防火墻技術在網(wǎng)絡安全中的應用研究

王洪斌

摘要：互聯(lián)網(wǎng)技術、信息技術的發(fā)展，極大地改變了現(xiàn)代人的生活、學習方式，在帶給我們極大便利的同時，也給我們帶來了巨大的安全隱患。在信息時代的今天，如何有效地保護企業(yè)、個人信息數(shù)據(jù)的安全給網(wǎng)絡管理人員帶來了新的挑戰(zhàn)，而防火墻技術則為保護網(wǎng)絡的信息安全提供了很好的保障。本文從防火墻的基本原理、工作模式、結(jié)構、網(wǎng)絡安全的現(xiàn)狀與面臨的問題等進行了簡單的介紹，最后分析了防火墻技術在網(wǎng)絡安全中的主要應用。

關鍵詞：防火墻技術;網(wǎng)絡安全;應用研究;信息安全;安全隱患與漏洞

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）21-0044-02

開放科學（資源服務）標識碼（OSID）：

隨著計算機網(wǎng)絡技術、信息技術的飛速發(fā)展，在享受網(wǎng)絡帶給我們便利的同時，也存著極大的安全隱患和漏洞，例如個人、企業(yè)數(shù)據(jù)信息的泄露，黑客的非法入侵，系統(tǒng)的非授權訪問等。因此，在網(wǎng)絡安全中應用防火墻技術，可以極大地提高網(wǎng)絡安全性，有效保護網(wǎng)絡中信息數(shù)據(jù)的安全，促進計算機網(wǎng)絡的安全發(fā)展。

1 防火墻技術概述

防火墻是位于企業(yè)內(nèi)部網(wǎng)絡和外部互聯(lián)網(wǎng)絡之間的一道屏障，是內(nèi)網(wǎng)與外網(wǎng)之間的連接橋梁，它是由計算機硬件和軟件組成的系統(tǒng)，通常部署于內(nèi)網(wǎng)邊界，用于對進出內(nèi)網(wǎng)的數(shù)據(jù)進行檢查、分析和保護，防止黑客的非法入侵、非授權訪問、惡意攻擊等，從而有效的保護內(nèi)網(wǎng)的數(shù)據(jù)安全。

1.1 防火墻工作原理

防火墻位于內(nèi)網(wǎng)邊界，它是由計算機軟件和硬件組成的系統(tǒng)，它通過對進出內(nèi)網(wǎng)的數(shù)據(jù)包進行分析檢查，然后根據(jù)相應的規(guī)則，允許或禁止來自某些IP地址或發(fā)送到某些目標IP地址的數(shù)據(jù)包，以及相應的協(xié)議等，從而保護網(wǎng)絡的安全。

目前常用的防火墻，通常采用的安全控制手段有狀態(tài)檢測、代理服務、包過濾技術等，其中包過濾技術是應用最廣泛的一種簡單有效的安全技術。

1.2 防火墻技術分類

根據(jù)防火墻安全控制手段及實現(xiàn)技術的不同，主要分為包過濾防火墻、應用代理防火墻、狀態(tài)檢測防火墻三類，其中包過濾應該最為廣泛。

包過濾防火墻技術在網(wǎng)絡層對進出內(nèi)網(wǎng)的數(shù)據(jù)包進行檢查，檢查每個IP數(shù)據(jù)包中的源地址、目的地址、通訊端口號、協(xié)議等，然后根據(jù)系統(tǒng)內(nèi)設置的訪問控制列表來確定是否允許該IP數(shù)據(jù)包通過。特點是邏輯簡單、成本低、處理速度快、安裝使用簡單、網(wǎng)絡性能好。

應用代理防火墻技術在網(wǎng)絡安全中的應用也十分常見，該防火墻技術能在特定的代理技術支持下，參與到另一個TCP連接的過程當中。它的核心技術是代理服務器技術，即將內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離，代理內(nèi)部網(wǎng)絡中的計算機系統(tǒng)與外部網(wǎng)絡之間的數(shù)據(jù)傳遞與連接請求。例如，當內(nèi)部網(wǎng)絡中的計算機系統(tǒng)需要訪問外部網(wǎng)絡時，需要通過代理防火墻進行訪問。同時，通過代理防火墻還可以實現(xiàn)從外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡的效果。應用型代理防火墻技術在應用層對數(shù)據(jù)包進行全面詳細的分析、相關的安全檢查，并且將檢查過程中形成的信息納入決策中，在隱藏內(nèi)網(wǎng)、保護內(nèi)網(wǎng)免受外網(wǎng)攻擊的同時，促進計算機網(wǎng)絡更加安全可靠的運行，特點是有效的保護內(nèi)網(wǎng)安全，但處理速度慢。

