防火墻技術在網絡安全防御體系中有效性分析

◆張 雪

防火墻技術在網絡安全防御體系中有效性分析

◆張 雪

（哈爾濱鐵道職業技術學院 黑龍江 150000）

隨著網絡技術與社會的不斷深入融合，網絡安全問題已成為制約社會經濟發展的核心問題之一。近年來，一些不法分子利用網絡安全漏洞從事非法活動，以牟取不法利益，在這種情況下，應用防火墻技術的網絡安全防御體系由此而生。本文從網絡安全問題的現狀、防火墻技術的現狀和運用等三個方面出發，著重研究防火墻技術，防止來自外部的攻擊行為，確保系統的數據和通訊安全。

網絡安全；防火墻技術；防御體系

1 網絡中存在的安全問題

與歐美國家相比，我國的網絡技術發展時間較短，但發展速度很快，便捷的網絡購物，移動支付給人民帶來諸多的科技紅利。但隨之而來的與網絡安全事件也屢見不鮮，我國的網絡安全防御系統也應與時俱進，不斷提高和完善自我。目前，有兩個因素制約了我國網絡安全防御體系的發展。第一，人的因素是在網絡安全領域中最薄弱的環節，也就是說在防御體系建設中要重點關注對用戶的管理，提高其安全意識。第二，從技術手段出發，不僅要引進歐美國家先進的軟硬件產品，還要開發自主知識產權的軟硬件設備。因為，過度依賴歐美國家信息安全產品不僅不安全，反而更加危險。

1.1 對于網絡安全系統防御力不高

目前，受眾面最廣的網絡操作系統就是微軟的視窗操作系統，但該系統源碼封閉，不適用于國家機關、行政、金融、國防、軍事等具有戰略角色的服務器和主機。因此，這些部門的計算機往往會選擇源碼開放的Linux操作系統，但無論哪種操作系統，在進行網絡防護時技術相對而言還不成熟，這就有待于信息產業科研所、高校實驗室以及國內網絡安全專家和愛好者共同努力來進行完善。

1.2 對安全監測數據信息上存在的問題

網絡用戶所使用的安全防御體系一般來說都是來自于安全廠商開發的一系列軟硬件產品，但這些產品從早期的瑞星、諾頓、卡巴斯基等防火墻軟件到現在市場份額較大的360安全衛士都無法做到前瞻性，也就是說這些產品都是基于病毒庫來對數據進行比較、過濾和查殺的，對于變種的木馬和病毒沒有防御能力，這也就造成了諸如2017年出現的“敲詐者病毒”、“勒索病毒”頻發的現象。究其原因是網絡安全防御系統對具有入侵破壞行為特征的程序和數據監測能力不足。

2 針對網絡安全對防火墻技術的應用分析

網絡防火墻是保障網絡安全的第一道屏障。針對網絡應用來說，網絡防火墻可分為軟件防火墻和硬件防火墻。PC（Personal Compute）作為網絡節點入網時可選擇軟件防火墻，因為軟件防火墻功能強大、配置靈活，同時其價格低廉，但其缺點也顯而易見，即穩定性和可靠性較低，這一特性正好適用于對安全性要求高的個人PC機和工作站。網絡服務器作為提供網絡服務的節點在入網時可以選擇硬件防火墻，因為硬件防火墻具有針對性功能，模塊擴展也較容易，但其缺點也很明顯，即防火墻功能單一，配置不靈活，最重要的就是硬件防火墻的價格昂貴，中小型企業難以承擔。

3 防火墻技術的特點分析與運用

3.1 防火墻技術的特點分析

（1）包過濾防火墻技術：包過濾防火墻技術的工作原理就是在防火墻上配置由外網進入到內網的數據過濾規則，這些規則主要是基于IP（Internet Protocol）數據報報頭部分檢測的，其中包括源端和目的端的端口號規則、協議類型過濾規則、來源端和目的端的IP地址過濾規則和數據報的出入接口過濾規則。該類型的防火墻基本工作流程為首先當某一數據報與過濾規則不匹配時，且允許通過，則防火墻轉發該數據報；當數據報與過濾規則匹配，且禁止通過，則防火墻丟棄該數據報，不允許其通過防火墻進入內網。然而，包過濾防火墻技術又存在一定的局限性。因為該技術的基本工作原理是基于檢測IP數據報報頭的，所以包過濾防火墻無法對諸如FTP、RPC、X-Windows這些基于服務的協議進行有效的過濾，從宏觀上防御體系不能完全依賴包過濾防火墻技術保證網絡系統的安全性。

