防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用研究

徐暢

引言

信息時(shí)代下，誠(chéng)然網(wǎng)絡(luò)技術(shù)的快速發(fā)展給企業(yè)帶來了一系列的發(fā)展。但是，網(wǎng)絡(luò)技術(shù)再怎么發(fā)達(dá)，它仍然有弊端，如果處理不好，將會(huì)對(duì)企業(yè)造成不必要的損失。尤其是近幾年隨著國(guó)際格局的變化，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)破壞、網(wǎng)絡(luò)安全等問題層出不窮，企業(yè)財(cái)務(wù)和私人信息被盜取的情況頻繁出現(xiàn)，黑客與病毒的入侵導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，嚴(yán)重影響企業(yè)的正常運(yùn)轉(zhuǎn)。相關(guān)部門一直在研究先進(jìn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，并且致力于將其科學(xué)合理地應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)中。其中應(yīng)用防火墻技術(shù)可以阻止外來的非法用戶進(jìn)入用戶自身的網(wǎng)絡(luò)，從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行有效的保護(hù)[1]，在企業(yè)網(wǎng)絡(luò)安全保障中有著不可替代的地位。同時(shí)隨著網(wǎng)絡(luò)攻擊手段的不斷升級(jí)，防火墻扮演的角色也發(fā)生變化，對(duì)此必須提高重視，通過充分應(yīng)用防火墻技術(shù)真正做好企業(yè)網(wǎng)絡(luò)安全防護(hù)工作，為企業(yè)發(fā)展保駕護(hù)航。

一、防火墻技術(shù)概述

防火墻指的是設(shè)置在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防御系統(tǒng)，可以有效增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全性。目前主要使用的防火墻技術(shù)有以下幾種類型：第一是系統(tǒng)自帶的防火墻，比如windows系統(tǒng)為用戶提供的防火墻服務(wù)，用戶可以選擇打開或者關(guān)閉，但多數(shù)用戶為了不影響計(jì)算網(wǎng)絡(luò)的性能都會(huì)選擇關(guān)閉防火墻，而這也是引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題的原因之一。第二是各種安全防護(hù)軟件，比較有代表性的是360安全衛(wèi)士、騰訊安全衛(wèi)士等，在防止木馬病毒攻擊等方面具有較好的效果。第三是對(duì)信息安全要求較高的部門或者企業(yè)自行開發(fā)的防火墻，這類防火墻具有極其強(qiáng)大的防護(hù)能力，可以精準(zhǔn)識(shí)別各種有害信息。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，影響信息安全的因素越來越多，相關(guān)攻擊手段在不斷變化，因此需要不斷更新和完善防火墻技術(shù)，這樣才能保證其具備最強(qiáng)大的防護(hù)能力。

雖然防火墻技術(shù)可以有效保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全，但其本身也具有一定劣勢(shì)，比如防火墻不能完全抵擋所有電腦病毒的攻擊，一些較為復(fù)雜的電腦病毒還需要由專業(yè)人員使用專業(yè)工具進(jìn)行解決，甚至需要重新安裝計(jì)算機(jī)系統(tǒng)才能將病毒完全排除。而且防火墻會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的性能產(chǎn)生一定影響，因此很多人為了保證計(jì)算機(jī)網(wǎng)絡(luò)的最優(yōu)性能會(huì)選擇關(guān)閉。

二、防火墻特性及類型

（一）分組過濾型防火墻

在防火墻技術(shù)中，分組過濾型防火墻是基礎(chǔ)，其功能十分重要。在計(jì)算機(jī)網(wǎng)絡(luò)的安全性方面，采用包過濾式的防火墻技術(shù)，不但十分簡(jiǎn)便，而且能夠?qū)崟r(shí)地處理網(wǎng)絡(luò)所接入的各種設(shè)備。另外，對(duì)于某些IP端口和TCP端口號(hào)，可以根據(jù)實(shí)際情況進(jìn)行調(diào)整，如在采用防火墻技術(shù)時(shí)，允許或禁用消息。通過對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和處理（過程如圖1所示），有效地控制在數(shù)據(jù)包周圍的所有網(wǎng)絡(luò)。一般說來，這種技術(shù)更多地被使用者所采用。與其他的技術(shù)相比，包過濾式的網(wǎng)絡(luò)防火墻具有快速、高效的數(shù)據(jù)傳遞能力。在采用包過濾式防火墻技術(shù)的過程中，對(duì)使用者具有高度的開放程度。另外，采用這種技術(shù)只能在電腦內(nèi)進(jìn)行傳輸，如果沒有清晰的消息源，則無(wú)法透過包過濾式的防火墻。

