新環境下的計算機網絡信息安全及其防火墻技術應用探討

游江

（中鐵第五勘察設計院集團有限公司，北京 102600）

0 引言

在無網絡的時代，信息安全主要表現為實用性和單一性，即只有制定的人或者單位才能得到相關信息。但是在網絡時代中，信息安全內涵不斷豐富，涵蓋的領域和面向的用戶更加廣泛。為保障網絡環境信息傳遞和使用環境安全，需制定相關措施，確保網絡數據安全、網絡運行安全，有效阻斷和控制代碼的惡意傳播，高效阻止惡意代碼復制，為網絡運行環境創造穩妥的傳輸環境。

1 防火墻概念

網絡信息安全問題關系到未來網絡應用的深入發展，主要包含網絡設備、代碼程序、軟件設計、數據庫管理、進程保護、網絡運行、網絡結構等內容。通常采用的專用網絡與公開網絡的隔離技術被稱作“防火墻”技術。防火墻技術在網絡信息安全保護中有著至關重要的作用，在實際使用中需要注意3個方面。第一，目前市面上很多防火墻產品都會宣傳其有防控電腦病毒的作用，但實際上此類產品可能并不具備相關功能。第二，防火墻本身運行的特性會降低網絡的速度，影響人們的使用，如果想要提升網絡性能就需要選購一些高速路由器，這樣會增加使用網絡的成本。第三，防火墻技術可能存在一定漏洞，使用防火墻時會造成數據傳輸的延遲，一旦這種延遲過大就會影響用戶體驗。

2 當前計算機網絡信息安全面臨的問題

2.1 黑客、間諜行為

網絡黑客、間諜，是一群具備專業技術，網絡知識豐富，主動針對網絡發出的一種惡意行為人群，以獲取有價值的機密信息，手段不道德、不合法，因此普通網絡用戶很難防范黑客攻擊。全球性的黑客攻擊泛濫會給信息安全帶來嚴重危險，例如，通過操作系統I/O的驅動程序與系統服務，黑客或間諜人員通過模擬為系統打補丁或版本升級的方式進行惡意操作。或利用程序遠程激活和創建，在目標終端設備寫入類似“間諜”的軟件[1]，盜取目標數據。同時，利用操作系統“支持在網絡上傳輸文件”等功能，讓黑客輕而易舉地做成想做的事情，給使用者造成巨大的損失。

2.2 病毒的攻擊

計算機病毒是一種把自己的拷貝附著于機器中的另一個程序上的一段代碼。利用這種方式，讓病毒隨著某個軟件或者某段代碼，在網絡設備間肆意傳播、任意復制，還可以利用操作系統的一些服務程序偽裝，輕易繞過網絡的安全防御系統，成為威脅網絡安全的安全服務，它們傳播速度快，傳播范圍大，造成危害和損失極其嚴重。例如，2007年全網絡任意傳播的“熊貓燒香”和近幾年名聲大振的“勒索病毒”[2]，這兩個病毒都屬于蠕蟲病毒。被“熊貓燒香”看中的電腦，電腦的可執行程序圖標會變成“熊貓燒香”圖案，被“勒索病毒”看中的電腦，電腦內的文件會被自動加密，然后向電腦擁有者索要贖金，以便找回重要文件。而且隨著惡意使用者自身技術的進步，蠕蟲病毒的躲避能力和傳播傳播能力也逐漸變強，變身逐漸增多。據調查數據發現，現在蠕蟲病毒開始利用網頁進行傳播，如果客戶端進入訪問被添加了蠕蟲病毒代碼的網頁，就有可能導致自己的電腦被感染。

2.3 系統和軟件漏洞、后門的便利因素

由于操作系統和應用軟件設計不完善，導致查找系統缺陷和漏洞作為攻擊的首選目標。而且，軟件的“后門”更是一些病毒非常有力的幫手。軟件“后門”本是程序員在設計軟件時，方便自己測試或者漏洞查找預留的方便之門，一般都是不為外人所知，更不會對外公布，但是一旦被有心之人利用，其造成的后果將不可想象。

