淺析防火墻在計算機網絡安全中的應用

王和鑫

(黑龍江工業學院，黑龍江 雞西 158100)

隨著社會的不斷發展，人類生產、生活中的各種信息技術以其數據處理速度快、數據量大、信息來源廣的特點得到廣泛應用，已經成為信息化社會不可缺少的一部分[1]。這些數據涉及到商業機密、財產安全、社會穩定，一旦泄露將會給用戶的正常生產、生活帶來嚴重影響，甚至產生不可挽回的損失。因此，在當前信息化時代，計算機領域中網絡安全問題已成為大眾關注的普遍問題，對于計算機網絡安全的防范也是一個長期的系統工程。對于計算機網絡用戶來說，防范的關鍵在于認識到安全問題的根源，才能采取針對性的措施進行防范[2]。但是這些技術對于非專業用戶來講很難在日常的使用中熟練運用，本文通過對防火墻技術、計算機網絡存在的問題、影響計算機網絡的安全因素進行有效梳理、歸納，使非專業用戶能夠掌握如何在日常工作中進行計算機網絡安全防范，掌握其本源，提高工作效率，更好地發揮計算機網絡的功能和作用。

1 計算機網絡安全問題

計算機網絡安全出現問題會造成數據泄露，主要包括系統漏洞、網絡病毒、黑客攻擊以及網絡管理不到位引起的安全問題，掌握導致計算機網絡安全問題的原因是防止數據泄露的基礎。

1.1 系統漏洞

從理論上來說，不論是計算機自帶的Windows系統，還是Linux、Solaris系統，都存在著一定的系統漏洞，這些漏洞來自系統本身，不可避免地會對計算機網絡安全造成影響。此外，用戶在安裝硬件或軟件的過程中很可能由于疏忽而產生一定的漏洞，這些漏洞都會給計算機網絡安全帶來一定的隱患，黑客或不法分子會利用這些漏洞來竊取數據信息。

1.2 網絡病毒

木馬病毒是網絡病毒中常見的一種，計算機使用過程中出現木馬病毒的情況較為常見，一般在開放的網絡終端會存在著一定的木馬病毒且滋生迅速，在用戶進行計算機網絡操作時，木馬病毒防不勝防，對計算機系統安全的影響十分嚴重，這一安全問題也是用戶使用計算機網絡系統過程中需要重點注意的。

除木馬病毒之外，其他不同類型的網絡病毒也不斷出現，這些計算機網絡病毒普遍具有強大的復制性和感染性，時刻對計算機網絡的安全產生著威脅，極易破壞網絡內的計算機程序或軟件，進而盜用或破壞網絡中的應用程序。網絡病毒對計算機網絡安全的危害十分嚴重，很可能引起計算機系統的癱瘓。

1.3 黑客攻擊

黑客攻擊屬于非法入侵帶來的安全風險，主要是技術層面的入侵，有軟件節點型和主動型兩種類型。軟件節點型的黑客攻擊破壞性較大，主要以盜竊用戶的個人隱私為目標，用戶幾乎難以察覺到這種攻擊。主動型黑客攻擊通常以盜取個人信息為目標，這種類型的攻擊是一種具有針對性的攻擊，將會破壞整個計算機系統的運行狀態，嚴重的會導致計算機系統癱瘓或崩潰。不論何種形式的非法入侵，都會嚴重威脅到計算機網絡的安全。

1.4 網絡管理不到位引起的安全問題

計算機網絡管理者對計算機網絡安全的維護十分重要，維護的效果決定著計算機對外來破壞抵御的能力。然而，一些管理者欠缺對網絡管理、網絡安全意識，未按要求嚴格進行計算機網絡安全管理，增加了信息泄露等安全隱患出現的風險。對于計算機用戶來說，對計算機網絡日常管理和維護的不重視也是引發安全問題的因素。