圖1 包過濾防火墻數(shù)據(jù)包處理過程

（二）網(wǎng)關(guān)型防火墻

此類防火墻技術(shù)具有較強(qiáng)的防護(hù)能力，而且在使用過程中還可以不斷進(jìn)行自我升級(jí)，能夠有效應(yīng)對(duì)大部分木馬病毒和黑客攻擊。使用這種防火墻技術(shù)過程中，會(huì)多次驗(yàn)證正在傳輸?shù)臄?shù)據(jù)，只有數(shù)據(jù)通過驗(yàn)證才能夠傳輸成功，如果出現(xiàn)了驗(yàn)證不成功的情況，可以立即提示并阻止數(shù)據(jù)傳輸。通常情況下網(wǎng)絡(luò)級(jí)防火墻的默認(rèn)規(guī)則是要求防護(hù)墻丟棄該IP包，以防止惡意非法信息入侵計(jì)算機(jī)系統(tǒng)。網(wǎng)關(guān)防火墻技術(shù)共有兩種，其一是直通式防火墻，其二是連接網(wǎng)關(guān)防火墻，后者擁有比較多的認(rèn)證信息條款，前者的使用比較簡(jiǎn)便，用戶可以根據(jù)需求隨意選擇。

（三）代理服務(wù)型防火墻

代理防火墻主要是在特定的技術(shù)支持下，防火墻通過參與另外一個(gè)TCP連接的過程，從而使得防火墻順利運(yùn)行。其工作原理是如果要瀏覽網(wǎng)絡(luò)則讓代理服務(wù)器進(jìn)行審查，對(duì)請(qǐng)求和設(shè)置的防火墻策略進(jìn)行比較，如果符合就向地址信息發(fā)送請(qǐng)求，取回信息之后，由防火墻發(fā)給客戶的計(jì)算機(jī)，提高企業(yè)網(wǎng)絡(luò)整體的安全性。

（四）復(fù)合型防火墻

復(fù)合型防火墻不僅具備包過濾與代理技術(shù)的優(yōu)點(diǎn)，還具備二者不曾擁有的綜合性，大大保障了企業(yè)網(wǎng)絡(luò)的穩(wěn)定性與安全性，使單一種類防火墻技術(shù)的缺點(diǎn)得以彌補(bǔ)。其工作原理是數(shù)據(jù)包過濾性和代理服務(wù)相結(jié)合的防護(hù)墻，具有非常高的靈活性和安全性。此外復(fù)合型防火墻還可以對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)行多重防護(hù)，不僅可以實(shí)現(xiàn)對(duì)于重要信息的實(shí)時(shí)監(jiān)控，還能有效排除惡意信息。

三、企業(yè)網(wǎng)絡(luò)安全使用過程中存在的問題

（一）網(wǎng)絡(luò)軟件存在漏洞

為確保企業(yè)在競(jìng)爭(zhēng)中保持優(yōu)勢(shì)，必然會(huì)依賴網(wǎng)絡(luò)軟件。然而即便網(wǎng)絡(luò)軟件歷經(jīng)數(shù)次版本更迭，網(wǎng)絡(luò)漏洞的產(chǎn)生始終不可避免，這就容易給黑客留下可乘之機(jī)。黑客利用軟件中的安全漏洞，去竊取企業(yè)的信息或是植入木馬等。回顧歷年來的黑客攻擊企業(yè)事件，網(wǎng)絡(luò)軟件漏洞的危害始終不容小覷。

（二）人為因素導(dǎo)致的失誤

人為因素導(dǎo)致的失誤在企業(yè)網(wǎng)絡(luò)工作中的影響也是較為廣泛的，按照當(dāng)事人的主觀意圖可分為無(wú)意失誤與惡意失誤兩種。無(wú)意失誤系操作人員安全配置不當(dāng)或企業(yè)用戶安全意識(shí)的匱乏，進(jìn)而導(dǎo)致企業(yè)網(wǎng)絡(luò)安全漏洞的產(chǎn)生。而人為的惡意失誤也是危害企業(yè)網(wǎng)絡(luò)安全的重要因素之一。人為的惡意因素導(dǎo)致的網(wǎng)絡(luò)安全問題主要包括被動(dòng)攻擊和主動(dòng)攻擊兩個(gè)方面。所謂被動(dòng)攻擊主要指的是不影響網(wǎng)絡(luò)工作為基礎(chǔ)進(jìn)行的破譯、盜竊以及截獲信息等，進(jìn)而造成機(jī)密核心數(shù)據(jù)信息的丟失。所謂主動(dòng)攻擊指的是使用不同的方法對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行選擇性地破壞，使得信息的完整性和有效性遭到嚴(yán)重的破壞[2]。無(wú)論是哪一種攻擊都會(huì)導(dǎo)致企業(yè)的網(wǎng)絡(luò)安全受到威脅，進(jìn)而導(dǎo)致企業(yè)的數(shù)據(jù)信息發(fā)生泄露，影響企業(yè)的發(fā)展。

