防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的運用探討

王曉玲

（電子科技大學(xué)成都學(xué)院 四川 成都 610599）

1 引言

網(wǎng)絡(luò)使得人們的生活變得更加便捷，但是網(wǎng)絡(luò)技術(shù)的應(yīng)用是一把雙刃劍，其也有不好的一方面，尤其是日益嚴重的網(wǎng)絡(luò)安全問題，現(xiàn)在已經(jīng)成為迫切需要解決的問題。作為對網(wǎng)絡(luò)新生技術(shù)接受能力較高的學(xué)生們，網(wǎng)絡(luò)安全的建立和普及，也有效促進了網(wǎng)絡(luò)安全工作的順利開展，但是當(dāng)前網(wǎng)絡(luò)也面臨著越來越嚴重的網(wǎng)絡(luò)安全問題，使得網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)時常被嚴重損害[1]。對此，要充分利用和發(fā)揮網(wǎng)絡(luò)安全技術(shù)，從而有效保證企業(yè)網(wǎng)絡(luò)的安全平穩(wěn)運行。本文對網(wǎng)絡(luò)安全技術(shù)進行了討論和研究，并提出了相應(yīng)的有效策略，以期待能夠幫助網(wǎng)絡(luò)的安全平穩(wěn)運行。

2 網(wǎng)絡(luò)的特點和應(yīng)用

計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，極大推動了社會的發(fā)展和進步，也使得人們的生活變得更為豐富多彩和便捷。當(dāng)前計算機網(wǎng)絡(luò)的特點主要有以下幾點：（1）網(wǎng)絡(luò)具有快捷性。計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得各種新技術(shù)平臺得到了快速發(fā)展，人們通過新技術(shù)平臺能夠快速、隨時隨地來進行交流，信息也可以一對一地單獨發(fā)展，也可以進行一對多的群發(fā)，這樣就會使得人們的信息溝通更為快捷；（2）網(wǎng)絡(luò)技術(shù)的自由性。由于網(wǎng)絡(luò)平臺的特殊性，使得不同身份、不同地位的人們在網(wǎng)絡(luò)平臺上可以平等交流，充分表達自己的想法和意見，消除了人們之間的隔閡，極大推動了社會和諧平等的發(fā)展。（3）網(wǎng)絡(luò)的開放性。隨著共享經(jīng)濟的發(fā)展，網(wǎng)絡(luò)變得更為開發(fā)，人們的視野眼界也都得到了極大擴展和開放；（4）網(wǎng)絡(luò)的互動性。網(wǎng)絡(luò)互動和交流平臺為人們提供了更好的溝通方式，使得人們的互動不會受到時間和空間的影響，極大促進了人們彼此之間的溝通和互動；（5）網(wǎng)絡(luò)的創(chuàng)新性。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展正是創(chuàng)新的集大成者，促進人們更好掌握新技術(shù)和利用新技術(shù)，更好地促進技術(shù)的創(chuàng)新和發(fā)展。

3 計算機網(wǎng)絡(luò)安全問題及原因

3.1 網(wǎng)絡(luò)安全問題

計算機網(wǎng)絡(luò)能夠極大地促進社會各領(lǐng)域的發(fā)展和進步，網(wǎng)絡(luò)安全問題也與日俱增，越來越嚴重地影響到社會各領(lǐng)域的發(fā)展，也嚴重影響到人們的日常生活，例如數(shù)據(jù)竊取、黑客行為等，也阻礙了社會和經(jīng)濟的發(fā)展[2]。當(dāng)前計算機網(wǎng)絡(luò)安全問題可以歸納為以下幾類：（1）網(wǎng)絡(luò)非法入侵。其指的是利用計算機技巧來非法訪問網(wǎng)站的行為，網(wǎng)絡(luò)入侵能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進行非法改寫，取得非法權(quán)限，更為嚴重的將會導(dǎo)致計算機系統(tǒng)被破壞，從而使得計算機系統(tǒng)不能正常運行；（2）后門和木馬程序。后門和木馬是網(wǎng)絡(luò)黑客慣用的手段，通過為硬件設(shè)備留有的后門來進行硬件的入侵，通過木馬來遠程控制用戶的計算機。（3）計算機病毒。其指的是在計算機正常程序中加入特定的能夠自我復(fù)制的程序代碼，使得用戶的計算機軟件系統(tǒng)容易被攻擊，造成網(wǎng)絡(luò)系統(tǒng)的崩潰。除此之外，網(wǎng)絡(luò)安全問題還包括垃圾郵件、對加密算法的攻擊、數(shù)據(jù)竊取、數(shù)據(jù)竊聽等問題。