這些計算機網絡安全問題都是計算機在使用過程中客觀存在的，我們不能因為網絡安全問題的存在而產生恐懼，隨著網絡安全防御技術的不斷進步，這些問題是可以防御的。

2 網絡安全防御體系

常用的網絡安全防御體系分為網絡安全評估、安全防護、網絡安全服務三個模塊。網絡安全評估又分為系統漏洞掃描和網絡管理評估，安全防護分為病毒防護體系、網絡訪問控制、網絡監控和數據保密，網絡安全服務分為應急服務體系、數據恢復和安全技術培訓。在整個網絡安全防御體系中，三個模塊中任何一個都需要網絡防火墻參與防護，防火墻是計算機網絡安全的第一道屏障，任何用戶訪問網絡，只要有數據信息的流入都必須經過網絡安全防御體系，而在此過程中也必須要有防火墻的數據過濾和訪問控制，合法有效的數據信息會被網絡用戶接收，非法無效數據信息會被防火墻阻止，屏蔽在網絡安全防御體系之外，使網絡系統更加安全可靠。主要的網絡安全防御體系如圖1所示。

圖1 計算機網絡安全防護體系構架示意圖

如圖1所示的計算機網絡安全防護體系可以完成網絡安全防御，在防御過程中，防火墻全程參與整個環節，它是用戶阻斷外部非法入侵的重要手段，不同類型的防火墻在使用過程中功能不同，應用的技術領域也會不同。

3 防火墻的部署分類及技術應用

防火墻一般是指設置在不相同網絡之間，或者是網絡安全域中間的一系列的部件組合。簡而言之，它其實就是一種網絡防護設備，保護內部網與不安全外部網之間的護欄。它的作用是阻斷來自外部、針對內部網的入侵和威脅，從而保護內部網的安全。防火墻具有不同的分類標準，不同類型的防火墻具有不同的功能和作用，用戶在選擇使用哪類防火墻時，需要根據自己實際情況，進行防火墻的科學選取。

3.1 按防火墻的應用部署分類

按照防火墻的應用部署可以劃分為分布式防火墻，邊界防火墻和智能防火墻三類。

3.1.1 分布式防火墻

分布式防火墻部署多個防火墻實體，在邏輯上又定義為一個防火墻，并有各個分布在網絡中的端點實施針對各個實體節點制定安全策略[3]。分布式防火墻的應用是被允許或禁止的策略語言、系統管理工具、IP安全協議執行安全防護。制定防火墻接入控制策略，由編譯器對策略語言轉化為防火墻內機器可識別語句，并形成策略文件。系統管理工具將所形成的策略文件分發給每個內部系統主機控制臺，內部系統主機將從IP安全協議和服務器端的策略文件判定是否接受。相比個人防火墻，分布式防火墻特點不僅負責網絡邊緣，還將防火墻功能分布網絡的各個角落，甚至涵蓋遠程訪問用戶，不僅過濾外部網絡的通信，也對內部網絡通信過濾。在不需要只對網絡邊緣負責安全防護或者需要對內部網絡各用戶之間通信進行過濾時，往往使用分布式防火墻，它的防護特點就是除自身以外所有用戶的訪問都是“不可靠、不可信”的，都是需要進行嚴格過濾的。用戶信息通過網絡防火墻進入到內部網絡進行數據交換，使用戶通過控制策略進行相應的訪問，其工作原理如圖2所示。

圖2 分布式防火墻工作原理

3.1.2 邊界防火墻

邊界防火墻是一種安全的邊界，可為專用網絡和其他公用網絡(例如 Internet)提供主要防御。防火墻可檢測并保護網絡抵御不必要的流量、潛在的危險代碼和入侵企圖[4]。邊界防火墻是較為普遍的那一種，它分布在內、外網絡的邊界上，所起的主要作用就是對內、外部網絡進行隔離，保護邊界內部網絡，這類防火墻大多數都是硬件類型的，價格比較貴，但性能也比較好。這一類防火墻主要保護的是邊界內部網絡，如果資金充裕，可以優先選用這類防火墻。用戶通過互聯網訪問，防火墻提供防御，隔離有問題的數據信息，訪問正常的企業網絡及合作伙伴網絡，其工作原理如圖3所示。