（三）網(wǎng)絡(luò)大環(huán)境不固定

現(xiàn)階段網(wǎng)絡(luò)的使用已經(jīng)遍及全球，其面臨的社會(huì)大環(huán)境非常不固定，這也是企業(yè)網(wǎng)絡(luò)安全所面臨的問題之一。當(dāng)前的網(wǎng)絡(luò)終端使用權(quán)限缺乏完善性，在應(yīng)用互聯(lián)網(wǎng)的過程中掌控權(quán)也相對(duì)不足，加之企業(yè)內(nèi)部的網(wǎng)絡(luò)維護(hù)較差，使得外部力量對(duì)企業(yè)網(wǎng)絡(luò)的攻擊時(shí)有發(fā)生，企業(yè)網(wǎng)絡(luò)面臨非常大的風(fēng)險(xiǎn)。企業(yè)網(wǎng)絡(luò)安全面臨來自全球網(wǎng)絡(luò)的破壞性攻擊，進(jìn)而嚴(yán)重影響到企業(yè)的發(fā)展。

（四）網(wǎng)絡(luò)終端過度開放

互聯(lián)網(wǎng)的迅速發(fā)展使得信息互通有無(wú)成為可能，資訊實(shí)現(xiàn)全球共享。如此龐大的資源互通性使得網(wǎng)絡(luò)的使用者對(duì)網(wǎng)絡(luò)開放性的要求十分之大。因此，企業(yè)網(wǎng)絡(luò)會(huì)受到外部攻擊的開放性也逐漸增大。另外，由于互聯(lián)網(wǎng)終端的過度開放，互聯(lián)網(wǎng)使用的廣度和深度無(wú)法得到保障，因此網(wǎng)絡(luò)安全管理難度逐漸增大，企業(yè)的網(wǎng)絡(luò)安全受到影響。

（五）網(wǎng)絡(luò)訪問相對(duì)不受限

由于近年來的網(wǎng)絡(luò)形勢(shì)非常迅猛，因此互聯(lián)網(wǎng)的弊端也不斷涌現(xiàn)。追溯網(wǎng)絡(luò)發(fā)展史，在網(wǎng)絡(luò)普及的最初階段網(wǎng)絡(luò)的使用者并沒有進(jìn)行技術(shù)約定，因此網(wǎng)絡(luò)的訪問權(quán)限基本上處于完全開放的狀態(tài)。由于網(wǎng)絡(luò)訪問不受限制，因此各種題材的網(wǎng)絡(luò)信息都會(huì)出現(xiàn)，網(wǎng)絡(luò)市場(chǎng)良莠不齊，弊端不斷顯現(xiàn)。由于網(wǎng)絡(luò)訪問不受限，企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)無(wú)法得到充分的保障，進(jìn)而影響企業(yè)的良性發(fā)展。

四、企業(yè)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用要點(diǎn)

（一）明確導(dǎo)致信息安全問題的主要原因

明確導(dǎo)致信息安全問題原因，具體有以下幾個(gè)方面。第一是黑客攻擊，這是引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題中最常見的一種，通常黑客都會(huì)利用系統(tǒng)漏洞或者借助木馬病毒等入侵用戶的計(jì)算機(jī)，然后竊取信息，一部分黑客在竊取信息的同時(shí)不會(huì)留下任何痕跡，因此不會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成任何影響，但有些黑客在竊取信息的同時(shí)還會(huì)破壞信息完整性，導(dǎo)致用戶無(wú)法正常使用。第二是用戶錯(cuò)誤操作，有些用戶由于不懂得如何正確使用計(jì)算機(jī)網(wǎng)絡(luò)，比如在使用U盤等移動(dòng)存儲(chǔ)設(shè)備過程中沒有使用防護(hù)軟件進(jìn)行掃描，使用過程中感染了木馬病毒，進(jìn)而導(dǎo)致信息安全問題。第三是大量的垃圾信息，雖然垃圾信息本身不會(huì)損害計(jì)算機(jī)網(wǎng)絡(luò)信息安全，但如果信息量過大會(huì)直接導(dǎo)致系統(tǒng)崩潰，甚至損壞，這樣儲(chǔ)存在計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中的信息就無(wú)法再次使用。第四是系統(tǒng)的漏洞和防火墻漏洞，系統(tǒng)漏洞可能會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法正常運(yùn)行，或者在使用過程中破壞信息的完整性，而防火墻出現(xiàn)漏洞會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)非常容易受到攻擊。