3.2 網(wǎng)絡(luò)安全問題產(chǎn)生原因

網(wǎng)絡(luò)安全問題的發(fā)生并非偶然。主要有以下幾種原因：（1）設(shè)計思想導(dǎo)致網(wǎng)絡(luò)缺陷。由于計算機網(wǎng)絡(luò)開發(fā)之初只注重系統(tǒng)的穩(wěn)定性和可用性，但是計算機網(wǎng)絡(luò)安全性卻沒有得到應(yīng)有的重視，這就導(dǎo)致在計算機設(shè)計之初其安全設(shè)計欠缺，使得計算機網(wǎng)絡(luò)容易被監(jiān)聽、欺騙、篡改等網(wǎng)絡(luò)攻擊問題，來隨意攻擊網(wǎng)絡(luò)；（2）硬件問題。計算機硬件是否安全可靠，硬件參數(shù)等都直接關(guān)系著網(wǎng)絡(luò)安全問題的出現(xiàn)[3]。此外，軟件設(shè)計缺陷，軟件漏洞也能夠引起網(wǎng)絡(luò)安全問題；（3）病毒和木馬程序。其引起的網(wǎng)絡(luò)安全問題也較為突出；（4）缺少網(wǎng)絡(luò)維護。計算機網(wǎng)絡(luò)需要不斷更新軟硬件補丁，需要不斷進行日常維護、數(shù)據(jù)備份等工作，才能做好網(wǎng)絡(luò)的維護，才能有效避免網(wǎng)絡(luò)安全問題。

4 防火墻技術(shù)概述

防火墻分為硬件防火墻(Firewall)和軟件防火墻(WAF)。硬件防火墻是借助硬件設(shè)備隔離內(nèi)網(wǎng)和外網(wǎng)，硬件設(shè)備中配置一定的防御策略，用以阻隔外網(wǎng)中不安全的訪問或非法攻擊，進而達到保護內(nèi)網(wǎng)的作用，硬件防火墻允許合法信息訪問內(nèi)部網(wǎng)絡(luò)，阻止非法信息訪問內(nèi)部網(wǎng)絡(luò)；軟件防火墻則主要以綠盟科技、長亭科技等互聯(lián)網(wǎng)企業(yè)研發(fā)的WAF為代表，軟件防火墻主要通過添加各類防御規(guī)則保護軟件安全，如通過or、and、select等規(guī)則與非法注入特征匹配，一旦匹配到非法特征值，則判斷該訪問為非法訪問或Seq注入等。

防火墻有諸多功能：（1）有效的保護屏障。無論是硬件防火墻或軟件防火墻，其均可以有效保護企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全，將非法訪問和惡意攻擊屏蔽在內(nèi)網(wǎng)以外，從而有效避免內(nèi)網(wǎng)被非法入侵。此外，防護墻會將拒絕入侵的報文以日志的形式展示給防護墻管理員，使網(wǎng)絡(luò)管理人員及時知曉非法入侵；（2）防火墻有助于強化網(wǎng)絡(luò)安全策略。防火墻并非只是簡單的防御設(shè)備，管理人員會在防火墻上配置多種安全防御策略；（3）防火墻可以有效防止內(nèi)部信息的泄露。防火墻可以有效保護內(nèi)部網(wǎng)絡(luò)的隱私信息，對高級的黑客而言，即使是很小的細節(jié)也可能成為引起網(wǎng)絡(luò)安全的導(dǎo)火索，而防火墻可以實現(xiàn)內(nèi)部網(wǎng)段合理隔離，從而限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)所造成的影響。