圖3 邊界防火墻工作原理

3.1.3 智能防火墻

智能防火墻主要是基于人工智能技術設置的，使用統計、概率、決策和記憶等智能方式方法來識別數據，從而進行控制和訪問網絡的新型防火墻技術。智能防火墻技術適應新一代信息技術網絡安全需求下的網絡行為訪問控制[5]。與傳統的防火墻相比，智能防火墻具有四個特性：一是防止惡意數據攻擊，它能夠識別惡意數據流量并立即阻止惡意數據攻擊；二是防范黑客的攻擊，它能識別并防止來自黑客的惡意掃描；三是防范MAC欺騙和IP欺騙，它提供基于MAC的訪問控制機制，防止MAC欺騙和IP欺騙，支持IP過濾和MAC過濾；四是防御入侵，為了解決授權包的安全性問題，它能檢測授權數據的入侵并提供入侵保護。這樣就可以完成深層數據包的智能監控，并及時防止對應用層的攻擊。這類防火墻的應用能充分發揮其四個特性的防御特點，智能化的阻止惡意的網絡攻擊，大大的降低網絡安全風險，更好的保證網絡系統的安全。用戶通過智能過濾訪問到主機系統，異常數據包通過防火墻的智能過濾進行數據重新加載和加入特性庫。智能防火墻工作原理如圖4所示。

圖4 智能火墻工作原理

3.2 按防火墻技術分類

按防火墻技術主要分為包過濾型防火墻和應用代理型防火墻兩大類。

3.2.1 包過濾型防火墻

包過濾型防火墻在OSI模型的網絡層和運輸層中運行，它根據數據包頭源的地址、目標地址、端口號和協議類型確定是否可以通過[6]。滿足過濾條件的數據包被發送到相應的目的地，其他數據包被數據流刪除。這種防火墻技術的應用，能夠更好過濾掉無用的數據信息，過濾出有用的數據信息，保證數據的真實有效，并保證了數據的可用性。包過濾防火墻把進入數據過濾并解析形成安全的數據包輸出。其結構如圖5所示。

圖5 包過濾火墻工作原理

3.2.2 應用代理型防火墻

應用代理型防火墻是工作在OSI模型的應用層，也是最高層。它的主要特點是完全“阻隔”了網絡通信流，監測和控制應用層的通信流，其作用是通過為每個應用服務建立專門的代理程序來實現的[7]。通過限制某些協議的傳出請求來減少網絡中不必要的服務。大多數代理型防火墻能夠記錄所有連接，包括地址和持續時間，這些信息對于檢測未經授權訪問的攻擊和事件都非常有用。這種類型防火墻技術的應用，可以更好地阻止非用戶請求，減少無用的數據信息，更好地為用戶提供可靠的數據。用戶通過網絡對經過應用網關進行訪問的數據進行過濾，其典型網絡結構工作原理如圖6所示。

圖6 應用代理型防火墻工作原理

通過以上分析可以看出，防火墻的防御技術根本是針對計算機網絡安全策略實施的防護網絡系統，依靠防火墻來配置安全的過濾規則、網絡數據包協議、端口、源(目的)地址、流向的審核以及對外部網絡非法訪問的控制等[8]，使更改路由器中的存取控制表得以實現。防火墻的安全服務和策略控制是通過主干網對非法用戶做存取控制處理的，以實現對網絡中心的特別保護，提升安全服務[9]；對外部網與非法信息一致的域名，通過獲取最新IP訪問信息列表對非法訪問進行策略控制處理[10]。此外，還可以針對防護墻系統做追蹤監測及動態化維護，監測和分析防火墻網絡流量，并針對異常流量進行防火墻安全策略的調整和優化，提升防火墻系統的防護水平及網絡的安全性。