（二）對(duì)訪問形式進(jìn)行科學(xué)的配置

在進(jìn)行計(jì)算機(jī)設(shè)備應(yīng)用的過程中，要想保證操作形式更加安全，需要對(duì)訪問形式進(jìn)行科學(xué)的配置，這也是防火墻技術(shù)應(yīng)用時(shí)，非常重要的一項(xiàng)內(nèi)容，可以提高信息數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性。一般情況下運(yùn)營(yíng)商首先要對(duì)計(jì)算機(jī)設(shè)備進(jìn)行全面了解，并且對(duì)功能進(jìn)行科學(xué)劃分，然后通過詳細(xì)的說明和指令的配置，提高訪問策略的科學(xué)性，使得計(jì)算機(jī)設(shè)備在運(yùn)行時(shí)更加高效。在進(jìn)行防火墻技術(shù)配置的過程中，可以提高計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全系數(shù)。運(yùn)營(yíng)商要對(duì)計(jì)算機(jī)設(shè)備的內(nèi)部應(yīng)用和外部環(huán)境進(jìn)行全面分析，并且明確企業(yè)的原始地址，設(shè)置TCP端口和UDP端口以及IP地址，嚴(yán)格按照設(shè)置順序，對(duì)其進(jìn)行科學(xué)的配置。在進(jìn)行防火墻技術(shù)應(yīng)用時(shí)，要想提高配置的安全性，要根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的類型，對(duì)信息數(shù)據(jù)進(jìn)行有效的分析，并且做好分類。要對(duì)不同類型的信息數(shù)據(jù)進(jìn)行科學(xué)的儲(chǔ)存，并且根據(jù)不同部門的建設(shè)要求以及應(yīng)用的設(shè)置需求，采取針對(duì)性的防護(hù)措施[3]。不僅要做好外部環(huán)境的防護(hù)，還要加強(qiáng)內(nèi)部環(huán)境的管理，避免在進(jìn)行信息數(shù)據(jù)傳輸時(shí)，出現(xiàn)安全性風(fēng)險(xiǎn)問題。要制定針對(duì)性的措施，對(duì)網(wǎng)站的安全性進(jìn)行自動(dòng)檢測(cè)和調(diào)查。應(yīng)用不同網(wǎng)站時(shí)，需要對(duì)信息的安全因素進(jìn)行充分考慮，并且制定針對(duì)性的防護(hù)措施，提高計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行效率。在應(yīng)用這項(xiàng)技術(shù)時(shí)，還可以對(duì)系統(tǒng)中的漏洞進(jìn)行全面的檢查。在對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行更新和升級(jí)之后，融合防火墻技術(shù)可以對(duì)系統(tǒng)運(yùn)行過程中存在的一些漏洞和隱患問題進(jìn)行自動(dòng)檢測(cè)，并且發(fā)出相應(yīng)的警示信息。確保用戶在使用時(shí)，能夠?qū)ο嚓P(guān)問題進(jìn)行及時(shí)的發(fā)現(xiàn)和解決。

（三）加強(qiáng)網(wǎng)絡(luò)日志的監(jiān)控

現(xiàn)階段，部分計(jì)算機(jī)用戶在對(duì)計(jì)算網(wǎng)絡(luò)應(yīng)用期間，會(huì)習(xí)慣使用防火墻防護(hù)的記錄來解析儲(chǔ)存在電腦內(nèi)的資料，確保使用者能夠獲得較多的資訊。因此，為了提高計(jì)算機(jī)的安全性能，必須加強(qiáng)對(duì)網(wǎng)絡(luò)的記錄能力的監(jiān)測(cè)。當(dāng)使用防火墻技術(shù)進(jìn)行日志解析時(shí)，使用者無(wú)需擔(dān)心任何影響，也無(wú)需擔(dān)心整個(gè)過程的繁瑣，只需專注于最重要的情報(bào)即可。

