基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護(hù)

王妍

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，使得人們的信息接收以及交流方式發(fā)生了巨大的變化。但是，近年來在社會(huì)各領(lǐng)域中，涌現(xiàn)了各種各樣的網(wǎng)絡(luò)安全問題，得到了社會(huì)各界人士的關(guān)注，為了保證網(wǎng)絡(luò)的安全，相關(guān)技術(shù)人員對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了深入研究。其中，防火墻技術(shù)是一種較為有效的防護(hù)手段，受到了人們的推崇。本文探討了基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護(hù)策略。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò);防火墻技術(shù);網(wǎng)絡(luò)安全

1 防火墻技術(shù)的作用及價(jià)值

現(xiàn)如今快速發(fā)展的互聯(lián)網(wǎng)時(shí)代要求網(wǎng)絡(luò)技術(shù)具備良好的安全性，打造安全性網(wǎng)絡(luò)體系的水平已然成為衡量該國(guó)家互聯(lián)網(wǎng)技術(shù)發(fā)展的重要標(biāo)準(zhǔn)。對(duì)于互聯(lián)網(wǎng)而言，其作為公共開放的平臺(tái)，任何人都可以利用互聯(lián)網(wǎng)進(jìn)行信息的獲取和傳輸，而一些不法分子會(huì)借助互聯(lián)網(wǎng)中存在的一些漏洞來進(jìn)行他人信息的竊取，威脅他人的財(cái)產(chǎn)和人身信息安全。在快速發(fā)展的網(wǎng)絡(luò)技術(shù)下，信息安全所面臨的挑戰(zhàn)越發(fā)嚴(yán)峻，如何在互聯(lián)網(wǎng)媒體下形成良好的安全管理體系，如何在保障互聯(lián)網(wǎng)高度自由化、開放化的空間建設(shè)下實(shí)現(xiàn)安全有效防護(hù)是網(wǎng)絡(luò)安全技術(shù)的重點(diǎn)任務(wù)。防火墻技術(shù)，正是基于目前的安全防護(hù)需求所構(gòu)建出來的，通過防火墻技術(shù)的運(yùn)用能夠?qū)σ恍┲匾獢?shù)據(jù)和私人信息進(jìn)行保護(hù)，降低和減少不法分子竊取信息的成功率，同時(shí)還能夠保障網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，具象化來說，防火墻就如同在網(wǎng)絡(luò)端構(gòu)建了一堵高墻，來屏蔽和隔絕一些病毒等危險(xiǎn)程序。

2 網(wǎng)絡(luò)信息安全中常見的黑客手段

2.1網(wǎng)絡(luò)通信攻擊手段

計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)為不同地區(qū)和空間的人們創(chuàng)建工具以共享通信。當(dāng)用戶通過網(wǎng)絡(luò)進(jìn)行通信和通信時(shí)，如果沒有有效的安全保護(hù)措施，則也位于網(wǎng)絡(luò)中的其他人可能竊聽或獲取通信內(nèi)容。這種竊取信息內(nèi)容的攻擊方式主要是通過監(jiān)控計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)信息獲取相關(guān)的通信內(nèi)容。網(wǎng)絡(luò)黑客經(jīng)常使用這種監(jiān)控手段來攻擊他們想要獲取信息的對(duì)象，竊取用戶帳戶、URL或密碼，這可能會(huì)導(dǎo)致重要機(jī)密信息的泄露。例如，操作Principal類型、IP地址、特定開放TCP端口、密碼信息、系統(tǒng)用戶名等。黑客還將使用虛假身份手段偽造各類商業(yè)應(yīng)用，通過偽造各種金融業(yè)務(wù)信息，數(shù)據(jù)篡改，改變金融業(yè)務(wù)信息流的時(shí)間、順序和流向，破壞財(cái)務(wù)信息的全面完整性，偽造合法用戶身份以篡改信息并進(jìn)行財(cái)務(wù)欺詐等。

2.2網(wǎng)絡(luò)系統(tǒng)攻擊手段

除了通信的攻擊手段外，很多黑客會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)本身進(jìn)行攻擊，例如病毒、木馬、蠕蟲等，都是常見的網(wǎng)絡(luò)系統(tǒng)本身攻擊，比較著名的就是曾經(jīng)暴行一時(shí)的“熊貓燒香”病毒。這些病毒能夠?qū)W(wǎng)絡(luò)系統(tǒng)服務(wù)器進(jìn)行干擾，導(dǎo)致服務(wù)器癱瘓，甚至一些黑客會(huì)利用網(wǎng)絡(luò)系統(tǒng)攻擊來操作用戶的一些軟件，發(fā)布不良郵件、傳輸不良數(shù)據(jù)，導(dǎo)致網(wǎng)絡(luò)體系癱瘓，影響網(wǎng)絡(luò)正常使用和信息的真實(shí)性。

