計算機網絡安全中的防火墻技術應用分析

賀兵

摘要：自從計算機面世以來，給人們的生活和生產發展帶來了諸多的便利，但計算機網絡安全問題也隨之而來。面對網絡的威脅，人們需要在計算機網絡安全中心應用防火墻技術。防火墻技術在實際運用中，可以保護計算機運行的安全、保護人們財產等信息的保密安全等。因此，充分發揮其作用，已逐漸成為一項重要的探索內容。本文通過對防火墻的定義、原理、分類等內容的概述，然后用實際案列來分析網絡安全問題的重要性，為解決計算機網絡安全問題提供了參考資料。

關鍵詞：防火墻計算機網絡安全應用分析

Abstract： Since the advent of computers， it has brought more convenience to people's life and production development. However， computer network security problems also follow. In face of network threats， we need to apply firewall technology in the computer network security center. In practical application， firewall technology can protect the security of computer operation and the confidentiality of people's property and other information. Therefore， giving full play to its role has gradually become an important exploration content. This article summarizes the definition， principle and classification of firewalls， and then uses actual cases to analyze the importance of network security issues， and provides reference materials for solving computer network security issues.

Key Words： Firewall; Computer; Network security; Application analysis

1 ?防火墻的概念

防火墻的功能主要是對數據包進行過濾，它可以監控和過濾網絡上的數據包，從而拒絕發送可疑數據包，但它不能有效區分同意抵制IP的用戶，安全性相對較低[1]。

2 ?防火墻的基本原理

對應圖1、圖2的字節傳輸流程，可以分為以下幾層。

包過濾（Packet filtering）：在網絡層次結構中，僅根據IP地址、端口號和包頭的協議類型決定是否允許數據包通過。

應用代理（Application Proxy）：在應用層工作，編寫各種應用代理，實現應用層數據的檢測和分析。

狀態檢測（Stateful Inspection）：在2～4層工作，2～4的訪問控制模式與1相同，在整個處理過程中，針對的是整個連接，而不是單個數據包。因此，規則表、連接狀態表可以判斷數據包的通過與否。

完全內容檢測（Compelete Content Inspection）：在2～7層工作，數據分析主要包括包頭信息和狀態信息，還包括恢復和分析應用層協議，有效防止混合安全威脅。

3 ?防火墻的分類

根據實現原理，防火墻技術分為4類：網絡級防火墻、應用級網關、電路級網關和規則檢查防火墻。

3.1 ?網絡級防火墻

通過或失敗通常根據每個IP數據包的源地址和目標地址、應用程序、協議和端口來判斷。防火墻檢查每個規則，直到數據包信息與特定規則一致。當沒有需要滿足的規則時，防火墻使用基本規則。通常，基本規則是防火墻要求丟棄數據包。通過基于TCP或UDP數據包定義端口號，防火墻可以決定是否允許特定連接，如Telnet和FTP[2-3]。

3.2 ?應用級網關

應用級網關可以檢查傳入和傳出的數據包，并通過網關復制和傳輸數據，因此可以防止可靠的服務器和客戶端以及不可靠的主機之間的直接連接。應用層網關可以理解應用層中的協議，執行更復雜的訪問控制，以及準確的注冊和審核[4]。

對于一種特殊的網絡應用服務協議，即數據過濾協議，可以分析數據包并編寫相關報告。應用程序網關提供對特定環境的嚴格控制，以方便登錄、控制所有輸入和輸出通信，并防止有價值的程序和數據被盜[5]。

3.3 ?電路級網關

在受信任的客戶端或服務器和不受信任的主機之間使用TCP握手信息確定會話是否合法。電路級網關過濾OSI模型會話層中的數據包。過濾防火墻必須有兩層以上。線路級網關代理服務器功能代理服務器是防火墻網關中設置的一種特殊的應用級代碼。通過此代理服務，網絡管理員可以允許或拒絕特定應用程序或應用程序的特定功能。數據包過濾技術和應用網關使用特定邏輯來決定是否允許特定數據包通過，從而成功隔離防火墻內外的計算機系統[6-7]。

4 ?XX企業網絡安全防火墻技術應用分析

XX企業是一家化學公司。經過多年的努力發展，在信息化建設方面，已經取得了一定的規模。企業的信息化子系統主要有OA辦公自動化系統、人事系統、網站服務系統、DNS服務器等，這些內部信息網絡系統的構建，覆蓋了整個企業所有的生產、管理及經營部門。目前企業網絡系統工連接458臺電腦、12臺服務器、1臺路由器和多臺交換器，局域網絡包括各種辦公大樓和各種生產和管理部門，通過網通的200米非專用線路連接到外部網絡[8-9]。

4.1 ?網絡拓撲結構

通過現場調查，可知企業的網絡拓撲是星星形狀的，通過綜合調查，繪制了目前網絡的網絡拓撲，如圖3所示。

在整個企業網絡運行中，各網絡設備的使用和連接方法表述如下。

（1）外部網絡通過路由器，主要是企業LAN通過CISCO PIX 525安全硬件防火墻進行連接。

（2）通過配置CISCO 4506系列交換機與主交換機進行連接，主要打開了防火墻和內部網絡之間的連接從而實現生產子網的分割。

（3）辦公區和服務區的子網，通過配置CISCO 2950型號的思科交換機6系列與主交換機進行連接，主要通過訪問防火墻，用于執行生產業務的生產執行系統服務器網絡運用于整個內部網絡。

