71.

[5]CISCO TECHNOLOGY，INC.Patent issued for method for providing authoritative application-based routing and an improved application firewall（USPTO 9369435）[P].Computers，Networks & Communications，2016.