在日常電腦網(wǎng)絡(luò)的安全保護(hù)過程中，由于需要進(jìn)行較多的工作，因此，在保護(hù)過程中，會(huì)產(chǎn)生許多工作記錄。因此，在監(jiān)測(cè)系統(tǒng)的運(yùn)行中，必須根據(jù)當(dāng)前的實(shí)際情況，對(duì)不同類型的數(shù)據(jù)進(jìn)行適當(dāng)?shù)姆指睿箶?shù)據(jù)收集更為方便，同時(shí)也能完全杜絕惡意入侵行為，確保網(wǎng)絡(luò)的安全性。另外，準(zhǔn)確地錄入防火墻的告警，加強(qiáng)對(duì)其的管理，使企業(yè)對(duì)防火墻的性能有進(jìn)一步的認(rèn)識(shí)，了解電腦的網(wǎng)絡(luò)安全性，提高對(duì)網(wǎng)絡(luò)的有效防護(hù)。

（四）網(wǎng)絡(luò)安全策略中應(yīng)用防火墻技術(shù)

在網(wǎng)絡(luò)安全策略中應(yīng)用防火墻技術(shù)就是要求加強(qiáng)以防火墻為核心的一系列安全策略，將一些安全信息配置到防火墻上，例如，將口令、運(yùn)行身份、認(rèn)證、審查、加密等重要安全信息配置到防火墻上，與過去安全信息分散在其他主機(jī)或部位的策略相比較，集中配置在防火墻上的策略使其管理更加方便，安全性能也大大提高，實(shí)現(xiàn)了投入少、獲益高的目的。首先，在控制面板上設(shè)置防火墻的基礎(chǔ)信息；然后，將動(dòng)態(tài)IP地址轉(zhuǎn)換成靜態(tài)IP，借助于映射的方式構(gòu)建虛擬網(wǎng)絡(luò)IP，從而生成安全防護(hù)策略；最后，再將整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全策略添加至防火墻的安全策略中，保證每一個(gè)安全策略都可以持續(xù)平穩(wěn)的運(yùn)行，發(fā)揮防火墻的最大防護(hù)功能[4]。

（五）定時(shí)更新病毒庫(kù)

對(duì)那些聯(lián)網(wǎng)的計(jì)算機(jī)來說，計(jì)算機(jī)中不但存在著大量的數(shù)據(jù)和信息，而且和不聯(lián)網(wǎng)的計(jì)算機(jī)相比較也很容易遭到各種類型病毒的入侵，這會(huì)嚴(yán)重威脅用戶的個(gè)人財(cái)產(chǎn)數(shù)據(jù)及信息。另外，在企業(yè)中，當(dāng)一臺(tái)設(shè)備的計(jì)算機(jī)受到病毒的入侵，就很可能會(huì)導(dǎo)致整個(gè)企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)安全都遭受病毒的入侵，嚴(yán)重的可能會(huì)造成網(wǎng)絡(luò)癱瘓等，進(jìn)而影響企業(yè)的正常運(yùn)行[5]。雖然防火墻可以對(duì)一些病毒起到一定的防護(hù)作用，但是由于病毒更新?lián)Q代得比較快，致使防火墻不能完全地防護(hù)網(wǎng)絡(luò)病毒。所以，防火墻技術(shù)要定期更新病毒庫(kù)，以提升計(jì)算機(jī)網(wǎng)絡(luò)安全性。

結(jié)束語(yǔ)

綜上所述，企業(yè)網(wǎng)絡(luò)安全管理工作是一個(gè)長(zhǎng)期的過程，并逐漸與企業(yè)今后的發(fā)展形成緊密的聯(lián)系。因此，必須加強(qiáng)防火墻等技術(shù)手段的應(yīng)用，以提高網(wǎng)絡(luò)安全，確保信息數(shù)據(jù)的安全。防火墻技術(shù)屬于基礎(chǔ)性的防護(hù)措施，雖然為網(wǎng)絡(luò)安全問題掃除了一部分問題，一定程度上確保了企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，但是仍然存在一些固有障礙有待消除。為此企業(yè)需要在現(xiàn)有防火墻技術(shù)的基礎(chǔ)上，對(duì)其進(jìn)行持續(xù)的改善和優(yōu)化，提升企業(yè)市場(chǎng)核心競(jìng)爭(zhēng)力。只有確保網(wǎng)絡(luò)安全管理到位并不斷創(chuàng)新，方可確保生產(chǎn)經(jīng)營(yíng)活動(dòng)正常開展。