計算機網絡安全中的防火墻技術應用

摘要：隨著計算機及其通信技術獲得突破，網絡時代的大幕也隨之降臨。毫無疑問的，計算機互相通信所形成的數據網絡徹底地改變了所有人的生活方式，并給人們的生活留下了深深的烙印。無獨有偶，計算機網絡給社會帶來諸多便利的同時，其中蘊藏的危險也時刻威脅著網絡用戶的信息與隱私安全。為了減少網絡攻擊帶來的負面影響，必須對網絡安全防范工作重視起來，為此，本文就計算機網絡安全中的防火墻技術的應用情況進行簡要的分析。

關鍵字：計算機網絡安全;數據通信網絡;防火墻技術應用

經過多年的發展，互聯網技術通過技術融合，其觸角已經延伸到了社會的各個角落。然而網絡信息及集成化、通用化的這把雙刃劍，一方面在滿足普通民眾信息獲取需求，另一方面也給不法分子提供了竊取和破壞的渠道。基于此種情況，用于過濾訪問信息，甄別區分有害信息的防火墻應運而生，通過防火墻來保護企業內網信息，防范黑客網絡攻擊已成為企業信息部門的共識。

1 計算機通信網絡所面臨的網絡安全問題

1.1非法訪問與信息竊密

在網絡時代的大環境下，信息數據的安全問題逐漸引起人們的重視，其中發生概率最大，最令人防不勝防的網絡攻擊手段當屬非法訪問與秘密偵聽。首先，攻擊者通常以端口鏡像技術用終端應用層軟件截訪問取攻擊目標的合法報文，通過分析這些報文的發送規律、加密規律、訪問目的地址、物理地址映射關系等要素，如果攻擊目標的網絡安全防范措施不到位，其網絡系統存在的漏洞就有可能被不法分子所利用，使得攻擊者可以輕易的破解出其加密密鑰或訪問報文數據格式，然后攻擊者通過得到的信息偽造訪問報文對目標進行試探性攻擊，來檢測攻擊目標的網絡安全防范情況，一旦被攻擊目標對攻擊者偽造的報文發出非拒絕響應，攻擊者則會進一步增加非法訪問力度或嘗試提升偽造訪問權限，來盜竊獲取更多信息。

1.2數據綁架勒索與蓄意破壞

在計算機網絡安全方面，相比于用戶數據服務器所面臨非法訪問與秘密偵聽，發生有針對性的數據綁架與破壞的概率相對較小，但其危害性和影響范圍則遠大于前者。攻擊者對目標發起破壞性的網絡攻擊行為，需要首先搶占其關鍵節點設備和重要信息存儲網元的控制權限，這就需要事先在數據鏈路層、網絡層、傳輸層尋找缺省狀態下開啟，而沒有受到網絡安全措施監管的端口或協議。而后利用這些漏洞逐步破解其訪問控制數據，進而奪取攻擊目標的控制權限。以最近影響較為惡劣的勒索病毒為例，這種病毒是美國中情局開發的一種網絡戰武器，專門用于攻擊各種信息存儲節點，它的攻擊原理就是通過偽造打印機等外接設備訪問報文的頭部信息并用病毒程序作為其信息內核，在互聯網內廣播來偵測各個網關對445端口、138端口等非關鍵性邏輯端口的監管情況，如果攻擊報文通過了過濾，就會對其內網信息予以加密，最終實現勒索目的。

2.防火墻技術簡介

2.1訪問控制列表

防火墻作為屏蔽有害信息的重要硬件工具，其實現功能的最關鍵技術就是通過訪問控制列表或IP前綴對訪問報文做出限制性訪問策略，這在絕大多數企業機關的網絡設備上都有所部署。其工作原理是根據實際情況，在防火墻等網關設備上建立一個通過或拒絕策略，這個策略可以根據不同的網絡信息而設定，即可以針對源訪問IP地址段（根據掩碼設置）、目的IP地址段、指定MAC地址來過濾篩選信息，也可以針對自身的傳輸層邏輯端口設定。通過手動關閉常用端口和丟棄未知來源的可疑報文，就可以在很大程度上避免了上文中提到的攻擊手段。除此之外，利用在防火墻上部署ACL（訪問控制列表）也可以對訪問的合法報文做標簽，然后通過對標簽的管理和監控，來實現對網絡流量的管理監控。

