計算機網絡安全中的防火墻技術應用

楊子鴻

（湖南省株洲市工業中等專業學校，湖南 株洲 412000）

1 簡析防火墻技術的概念及特點

1.1 概 念

計算機網絡安全防火墻主要指的是借助各種安全管理和篩選的軟硬件設備應用，為計算機在內網與外網之間相對隔絕的保護屏障創建提供幫助，進而達到為用戶基本資料提供保護和對信息安全提供保障的目的。其置于內網與外網之間的位置，在實際的應用過程中能夠讓不具備威脅性的信息順利通過，將一些存在威脅的信息阻止在外，原理如圖1所示。在這種情況下，防火墻技術能夠很大程度上增強網絡安全憑證，同時避免了計算機內部信息泄露情況的發生。除此之外，其對于計算機網絡的訪問與存取信息的檢查及監控也有重要意義，全面提升了計算機網絡的安全程度。防火墻技術的結構非常復雜，同時其形式非常多樣。實際應用過程中被應用最多的是IP協議的裝載，就是在已經擁有的IP協議上進行防火墻軟件的安裝[1]。

圖1 防火墻應用原理

1.2 特 點

計算機網絡技術的應用過程中，存在最嚴重的安全風險是信息的風險。第一，符合網絡信息安全條件的網絡信息才能順利通過防火墻。這種技術的應用有效避免了病毒和垃圾信息的入侵，其應用的原理在于有效阻斷信息傳遞的過程，有效攔截信息中的病毒及相應的垃圾信息，進而加強了計算機網絡信息的安全維護。第二，防火墻自身具有非常強的免疫功能，能夠有力抵御各種黑客和病毒的攻擊，同時在實際的計算機整體工作性能維護過程中，防火墻具有認證各類信息是否安全、阻斷不良信息傳遞以及實現維護網絡信息整體安全的強大功能[2]。

2 防火墻的基本類型

2.1 分組過濾型

分組過濾型的防火墻是現階段被應用最為廣泛的安全手段。其具有經濟支出較少和網絡安全保護效果好的特點，因此深受各個企業的青睞。在實際的應用過程中，分組過濾型防火墻最主要的作用是在計算機網絡的網絡層及傳輸層按照分組包頭源地址、目的地址、端口號以及協議類型等信息的相關條件，確定其是否能夠通過防火墻，只有滿足相關條件的信息和數據才能夠通過防火墻進入相應的目的地和出口端。對于經過檢測后不滿足條件的數據，將會從數據流中丟棄。將此類透明的防火墻系統設置于包過濾路由器上，在實際的應用過程中不僅具有配置簡單的特點，而且其對網絡性能的提升具有重要意義。但是此類防火墻在實際的應用過程中也存在一定的問題，就是信息過濾的范圍比較小，只能對網絡層及傳輸層的數據信息進行過濾，部分協議無法過濾，同時其缺少一定的信任度，導致其在實際運用過程中存在較大的漏洞[3]。

2.2 應用代理型

通常情況下，應用代理型的防火墻被主要應用在計算機網絡中的應用層，在應用的過程中，其將對應用服務進行專門代理程序的編制，進而實現對應用層通信流的高效監控。在實際的使用過程中應當注意的是，代理服務需要嚴格控制內外部主機連接的場合，若內外部主機本身能夠進行相互通信，那么就不必要使用代理服務，即便使用代理服務，其作用也不能夠被完全發揮出來。此外，代理服務器在使用的過程中并不能將用戶的所有服務請求都提交到互聯網服務器中，所以只能夠在一定程度上控制用戶的請求，有些請求甚至會被直接否定。由于代理應用型的特殊應用程序，每一種服務類型需要其特定的代理，在這種情況下服務器端需要進行非常復雜的配置，代理軟件通常分為服務器端軟件和客戶端軟件，所以在客戶實際應用此類型防火墻的過程中應當安裝相應的軟件或作出相應的網絡設置[4]。

2.3 狀態檢測型

狀態檢測型的防火墻在實際應用過程中并沒有使用包過濾防火墻，僅僅是通過IP地址及幾個有限的參數防護計算機網絡。此類防火墻應用的核心在于通過創設狀態連接表，使每個進入計算機網絡內部的數據轉化成為會話的形式，然后按照實際狀態連接表創設過程中的對話狀態對整個傳輸過程進行全面、完整的控制。這種類型的防火墻可以被應用于很多類型的網絡環境，即便在規則復雜的大規模網絡中也具有非常強的使用意義[5]。

狀態檢測性防火墻的實際應用過程中，當防火墻接收到初始化TCP連接的SYN包時，這個數據包被防火墻的規則庫進行詳細檢查。在檢查過程中，此SYN包在規則庫中依次檢測，當所有規則在自動檢測后沒有被接受，那么就會導致被拒絕，此時一個RST的數據包就會被發送到遠端的機器。若此包能夠被接受，那么這個繪畫記錄將會被送到位于內核模式狀態的監測表里，此時應當進行時間溢出值的設置。沒有SYN標志的數據包就會進行與該狀態監測表內容的比較，若比較結果顯示會話處于狀態表內，則數據包屬于會話的一部分，這時數據包會被接受，反之該數據包會被丟棄[6]。狀態檢測型防火墻的原理如圖2所示。