（4）管理安全區的網絡，也是通過配置子交換機與主交換機進行連接，從而管理和控制企業內部整個網絡。

（5）企業的網絡連接，主要是通過局域網和網通的200米非專用線路進行連接傳輸網絡。

4.2 ?網絡系統風險評估結果

網絡系統的安全包括網絡病毒防御、入侵檢測系統和入侵防御系統、網絡警告和隔離、DMZ 區防護、安全審計等技術。XX企業只使用互聯網上常見的防火墻技術來隔離。殺毒服務器部署在服務網絡單元中，沒有采用防病毒網關技術，所以網絡防御功能只限于下載檢測防御和計算機的升級中。雖然VLAN在主交換機上有所區別，但網絡部分的劃分非?；靵y，整個網絡的拓撲結構非常復雜，結構不是很清楚[10-11]。通過評估，網絡層面的風險主要有如下問題。

（1） XX 企業有許多主服務器、數據和核心子網，需要高安全性，但它們沒有受到特別保護，或者只是被防火墻隔離，有些頑強的病毒系統的侵入會繞過防火墻的抵御攻擊，還有內部局域網的遺漏也會造成網絡安全問題。

（2）在防火墻的訪問控制規則設置方面，過于謹慎，無法反映計劃的安全策略，并為攻擊者提供執行攻擊的機會。

（3）服務器組與內外網之間的連接沒有考慮到不同的安全水平，使用不同的訪問控制策略，劃分不同的安全水平，并建立DMZ 區域進行保護敏感信息的安全。

（4）子網境內LAN可以互訪，若沒有對網絡安全訪問進行防御，同樣也會造成嚴重的安全風險問題。

（5）安全審計系統是企業的網絡系統的重要組成部分，一旦缺乏，網絡攻擊和入侵后，無法記錄相關信息并編寫系統安全日志報告。因此，快速、全面地了解當前的網絡安全形勢是無益的。

（6）普通手動數據備份方式的采用，比較落后。沒有可感知的數據恢復功能，重要數據無法實時自動備份恢復。

4.3 ?防火墻部署策略

在XX企業中，企業運行的458臺電腦，都是通過網通的公共網絡線連接到網絡，從而獲取網絡信息。其中，企業內部郵件服務器，通過企業內的WWW服務器，可以發送和接收郵件向外部世界提供服務?；谄髽I網絡安全的必要性，考慮到XX企業與外部網絡信息交換的規模，以及通過各種性價比和實際比較，選擇Cisco PIX525硬件防火墻作為網絡邊界的安全設備[12]。因此，必須設計兩個防火墻來保護企業網絡。

4.3.1 ?網絡邊界的防火墻

邊界防火墻是最傳統的防火墻，在內部網和外部網的邊界上隔離內部網和外部網，保護警戒線的內部網。所有外部服務請求只能在邊界防火墻的外部網絡卡上處理。收到數據包后，防火墻會對此進行分析。如果請求遵守規則，將通過內部網絡卡發送到目標服務主機，而不遵守規則的請求將被拒絕。

4.3.2 ?生產子網邊界的防火墻

從邏輯上講，防火墻作為分離器、限制器和分析器，可以有效地監控內部網和網絡之間的所有活動，并保證內部網絡的安全。防火墻用于保護內部生產網絡的安全，并有效地控制和監控對生產子網的訪問。通過過濾不安全的服務，防火墻可以大幅提高網絡安全，減少子網主機的風險。

5 ?結語

防火墻是保護網絡信息安全的重要技術。它正在變得越來越完善，但它不能滿足于維持現狀。目前，大多數防火墻設置在邊界位置上，內網和外網之間還有子網，可以形成防火墻。然而，這種防火墻的缺點是，不僅外部網絡，還有內部網絡都是一個很大的風險因素。病毒和其他不安全因素將攻擊該網絡。之前已討論過防火墻技術是不能完全保證網絡的安全性的，因此，為了提高它們的技術水平，需要更多的開發者去關注更嚴格的保護。

參考文獻

[1]劉恩軍.計算機網絡安全中防火墻技術應用分析[J].網絡安全技術與應用，2020（10）：56-57.

[2]楊婷.計算機網絡安全中的防火墻技術應用分析[J].數字技術與應用，2020（5）：25.

[3]王明明，岳文雷，楊振乾.網絡安全中的防火墻技術應用分析[J].網絡安全技術與應用，2019（9）：96-97.

[4]李潔帆.計算機網絡安全中的防火墻技術應用分析[J].科技視界，2019（3）：23-24.

[5]曾強.基于計算機網絡安全中防火墻技術應用分析J].電腦知識與技術，2020（1）：54.

[6]姜可.基于網絡安全維護的計算機網絡安全技術應用分析[J].計算機產品與流通，2020（4）：102.

[7]龐新煜.局域網下的計算機網絡安全技術應用分析[J].電子元器件與信息技術，2020（1）：20.

[8]石明.江西高速集團數據資源集成方案設計與應用[D].南昌：華東交通大學，2018.

[9]曲范.信息系統冗余功效測試和可靠性研究[D].西安：西安工業大學，2017.

[10]郭琬琦.計算機網絡安全中的防火墻技術應用探析[J].現代信息科技，2019（9）：63-64.

[11]武寧.計算機網絡安全中的防火墻技術應用[J].現代商貿工業，2021（3）：90.

[12]朱莉.網絡信息安全技術在計算機管理中的應用[J].電子世界，2021（5）：123-124.