3 防火墻技術(shù)策略分析

3.1屏蔽路由技術(shù)

現(xiàn)如今，最簡(jiǎn)單的防火墻技術(shù)為屏蔽路由器，該技術(shù)目前較為流行。屏蔽路由器主要在網(wǎng)絡(luò)層上工作，包括包過濾技術(shù)和虛電路技術(shù)。所謂包過濾技術(shù)，是通過對(duì)IP網(wǎng)絡(luò)包進(jìn)行檢查，以獲得IP頭信息，然后以這些信息為依據(jù)，實(shí)現(xiàn)允許（禁止）方面的動(dòng)作指令。與相關(guān)的信息過濾規(guī)則相比，該技術(shù)限制與內(nèi)部網(wǎng)絡(luò)進(jìn)行通信，當(dāng)數(shù)據(jù)信息得到授權(quán)后方能通過，如果信息數(shù)據(jù)未獲得授權(quán)，則會(huì)阻止其通過。采用該技術(shù)的防火墻通過截取所有IP網(wǎng)絡(luò)包獲取以及過濾所需要的有關(guān)信息，并且會(huì)與訪問監(jiān)控規(guī)則進(jìn)行比較，然后才執(zhí)行動(dòng)作指令。

3.2基于代理防火墻技術(shù)

因?yàn)閿?shù)據(jù)包過濾技術(shù)具有一定的缺陷，且其不能防范黑客攻擊，對(duì)于新的安全威脅，該技術(shù)難以進(jìn)行處理。因此，人們需要一個(gè)更全面的防火墻保護(hù)技術(shù)，在這種背景下，“應(yīng)用代理”技術(shù)的防火墻就此出現(xiàn)。這種技術(shù)主要包括兩個(gè)網(wǎng)絡(luò)接口卡，而且能夠同時(shí)連接內(nèi)外網(wǎng)。由于網(wǎng)關(guān)的安裝位置較為特殊，從而使其可以與兩個(gè)網(wǎng)絡(luò)通信，而且是安裝數(shù)據(jù)交換軟件的最佳位置。代理服務(wù)規(guī)定，內(nèi)網(wǎng)與外網(wǎng)不能直接通信，但是通過代理服務(wù)器，就能實(shí)現(xiàn)數(shù)據(jù)交換。對(duì)于用戶與服務(wù)器之間的數(shù)據(jù)交流，代理服務(wù)能夠完成，而且可以對(duì)所有的數(shù)據(jù)流進(jìn)行審計(jì)追蹤。現(xiàn)如今，許多專家都認(rèn)為，基于代理的防火墻要更加安全，之所以會(huì)產(chǎn)生這種看法，主要因?yàn)榇碥浖軌蚋鶕?jù)內(nèi)部網(wǎng)絡(luò)中的主機(jī)性能制定監(jiān)控策略，這樣就可達(dá)到防御已知攻擊的效果。

3.3動(dòng)態(tài)防火墻技術(shù)

動(dòng)態(tài)防火墻技術(shù)，主要相對(duì)于靜態(tài)包過濾技術(shù)提出的，該技術(shù)能夠動(dòng)態(tài)地創(chuàng)建相關(guān)規(guī)則，能夠適應(yīng)不斷變化的計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)。動(dòng)態(tài)防火墻有一個(gè)重要的特點(diǎn)，那就是對(duì)所有經(jīng)過防火墻數(shù)據(jù)流進(jìn)行分析，并獲得相關(guān)狀態(tài)信息，此外根據(jù)這些信息區(qū)分每次連接，然后以此為基礎(chǔ)創(chuàng)建動(dòng)態(tài)連接表。此外，動(dòng)態(tài)防火墻還需要進(jìn)行一項(xiàng)工作，需要完成后續(xù)通訊檢查工作，并需要對(duì)這些信息進(jìn)行更新。

3.4狀態(tài)監(jiān)測(cè)技術(shù)

狀態(tài)監(jiān)測(cè)技術(shù)較為特殊，其將應(yīng)用網(wǎng)關(guān)技術(shù)與包過濾技術(shù)兩者的優(yōu)勢(shì)結(jié)合起來，該防火墻在網(wǎng)絡(luò)層由一個(gè)檢查引擎截獲數(shù)據(jù)包，并且對(duì)應(yīng)用層狀態(tài)有關(guān)的信息進(jìn)行抽取，在核心部分建立了狀態(tài)連接表，并對(duì)網(wǎng)絡(luò)中流通的數(shù)據(jù)編成一個(gè)個(gè)地會(huì)話，而且利用狀態(tài)表跟蹤每個(gè)會(huì)話的狀態(tài)。其可以對(duì)各層數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并可以對(duì)這些監(jiān)測(cè)數(shù)據(jù)進(jìn)行系統(tǒng)分析。這樣就能準(zhǔn)確發(fā)現(xiàn)各層中的非法入侵行為，而且可以防范內(nèi)部網(wǎng)絡(luò)的惡意破壞行為。