4 計算機網絡安全防范措施

4.1 安裝并應用殺毒軟件

殺毒軟件是現階段針對計算機網絡病毒防范的最基本手段，如今針對木馬病毒、間諜軟件、蠕蟲等惡意病毒都開發了相應的殺毒軟件；云安全技術是大數據時代相關機構針對計算機網絡安全制定的防范技術，以防止網絡病毒傳播并破壞計算機網絡。如國內的“金山殺毒軟件”能夠實現實時通信，通過實時監測計算機網絡環境，防止惡意軟件的干擾。為提高計算機網絡的安全性，可在計算機上安裝主動防御軟件和軟件安全測試軟件，向云端引入安全測試引擎從而實現對用戶計算機客戶端的安全防御和軟件保護。安裝殺毒軟件是個人用戶客戶端最普遍的一種防范措施。

4.2 提升防火墻策略

防火墻技術的功能十分強大，具有數據信息的記錄功能、反端口掃描功能等，能夠記錄和保留網絡用戶的操作，對用戶的數據進行有效保護，這些數據還可用于發生惡意攻擊時的信息跟蹤，對訪問的網絡地址作出風險評估，一旦出現安全問題，將及時攔截或撤回不安全的服務，從而確保計算機網絡的安全性。防火墻策略的制定需要根據防火墻功能決定，如日志監控策略、內外網分離策略等，通過生成跟蹤日志將訪問地址和網絡使用情況記錄下來，作為管理人員的參考數據。提升防火墻策略，將內外部網絡分離開來，用戶在內網設置權限，在服務器入口處對訪客進行監測和隔離，將各種安全威脅因素隔離在外部，提高計算機網絡安全防范的功能。

4.3 強化系統漏洞修復功能

惡意的病毒和軟件會在計算機系統出現漏洞的情況下進行傳播，及時修補計算機的漏洞是十分有必要的。對于用戶來說，可以根據實際情況安裝360安全衛士、金山毒霸等修復系統漏洞的軟件，并不定期更新和清理這些軟件，使其保持最新版本。需要注意的是，應根據系統的提示進行程序的更新，提升計算機系統的漏洞修復功能。對于相關軟件研發人員來說，需要結合目前計算機網絡的安全威脅及時更新漏洞修復軟件的功能，使軟件的更新速度與計算機網絡的發展速度相同步。這種強化系統漏洞修復功能，主要用來檢測網絡系統可能存在的漏洞，提高漏洞檢查的效率，幫助程序員提前發現軟件、程序的漏洞，促進系統漏洞修復功能的提升。這類網絡監測技術能夠發揮人力無法達到的網絡管理的職能，包括病毒數據庫監測、監測模型建立和異常監測等。

4.4 提高數據庫加密水平

計算機網絡的運行依賴大量的信息數據，數據庫的加密水平決定著這些信息數據的安全性，如果數據庫受到了病毒或黑客的攻擊，就會破壞并泄露大量的信息，對個人、企業及國家來說都是不可估量的損失。當前，我國的計算機網絡技術還存在較多的不足之處，尚處于發展階段，要想提高數據庫加密水平，只有不斷加強對數據庫加密技術的研究，完善和優化數據庫加密手段，才能使計算機的網絡安全性能得到保障。

4.5 搭建虛擬網絡引入異常入侵檢查

搭建專用虛擬網絡可以有效解決計算機網絡應用和設計中存在的漏洞，專用虛擬網絡在根本上不同于傳統單一的公共網絡系統，它不是單獨存在，而是整個計算機公共網絡系統中極其重要的一部分，也是該體系基礎上的一個重要分支，用戶信息數據連接的通道可以根據所搭建的虛擬網絡，使其安全性和可靠性進一步提升，從而實現客戶和企業之間的有效連接，避免數據和信息的泄露以及破壞等問題的出現，為網絡安全提供良好的保障。通信協議是搭建虛擬網絡的基礎，以此使得該連接通道具備一定的隱蔽處理能力，最大限度的保護計算機網絡用戶的安全性和隱私。搭建虛擬網絡引入異常入侵檢查可以解決用戶對計算機網絡系統操作不當而引發的安全問題，通過引入異常入侵監測加以控制，對用戶的操作加以提醒。與此同時，異常入侵監測還具有一定的優化防護性能的功能，通過積累入侵反饋信息對計算機網絡系統的安全問題實行有效地控制。