2.4 數據庫管理系統的原因

在網絡信息迅速發展的時代，在為企業和個人都帶來更好機遇的同時，也帶來了信息安全隱患。企業因為線上業務不斷拓大，面向全世界用戶的可能性也日漸增加，數據也越來越龐大，接觸世界任何一個客戶的機會彈指即可成真。因此，企業為建立一個穩定、高質量業務服務系統，必須要建設一個全面的數據庫。與此同時，數據庫包括金融、知識產權以及企業數據等各方面有價值和敏感的數據也就成為黑客的主要攻擊目標。例如，2003年的SQL Slammer蠕蟲病毒[3]，僅僅利用了短短的10分鐘，讓90%的脆弱設備感染了蠕蟲病毒。此次蠕蟲病毒能在幾分鐘內讓成千上萬的數據庫同時被傳染，讓龐大的數據庫數據瞬間聽它指揮。因為這個病毒發現并利用微軟SQL Server數據庫的漏洞，根據漏洞進行傳播，瞬間導致全球范圍內的互聯網癱瘓。

2.5 安全意識薄弱

網絡信息安全通常是根據網絡的硬件設備和軟件系統設定的，但是在很大程度上忽略了人這個關鍵因素。比如，網絡管理人員保密觀念不強、不懂保密規則、不遵守規章制度、業務不熟練、不能及時發現修補網絡漏洞，甚至責任心不強、操作失誤等，都可能讓網絡或信息遭遇破壞。

例如，廣州市一家經營網店，開辦的公司近期陸陸續續收到一些客戶的投訴，說店主以商品存在質量問題，可以辦理退貨退款為由，要求客戶添加一個指定微信，之后客戶收到一個假冒的支付寶鏈接網址，最終導致客戶在不知情的情況，被騙輸入支付賬號及密碼。多個客戶被騙金額高達10～20萬元。經警方偵查核實，確認為該網店新招的員工莫某所為，莫某將客戶私密信息從后臺管理數據庫導出，經過非法渠道進行買賣，將數據信息賣給不法人士，最后莫某及倒賣數據的上家賴某被警方一并抓獲。

3 防火墻技術分類及特點分析

在互聯網信息威脅日益猖獗的今天，防火墻已變成計算機網絡安全的一個重要組成部分，其殺毒軟件在網絡中也占據重要的地位。但是它和殺毒軟件卻又有著決然的不同，殺毒軟件是針對已經入侵病毒的破壞進行攔截，防火墻是將即將入侵的病毒攔截在網絡之外，保護計算機網絡免受非法入侵和破壞。防火墻是一種隔離技術，物理地將專用網絡和公開網絡隔斷，形成一個屏障，按照一定的規則為“允許”的放行，將不被允許的攔截。

表1 防火墻技術分類

3.1 數據包過濾型防火墻

數據包過濾防火墻的工作模式是打包各種類型的網絡端口、網絡地址或不同的數據，然后對這些整理好的數據包進行刪選。并注意核對每個數據包的原發地、目的地、協議等重要信息，然后依據一組預定義的規則，以允許合乎邏輯的數據包通過防火墻進入內部網絡，而將不合邏輯的過濾剔除掉。第一代防火墻就屬于過濾防火墻。

包過濾防火墻處理速度快，可以為用戶提供一種透明的服務，用戶不用學習新技能，也不用對應用程序進行改變，使用成本相對較低。但它不支持應用層協議，對應用層的攻擊無能為力；不能分辨好的和壞的用戶，只能區分好的和壞的數據包；只能實施靜態控制，且路由器的過濾規則設置和配置相對復雜，會面臨新的協議的威脅和IP欺騙。

3.2 代理服務型防火墻

代理服務型防火墻主要是針對數據包過濾和應用網關技術存在的缺點而設計的，起到了計算機內外系統隔離的作用。計算機的外部系統數據只能到達代理服務器，代理服務器會對外部系統傳輸的數據進行安全檢測，如果發現數據中存在安全隱患，就會及時發出報警信號，為網絡信息安全提供保障[4]。