狀態(tài)檢測防火墻可以根據(jù)動態(tài)的狀態(tài)信息進行檢查，并做出相應的處理。狀態(tài)檢測防火墻采用基于連接狀態(tài)的檢測機制，以流量為單位來對報文進行檢測和轉(zhuǎn)發(fā)，即對一條流量的第一個報文進行包過濾檢查，并將處理的結(jié)果作為狀態(tài)記錄下，然后對于該流量后面的數(shù)據(jù)傳輸報文都直接根據(jù)之前記錄下的狀態(tài)進行判斷處理。狀態(tài)檢測防火墻既保留了包過濾防火墻的優(yōu)點，同時對應用又是透明的，在此基礎上，其網(wǎng)絡安全性也得到了大幅的提升，狀態(tài)檢測防火墻不僅檢查進出網(wǎng)絡的數(shù)據(jù)包，同時還要檢查數(shù)據(jù)包的狀態(tài)，可以說，狀態(tài)檢測防火墻規(guī)范了網(wǎng)絡層和傳輸層的行為。所以說它克服了包過濾防火墻和應用代理防火墻的局限性。

在實際的網(wǎng)絡安全技術應用中，并不是只采用某一種防火墻技術，通常需要將幾種防火墻技術綜合運用，才有更有效的提高網(wǎng)絡的安全性、管理的高效性。

2 網(wǎng)絡安全現(xiàn)狀、面臨的安全問題

隨著網(wǎng)絡、信息技術的發(fā)展，網(wǎng)絡應用的深入，網(wǎng)絡的安全問題也逐漸得到了人們的重視，雖然相關的安全技術也在網(wǎng)絡中得到了應用，但目前的網(wǎng)絡安全形勢仍然非常嚴峻，也越來越復雜。例如個人信息泄露及非法使用、企業(yè)數(shù)據(jù)信息的泄露、針對網(wǎng)絡設備的攻擊等安全問題等，主要體現(xiàn)在以下幾個方面：

1）針對軟硬件的網(wǎng)絡攻擊日益嚴重

伴隨著應用的深入，特別是云計算、云平臺技術的發(fā)展，網(wǎng)絡軟硬件設備的安全漏洞給網(wǎng)絡安全帶來了嚴重威脅。黑客利用發(fā)現(xiàn)的網(wǎng)絡操作系統(tǒng)或硬件設備的漏洞，對網(wǎng)絡設備進行攻擊，從事非法的活動，例如，非法入侵計算機系統(tǒng)破壞數(shù)據(jù)與程序、竊取網(wǎng)絡上的用戶數(shù)據(jù)信息、利用特洛伊木馬竊取網(wǎng)絡中用戶的賬號和密碼、竊取網(wǎng)絡中的商業(yè)或軍事機密等，對網(wǎng)絡的安全造成了嚴重的威脅。

2）個人信息和企業(yè)數(shù)據(jù)的泄露

個人信息和企業(yè)數(shù)據(jù)的泄露將給基于互聯(lián)網(wǎng)構建的信息化社會帶來巨大的隱患，個人信息的泄露會直接影響到個人的隱私和經(jīng)濟利益，導致相應的網(wǎng)絡犯罪和社會問題。而企業(yè)數(shù)據(jù)的泄露不僅會導致企業(yè)的經(jīng)濟損失，甚至可能會影響到國家的發(fā)展和安全利益。特別是在云計算技術應用深入發(fā)展的今天，越來越多的個人和企業(yè)通過網(wǎng)絡進行數(shù)據(jù)信息的存儲、處理等，因此，個人信息和企業(yè)數(shù)據(jù)的泄露是嚴重的網(wǎng)絡安全問題。例如，美國的臉譜網(wǎng)曾經(jīng)遭受網(wǎng)絡攻擊，導致5000多萬用戶的隱私信息面臨泄露的風險。

3）關鍵系統(tǒng)越來越容易受到攻擊

隨著遠程監(jiān)控技術和物聯(lián)網(wǎng)技術的發(fā)展與應用，操作技術與IT技術的融合，關鍵系統(tǒng)越來越容易受到網(wǎng)絡的攻擊。例如，物聯(lián)網(wǎng)的設備制造商很少考慮到網(wǎng)絡的安全問題，因此，導致了黑客利用物聯(lián)網(wǎng)設備進行一系列的網(wǎng)絡攻擊。同時隨著物聯(lián)網(wǎng)技術的發(fā)展與應用的深入，未來的網(wǎng)絡安全問題將會更加復雜和日益嚴重。