2.2加密VPN技術

目前很多企業的業務都有異地數據通信需求，而將企業隱私信息在互聯網上直接傳播不利于信息安全，也給自身的網絡安全帶來隱患。在此情況下VPN技術應運而生，虛擬專業隧道技術，既VPN技術是利用互聯網的既有物理傳輸介質傳輸專網報文，因此這種技術天生具有加密傳輸的特點，非常適合網絡安全協議的部署。常見的VPN技術包括通過防火墻設置出入棧號的IPsec VPN、利用MPLS標簽尋址的MPLS VPN、利用鏈路層VLAN tag堆疊傳播的所謂“二層vpn”等多種技術。這些vpn根據企業規模大小、傳輸業務特點進行選擇性部署，但都需要防火墻作為其不同地點網關而存在。

3.防火墻技術在網絡中的運用情況

3.1對用戶網絡行為進行監管

上文中提到，防火墻具有過濾訪問報文、阻止可疑數據通過的功能，從廣義上講，這種功能就是網絡行為監管功能的一種體現。防火墻利用自身的網關功能，根據控制列表選擇性通過不僅針對于外部，對于內部報文的流出，防火墻也可以有針對性的放行，這種功能在很多企業也得到應用，主要目的同樣是對用戶的網絡行為進行監管，比如在工作期間防止員工瀏覽淘寶、天貓等非工作用途的網頁或玩網絡游戲等。另一方面，防火墻還具有“交通警察”的功能，在傳輸資源不足導致信道擁塞時，防火墻可以根據QOS協議或令牌環對數據通過的優先級進行排序，用流量行為和流量策略互相配合讓緊急重要的業務數據優先通過，而對實時性不敏感，或者非緊急的次要業務延后通過。

3.2、訪問用戶信息與流量監控

防火墻技術對于網絡安全的作用，一方面體現在對用戶網絡行為的管理方面，另一方面則體現在其對與網絡流量的統計和監控方面。雖然流量的統計分析與監控對網絡安全的提升起到的作用并不是立竿見影，但是通過防火墻對數據流量的數據匯總可以有效的檢測出網絡安全存在的隱患，對提升網絡性能，修補安全漏洞提供了有力的依據。目前防火墻廠家主要包括華為、思科等，這些廠商在防火墻的功能完善與人機交互方面都對流量的監管進行了優化，不僅繼承了VRP代碼的強大功能，還增加了圖形化操作，方便了學習和使用。此外，通過設置流量參數或者設置圖表，可以一目了然的看出產生流量最多的幾種應用，或IP地址，通過分析這些用戶行為，也能排查出可能存在的異常。

結束語：

計算機網絡技術的廣泛應用大大提升了社會生產力，但是從另一方面來看，計算機網絡安全問題也日益嚴峻，做好網絡安全防范措施就顯得格外關鍵。該文先就計算機網絡安全以及安全威脅的特征進行闡述，然后就計算機網絡安全問題以及安全技術和防范策略詳細探究，希望能通過對計算機網絡安全技術的研究分析，能為解決實際問題有所裨益。

參考文獻

[1]袁康樂.計算機網絡安全中的防火墻技術應用[J].網絡安全技術與應用，2021（5）：11-13.

[2]趙茂伸，姜維.計算機網絡信息安全及其防火墻技術應用[J].通信電源技術，2021，38（3）：177-178.

作者簡介：楊敏（1978年5月），女，漢族，籍貫遼寧撫順，副教授，計算機工程碩士學位，研究方向為數據庫技術和計算機網絡。