目前市場上主要有3種防火墻類型：（1）數(shù)據(jù)包過濾型防火墻。其主要方式是在防火墻中配置過濾規(guī)則。防火墻會對訪問內(nèi)網(wǎng)的數(shù)據(jù)包進行過濾，過濾主要是規(guī)則匹配的過程，若訪問數(shù)據(jù)包與過濾規(guī)則匹配成功，則將其判定為非法訪問包，否則允許該訪問通過；（2）應(yīng)用代理型防火墻。應(yīng)用代理型防火墻有效地隔絕著內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。防火墻作為代理設(shè)備，代理服務(wù)則運行在防火墻上，一般是一種專門的應(yīng)用程序，代理集成了數(shù)據(jù)包過濾和分發(fā)的功能，其將過濾后的數(shù)據(jù)包轉(zhuǎn)發(fā)到實際的服務(wù)上，而不會經(jīng)過內(nèi)網(wǎng)和外網(wǎng)；（3）混合型防火墻。混合型防火墻也稱為堡壘機，是將防火墻的代理功能和過濾功能集合在一起，借此提高防火墻的靈活性并增加其防御性。當(dāng)然，任何防火墻都不可能完全地抵御所有的攻擊，這就需要相關(guān)的技術(shù)型人才深入探究防御技術(shù)，使其可以滿足多種非法的攻擊。

5 防火墻技術(shù)在網(wǎng)絡(luò)安全防范中的應(yīng)用

5.1 防火墻和IDS結(jié)合聯(lián)動技術(shù)

防火墻在最初投入使用時極大地提高了網(wǎng)絡(luò)安全，但隨著攻擊技術(shù)的提升，防火墻技術(shù)逐漸暴露出不足之處。例如，防火墻是靜態(tài)防御，因此其無法對實時攻擊和異常行為做判斷和反應(yīng)；再如，網(wǎng)絡(luò)內(nèi)部的襲擊完全無法被防火墻識別，入侵檢測系統(tǒng)雖然可以及時有效地監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，并判斷攻擊企圖，入侵檢測系統(tǒng)針對系統(tǒng)整體，包括有系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，因此其一定程度可以彌補防火墻技術(shù)的不足。當(dāng)然，入侵檢測系統(tǒng)也存在諸多不足，如其雖然可以實時檢測攻擊并報警，但無法真正有效阻止攻擊。防火墻技術(shù)的側(cè)重點是控制，入侵檢測系統(tǒng)的側(cè)重點是對入侵信號的檢測，因此兩者的結(jié)合可以極大程度體現(xiàn)兩種方式的優(yōu)勢。

將兩者結(jié)合起來運行，防火墻可以通過入侵檢測系統(tǒng)及時準確地發(fā)現(xiàn)僅依靠防火墻無法識別的攻擊行為，而入侵檢測系統(tǒng)則可以通過防火墻及時阻斷外部網(wǎng)絡(luò)的攻擊行為，兩者結(jié)合聯(lián)動技術(shù)有效解決了兩者相互的劣勢。

防火墻是計算機網(wǎng)絡(luò)系統(tǒng)中最直接的網(wǎng)絡(luò)防護措施，企業(yè)網(wǎng)絡(luò)管理工作人員要高度重視防火墻的應(yīng)用，對防火墻的相關(guān)設(shè)置要不斷調(diào)試，以保證最佳的網(wǎng)絡(luò)配置。此外，要對網(wǎng)絡(luò)數(shù)據(jù)進行實時監(jiān)控，充分發(fā)揮防火墻關(guān)于數(shù)據(jù)包的排查功能，根據(jù)企業(yè)網(wǎng)絡(luò)的要求，要對防火墻設(shè)置正確的安全過濾配置，以保障企業(yè)網(wǎng)絡(luò)的安全。