（2）應用級防火墻技術：應用級防火墻技術的防御對象為OSI七層結構中的應用層，它可以對基于HTTP、HTTPS以及FTP等服務進行數據的校驗與保護。同時應用級防火墻又成為代理服務器防火墻，它位于客戶端和服務器之間，對于客戶端來說它就是一臺真正的服務器；對于服務器來說他就是一臺真正的客戶端。它在客戶端和服務器之間充當轉接的作用，屏蔽了客戶端和服務器的直接連接，外網的非法數據和程序也就很難直接越過防火墻進入到內網之中，有效的保護了內網的安全。

（3）狀態檢測型防火墻技術：狀態檢測防火墻技術較上述兩種類型的防火墻效率更高、安全性更好。它的工作原理為在OSI的網絡層上利用某種脫離分析算法，將網絡層中與應用層有關的數據分離出來進行分析，然后按照規則對數據包進行丟棄或者轉發。這種類型的防火墻不僅僅關系數據包的信源和信宿，而且還關心數據包的狀態，尤其是對于UDP協議數據包的校驗最為適合。但狀態監測防火墻也有其固有的缺點，例如校驗過程以算法為核心，勢必會影響效率，增大數據包延遲時間；對垃圾郵件、廣告、木馬的校驗率不高。

3.2 防火墻技術的有效運用

防火墻技術是網絡安全防御體系中的第一道屏障，其有效運用直接決定著網絡系統的安全級別。不同的網絡其功能和需求也不相同，對網內數據信息的安全級別要求也不一樣，在對網絡進行防御體系構建時就需要管理人員和技術人員首先對自己的網絡有一個清晰的認識，然后依據本網絡的安全級別選擇相應的軟硬件防護產品。然后無論何種安全級別的網絡，防火墻的運用都是必不可少的。

防火墻技術在網絡安全防御體系中的重要作用，主要體現在以下五個方面：（1）防火墻能夠對來自外網的信息進行非法數據的提取、分析、校驗和過濾，然后通過相應的規則和算法允許其通過防火墻進入內網或直接丟棄；（2）防火墻對外網的登錄信息極其敏感，可以有效的截獲login信息，阻止非授權的賬戶遠程登錄內網，對內網的賬戶安全起著保護的作用；（3）防火墻能夠關閉主機終端不經常使用的端口，對程序特定的端口進行封閉后可以有效的防止特定程序對網絡系統的破壞，例如禁用木馬的默認端口等等；（4）防火墻還能對網絡攻擊發起警告，一旦網絡遭受到來自外部的攻擊，防火墻首先能夠屏蔽這種攻擊行為，其次對攻擊源進行反跟蹤，分析、記錄，形成數學模型，提高防御能力；（5）從邏輯上講，防火墻實際上是網絡的一個分離器、分析器和限制器，它能夠有效的控制內網和外網的所有信息傳輸過程，有效保證內網數據的安全性。當然，防火墻技術也有其一定的弊端，例如防火墻防外不防內，它只能防護來自外部的攻擊，如果攻擊來自內部，則防火墻就失去了其存在的意義。另外，防火墻根據其工作原理的不同分為了很多類型，每種類型都有其優缺點，隨著時代的不斷進步，技術人員還要不斷完善防火墻技術，防御體系要向著綜合性的方向發展。

防火墻技術是保障計算機網絡安全的一項基本措施，因此，要不斷的將先進的技術融入到防火墻防御體系的建設當中，以對其不斷的進行優化管理，充分發揮防火墻的真正作用。

4 結束語

網絡安全中防火墻技術的有效運用與分析要從實際的科學技術出發，將先進的科學技術與實際的計算機網絡防火墻相結合，建立網絡信息安全管理系統，使計算機用戶的實際信息得到可靠的保護；將網絡安全管理與防火墻技術相結合，對網絡數據進行必要的檢查的同時，注重對系統本身的監控管理，從而不斷的提高計算機網絡信息的安全性。

[1]駱兵. 計算機網絡信息安全中防火墻技術的有效運用分析[J].信息與電腦（理論版），2016.

[2]謝平.計算機網絡信息安全中防火墻技術的有效運用研究[J].通訊世界，2016.

[3]何承.計算機網絡安全中防火墻技術的有效運用分析[J].福建質量管理，2016.