代理型防火墻是通過一種計算機技術，自動參與到一個TCP連接的全過程。自內部網絡發出一個訪問請求后，經過防火墻處理后訪問外部網絡。這個防火墻像是一個外部網卡，隱藏了內部網結構。但這種防火墻處理速度比較慢，對每項服務需要不同的服務器，而且提供應用保護的協議范圍是有限的的，能夠處理的并發數也比較少。

3.3 應用級網關型防火墻

應用級網關型防火墻的工作模式是在應用網絡時建立過濾協議和轉發協議，過濾時完成對數據包的分析，并且將分析得出的結論整理形成報告。應用級網關型防火墻一般安裝在特定的系統中，它和數據包過濾型防火墻存在相似之處，二者都是簡單地對數據安全情況進行分析，以此來判定網絡是否安全。應用級網關型防火墻主要是依據規定好的邏輯來判斷，判定是否允許某一個數據包通過。如果可通過，外網用戶便有可能直接訪問內部的網絡結構和運行狀態。代理實現的內部網絡安全是以犧牲速度為代價的，而且代理不能改進底層協議的安全性。

3.4 分布式防火墻

隨著計算機網絡信息安全技術的發展，用戶對防火墻技術要求也越來越高，也應運而生了“分布式防火墻”技術，它是在目前傳統的邊界式防火墻基礎上開發的[5-6]。分布式防火墻與其他防火墻技術不同，不依賴于網絡搭建結構去制定安全策略，規避了先前防火墻技術的缺點，實施了全方位的安全控制、動態可擴展的結構體系、內部主機“步步為營”的戰略部署和簡單的分布式接入，但分布式防火墻任務是既要保證內部網絡的安全，還有效防止外網對內網的惡意攻擊和蓄意訪問，對技術要求高，運行成本要求也高，而且分布式防火墻都是“獨立作戰”，無法形成聯系緊密的防火墻帶。

3.5 檢測型防火墻

狀態檢測防火墻，不同于數據包過濾型防火墻，只關注審查進出網絡的數據包，不審查數據包狀態。檢測型防火墻在防火墻的核心部位建立了狀態連接表，將進出網絡的數據包當作一個整體事件來處理。例如為第一個報文數據包建立檢測會話后，不再對后續的數據包檢測，而是直接轉發，提高了轉發效率。

這種防火墻安全性好，雖然工作在網絡的較低層，但它對所有應用層的數據包，從中提取有效數據檢測處理，如IP地址、端口號、協議等，這樣有效提高了網絡信息的安全性。而且由于這種防火墻工作在網絡的較低層，減少了高層協議層的開銷，執行效率也大大提高。它不同于應用級網關型防火墻，不需要每一個應用對應一個服務程序，檢測型防火墻不區分每個具體的應用，只根據數據包中提取出的信息、對應的安全策略及過濾規則處理數據包。每當有一個新的應用程序時，它能動態產生新的應用規則，且不用另外寫代碼，所以具有很好的伸縮性和擴展性。

檢測型防火墻，既涵蓋了數據包過濾型防火墻和應用級網關型防火墻的優點，又有效改善了它們的不足，但檢測型防火墻只是針對網絡第三層仍制定了安全策略，并不能很好地分辨數據包內部信息，不能對垃圾郵件、廣告和木馬程序等采取有效措施。

4 結語

隨著計算機網絡技術的快速發展，網絡信息安全問題也逐漸引起了人們的關注，而且還涉及它是否為一種犯罪行為。因此，面對無處不在的威脅，網絡信息安全尤為重要。防火墻技術的出現適時地改變了網絡信息安全的現狀，并逐漸趨于穩定狀態。防火墻作為網絡訪問關卡的唯一技術，是為內部網絡和外部網絡之間的訪問制定一定的檢測規則，用于防范和制止一些不符合規則或者違法的訪問行為，防止數據信息因網絡間的訪問而進行網絡傳播，有效實現了網絡信息安全策略，加固網絡的安全和穩定。但防火墻不能阻斷知情人的蓄意破壞，對于來自惡意人事的主動攻擊，只能建立約束機制，加強內部管理；防火墻也不能防范不通過它傳輸的數據，不能防范病毒，不能防備未知的威脅，因此要求我們要正確對待防火墻策略，合理應用防火墻技術。