5.2 代理服務(wù)器的應(yīng)用

代理服務(wù)器是防火墻技術(shù)的應(yīng)用之一，通過代理服務(wù)器為計算機提供網(wǎng)絡(luò)代理，使真實網(wǎng)絡(luò)地址不被發(fā)現(xiàn)，順利完成信息交互。計算機IP信息的泄露往往發(fā)生在內(nèi)網(wǎng)傳輸?shù)酵饩W(wǎng)的過程中，IP信息被網(wǎng)絡(luò)黑客解析并跟蹤，計算機的數(shù)據(jù)信息很容易被竊取。使用代理服務(wù)器，網(wǎng)絡(luò)黑客只能解析虛擬IP，不會獲取任何真實信息，從而保護內(nèi)網(wǎng)信息。代理服務(wù)器在控制內(nèi)外網(wǎng)信息的交互過程中起到中轉(zhuǎn)作用，同時在賬號管理、信息驗證上具有明顯的優(yōu)勢。另外，公司或企業(yè)可以把內(nèi)部用戶對外網(wǎng)的SSL訪問信息先轉(zhuǎn)到內(nèi)部的代理服務(wù)器，進行分析確認安全后再轉(zhuǎn)發(fā)外網(wǎng)，在內(nèi)部進行對加密數(shù)據(jù)包的審計分析，避免黑客利用SSL加密把內(nèi)部的數(shù)據(jù)取走。

5.3 包過濾技術(shù)的應(yīng)用

包過濾技術(shù)是具有信息選擇特質(zhì)的防火墻，本地電腦在獲取傳輸信息后，比對相應(yīng)的安全注冊表，依據(jù)此判斷傳輸信息是否安全。包過濾技術(shù)首先要獲取傳輸信息的目的IP，并據(jù)此解析目的IP數(shù)據(jù)，將數(shù)據(jù)包與用戶安全注冊表進行對比，識別數(shù)據(jù)是否含有威脅信息，確認安全后，再將數(shù)據(jù)包傳輸?shù)接嬎銠C中。該技術(shù)將計算機分為內(nèi)、外網(wǎng)兩類路徑，首先在內(nèi)到外的信息傳輸中，限制危險信息傳出。在由外到內(nèi)的傳輸過程內(nèi)，限制傳輸主機信息的安全性非法訪問內(nèi)部網(wǎng)絡(luò)或計算機。在應(yīng)用上，包過濾技術(shù)可以應(yīng)用在計算機主機與路由器上，根據(jù)計算機網(wǎng)絡(luò)中局域網(wǎng)進行選擇，提供對應(yīng)安全服務(wù)。

6 結(jié)語

綜上所述，網(wǎng)絡(luò)攻擊技術(shù)在不斷提高，網(wǎng)絡(luò)安全防范任重而道遠。有關(guān)部門要高度重視網(wǎng)絡(luò)安全問題的影響，充分利用當(dāng)下的新技術(shù)和新策略來預(yù)防和解決網(wǎng)絡(luò)安全問題，使得網(wǎng)絡(luò)健康、安全的發(fā)展。此外，各個互聯(lián)網(wǎng)企業(yè)要針對不斷出現(xiàn)的網(wǎng)絡(luò)安全新問題進行及時的研究，積極開發(fā)新的網(wǎng)絡(luò)安全技術(shù)和新策略來進行應(yīng)對，從而進一步保障網(wǎng)絡(luò)安全的發(fā)展，進而有效促進社會各領(lǐng)域的健康、快速的發(fā)展。