圖2 狀態檢測型防火墻的原理

3 現階段常見的計算機網絡安全隱患

3.1 計算機網絡硬件

在計算機網絡技術的實際應用過程中，影響計算機網絡安全的最主要因素是計算機網絡的硬件設施。實際的應用過程中，各類計算機硬件設施本身就存在不同等級的安全隱患。通常情況下，出現頻率比較高的有電子輻射泄露和電磁信息泄漏等，這種現象的發生將會導致計算機網絡中很多信息被泄露，進而出現泄密和竊密威脅。除此之外，很多安全問題體現在通信層面，大多數的數據信息交換及傳遞是通過光纜、專線以及微波等線路進行。在這個過程中，電話線、微波以及專線線路中流經的信息非常容易被不法分子獲取，同時計算機在運行過程中，一些已經有的操作系統和硬件之間也可能存在很大的脆弱性，最終導致系統應用受到嚴重的安全威脅[7]。

3.2 計算機軟件漏洞

現階段，大量應用性能比較高的軟件在設計之初就存在很多的漏洞及缺陷問題，計算機操作系統也是這樣。在計算機系統主機的實際運行過程中，經常會存在具有獨立性的明顯漏洞。在這種情況下，很多攻擊人員會借助漏洞對計算機系統進行破壞，可能導致主機逐漸陷入癱瘓狀態，使多項資料丟失，進而對系統的穩定運行造成嚴重的負面影響[8]。

3.3 黑客惡意攻擊

在計算機網絡技術的使用過程中，黑客攻擊屬于人為的網絡安全問題，這種現象的出現將會對計算機網絡安全造成嚴重的危害。黑客攻擊人員會選擇很多種方法對系統中出現的運行問題進行集中判定，查找系統運行存在的漏洞，并借此漏洞對其進行攻擊，進而導致計算機內部信息丟失，甚至造成計算機癱瘓。現階段，黑客攻擊人員大多數使用的方式是信息攔截和數據竊取等入侵方式，對系統進行攻擊，導致系統中很多重要數據遭到破壞，進而造成系統運行的癱瘓，從而對網絡安全產生較大的負面影響[9]。

3.4 木馬病毒

木馬病毒是最為常見的病毒，這種病毒大多隱藏于計算機的某些程序中，一旦計算機應用人員打開含有病毒的程序，那么病毒就會被激發。病毒被激發后對計算機的應用功能及數據的信息安全造成嚴重的威脅，甚至可能會使計算機陷入癱瘓狀態。木馬病毒之所以被稱之為病毒，主要是因為其具有超強的傳播復制能力，同時計算機應用人員運行含有病毒的程序時，也會導致計算機現有的文件及程序遭到木馬病毒的入侵。尤其是在現階段開放性極強的網絡環境中，木馬病毒的復制和傳播效率得到了很大提升，能夠偽裝在很多類型的軟件中，而且在實際的應用過程中木馬病毒會引導大量用戶下載并安裝此類軟件。用戶將此類軟件下載到計算機之后，木馬病毒就會第一時間進行相應權限的獲取，對計算機用戶信息資料產生較大的安全威脅[10]。

4 完善計算機網絡安全中的防火墻技術應用的對策

4.1 應用復合技術

復合型防火墻技術的應用是在應用代理防火墻和包過濾防火墻的基礎上，將兩種防火墻的優勢進行高效結合，在實際的使用過程中能夠彌補互相之間的不足。此類復合型的防火墻技術在整個計算機內部網絡中能夠起到不同等級的保護作用。借助對計算機中存在的各種可能對安全產生問題的因素進行高效判斷，有效阻止外部的不良入侵，其主要的運行機制在于通過認證形式為網絡安全提供保障，通過引用動態過濾方式實現信息的安全交換。

4.2 網絡監控日志

在計算機的使用過程中，網絡監控日志主要包括的是計算機網絡技術在實際運行過程中產生的全部信息。一旦發生網絡安全問題，監控網絡日志能夠幫助操作人員提升發展問題的效率，對于提升計算機網絡安全質量具有非常積極的意義。與此同時，在防火墻技術的實際應用過程中能夠幫助管理人員以最快的速度發現網絡日志中的有效信息，進而達到提升防火墻性能的目的，尤其是利用防火墻能夠記憶防病毒程序，加強過程控制及清理力度，實現有效的網絡日志控制，將防火墻收集到的全部信息存儲在數據庫中，然后進行信息提取，進而達到屏蔽目的[11]。

4.3 合理應用代理防火墻

在計算機網絡安全設置中，合理應用代理防火墻能夠提升網絡安全防護質量。當計算機內網需要進行外網訪問時，為了防止在訪問過程中出現安全風險，可以借助代理防火墻進行訪問動作的代理執行，然后將外網信息傳輸到內網中。在進行外網訪問的過程中，所有被訪問到的數據都會經過防火墻的處理，所以具有非常高的安全性，同時能夠很高效地滿足用戶的訪問需求。

5 結 論

隨著計算機網絡系統應用的普及程度越來越高，各行各業的發展都離不開計算機網絡技術的支持，其有效應用在很大程度上能夠促進我國經濟的高效發展，但在實際的應用過程中仍存在很多問題。對此，應當進一步完善防火墻技術，進而實現我國計算機網絡系統的高效應用。