4 網(wǎng)絡(luò)安全防護(hù)技術(shù)機(jī)制構(gòu)建要點(diǎn)

4.1防火墻的科學(xué)配置與準(zhǔn)確選擇

在應(yīng)用環(huán)節(jié)，技術(shù)人員需要做好防火墻的設(shè)置工作。為保證設(shè)置的有效性，技術(shù)人員需要率先開展風(fēng)險(xiǎn)評(píng)估，明確網(wǎng)絡(luò)用戶面臨的各類網(wǎng)絡(luò)風(fēng)險(xiǎn)。同時(shí)獲取用戶的上網(wǎng)習(xí)慣，并制定相應(yīng)的安全防護(hù)規(guī)則，選擇恰當(dāng)?shù)姆雷o(hù)方案。通過這種方式，使得防火墻技術(shù)與網(wǎng)絡(luò)安全防護(hù)結(jié)合起來，切實(shí)發(fā)揮出防火墻技術(shù)的防護(hù)能力，最大程度減少網(wǎng)絡(luò)安全事件的發(fā)生。

4.2評(píng)估防火墻的運(yùn)行狀態(tài)

在使用其進(jìn)行網(wǎng)絡(luò)安全防護(hù)的過程中，可以將防火墻的運(yùn)行狀態(tài)劃分為不同的等級(jí)。有三種情況：

（1）當(dāng)沒有網(wǎng)絡(luò)攻擊行為時(shí)，防火墻能夠正常運(yùn)行。（2）當(dāng)受到網(wǎng)絡(luò)攻擊后，防火墻能夠發(fā)揮防御作用，再次運(yùn)行需要對(duì)其進(jìn)行重啟操作。（3）使用防火墻后，計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)交互被關(guān)停或者禁止。從實(shí)用性與安全性的角度來看，第一、第二種情況防火墻實(shí)用性較高，基本能夠滿足網(wǎng)絡(luò)安全防護(hù)以及計(jì)算機(jī)使用需求;第三種防火墻無(wú)疑中斷了用戶與用戶之間的信息交互，導(dǎo)致網(wǎng)絡(luò)的局部癱瘓。基于這種實(shí)際，在應(yīng)用防火墻之前，技術(shù)人員需要在科學(xué)性原則、實(shí)用性原則的基礎(chǔ)上，進(jìn)行系列測(cè)試工作，檢查防火墻的失效狀態(tài)，并采取相應(yīng)的方式進(jìn)行處理應(yīng)對(duì)。

4.3進(jìn)行防火墻的動(dòng)態(tài)維護(hù)

防火墻的動(dòng)態(tài)維護(hù)需要根據(jù)推送的各類安全補(bǔ)丁，及時(shí)進(jìn)行下載安裝，通過這種方式，不斷提升防火墻自身的防護(hù)能力，有效應(yīng)對(duì)新的安全風(fēng)險(xiǎn)。除了采取定期更新、安裝補(bǔ)丁的方式之外，技術(shù)人員還應(yīng)當(dāng)制定必要的安全策略，例如做好數(shù)據(jù)訪問與交互的授權(quán)，通過身份識(shí)別，保證了數(shù)據(jù)交互的安全性，避免了非法訪問的發(fā)生，避免了數(shù)據(jù)的泄漏或者丟失。同時(shí)，在此基礎(chǔ)上，增加DNS，通過這種技術(shù)手段，進(jìn)一步提升防火墻的安全性。

5 結(jié)語(yǔ)

防火墻技術(shù)是網(wǎng)絡(luò)安全防護(hù)體系的重要組成。為保證正常網(wǎng)絡(luò)交互活動(dòng)的順利進(jìn)行，避免網(wǎng)絡(luò)攻擊行為的發(fā)生，減少各類損失，需要對(duì)防火墻的運(yùn)行狀態(tài)進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果，采取不同的處理手段進(jìn)行應(yīng)對(duì)，定期下載安裝防火墻補(bǔ)丁，不斷提升防火墻自身的防護(hù)能力，有效應(yīng)對(duì)新的安全風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]齊輝.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用的探討[J].通訊世界，2017（24）：9-10.

[2]劉星.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（09）：28-29.