防火墻技術(shù)在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用

李貫華

（齊魯醫(yī)藥學(xué)院，山東淄博，255300）

1 防火墻技術(shù)的相關(guān)概述

1.1 防火墻技術(shù)簡(jiǎn)介

防火墻技術(shù)是為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要技術(shù)，主要是在網(wǎng)絡(luò)邊界構(gòu)建相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，來(lái)對(duì)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)進(jìn)行有效的隔離，阻止外部網(wǎng)絡(luò)存在的安全隱患對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵，主要目的就是為了規(guī)避外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。簡(jiǎn)單的來(lái)說(shuō)，防火墻技術(shù)就像是本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一堵墻，通過(guò)這堵墻來(lái)對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行隔離，從而起到一個(gè)防護(hù)的功能與效果。

1.2 防火墻技術(shù)類型及原理

1.2.1 包過(guò)濾防火墻

包過(guò)濾防火墻屬于核路由器之上的防火墻，主要是作用于網(wǎng)絡(luò)層。包過(guò)濾防火墻功能的發(fā)揮，是通過(guò)一個(gè)軟件的方式，來(lái)對(duì)經(jīng)過(guò)該軟件的數(shù)據(jù)包的包頭進(jìn)行查看，并對(duì)流經(jīng)的數(shù)據(jù)包做出決定，依靠包過(guò)濾原則作出判定，比如與規(guī)則相符的就可以是接受，反之就是丟棄，也可以執(zhí)行其他更為復(fù)雜的動(dòng)作。包過(guò)濾防火墻在使用的過(guò)程中優(yōu)勢(shì)明顯，主要具備靈活性、有效性的特點(diǎn)，自身的結(jié)構(gòu)相對(duì)簡(jiǎn)單化，適用于小型站點(diǎn)，且處理包的速度較快，操作簡(jiǎn)單且成本相對(duì)較低。但包過(guò)濾防火墻也具有一定的技術(shù)缺陷，在對(duì)虛假I(mǎi)P地址不容易識(shí)別，在內(nèi)部網(wǎng)絡(luò)受到威脅的時(shí)候，無(wú)法發(fā)揮網(wǎng)絡(luò)安全的保護(hù)功能。

包過(guò)濾器的工作原理，首先，有著明確的過(guò)濾規(guī)則，在篩選的過(guò)程中按照規(guī)則對(duì)包進(jìn)行查看與篩選；其次，數(shù)據(jù)包針對(duì)信息的過(guò)濾方面有重點(diǎn)區(qū)域，主要是針對(duì)IP頭、TCP頭、UDP頭區(qū)域的檢查來(lái)實(shí)現(xiàn)的，通過(guò)對(duì)特定端口服務(wù)端口號(hào)篩查來(lái)實(shí)現(xiàn)過(guò)濾；最后過(guò)濾器的實(shí)現(xiàn)主要是使用過(guò)濾路由器來(lái)進(jìn)行的，過(guò)濾路由器具有自身的優(yōu)勢(shì)，可以更為精準(zhǔn)檢查，也具備是否發(fā)送的功能。

1.2.2 代理服務(wù)防火墻

代理服務(wù)防火墻可以提供更為詳細(xì)的審計(jì)與日志功能，在使用的過(guò)程中可以更好地保護(hù)網(wǎng)絡(luò)的安全性，也對(duì)現(xiàn)有計(jì)算機(jī)軟件的安全性進(jìn)行保護(hù)。代理服務(wù)防火墻技術(shù)類似于投票代理權(quán)，簡(jiǎn)單來(lái)說(shuō)就是代表專用網(wǎng)絡(luò)來(lái)與互聯(lián)網(wǎng)進(jìn)行通訊的防火墻。代理服務(wù)防火墻在實(shí)際操作中，可以提供兩級(jí)鏈接與地址轉(zhuǎn)換的功能，以此來(lái)對(duì)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離。如果使用代理服務(wù)防火墻，防火墻就可以將瀏覽器發(fā)出的請(qǐng)求直接轉(zhuǎn)達(dá)給互聯(lián)網(wǎng)，如果互聯(lián)網(wǎng)回饋，代理服務(wù)防火墻再將回饋信息轉(zhuǎn)達(dá)給瀏覽器，也就是在訪問(wèn)者來(lái)看，只能在這一過(guò)程中看到代理服務(wù)器，對(duì)于內(nèi)部資源是無(wú)法看到的，對(duì)于內(nèi)部用戶來(lái)講，可以更為自由的對(duì)外部服務(wù)器的信息進(jìn)行訪問(wèn)。相對(duì)于包過(guò)濾防火墻來(lái)看，代理服務(wù)防火墻在安全防護(hù)上效果更好。

代理服務(wù)防火墻的工作原理，首先，面對(duì)代理服務(wù)器發(fā)出請(qǐng)求，并檢測(cè)防火墻規(guī)則，對(duì)數(shù)據(jù)包首部數(shù)據(jù)與信息進(jìn)行檢查；如果請(qǐng)求不被允許發(fā)出，代理服務(wù)器就可以拒絕這一請(qǐng)求，如果請(qǐng)求允許被發(fā)出，代理服務(wù)器就會(huì)對(duì)源IP地址進(jìn)行修改，形成新的數(shù)據(jù)包；在代理服務(wù)器向目的計(jì)算機(jī)發(fā)出的數(shù)據(jù)包，顯示源IP的地址就是代理服務(wù)的地址；如果返回的數(shù)據(jù)包，再次發(fā)送到代理服務(wù)，還會(huì)按照防火墻的規(guī)則來(lái)再次檢查，如果數(shù)據(jù)包與檢查標(biāo)準(zhǔn)不符，就會(huì)直接被代理服務(wù)丟棄處理。

1.2.3 狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻主要使用的就是包過(guò)濾防火墻所使用的技術(shù)，是對(duì)傳統(tǒng)包過(guò)濾技術(shù)的拓展，也具備了代理服務(wù)防火墻的特點(diǎn)。主要是作用于傳輸層、網(wǎng)絡(luò)層以及應(yīng)用層上，在使用的過(guò)程中，與包過(guò)濾防火墻相似的內(nèi)容有，檢查引擎在網(wǎng)絡(luò)層截獲數(shù)據(jù)包，并在這一過(guò)程中抽取出與應(yīng)用層狀態(tài)相關(guān)的信息，針對(duì)信息進(jìn)行判定接受或者丟棄。與代理服務(wù)防火墻相似的內(nèi)容有，可以聽(tīng)附加的對(duì)特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持。同時(shí)狀態(tài)檢測(cè)防火墻也打破了包過(guò)濾防火墻與代理服務(wù)防火墻所存在的局限，對(duì)“to”“from”的地址進(jìn)行檢測(cè)，不對(duì)應(yīng)用的代理進(jìn)行限制。

狀態(tài)檢測(cè)防火墻在使用過(guò)程中最大的優(yōu)點(diǎn)就是自身的安全性，在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間，對(duì)原始數(shù)據(jù)包進(jìn)行截取，同時(shí)也具備高性能、拓展性好的特點(diǎn)，配置上更為方便，而且設(shè)備的應(yīng)用范圍比較廣泛。當(dāng)然，狀態(tài)檢測(cè)防火墻也具備一定的缺點(diǎn)，依靠過(guò)濾規(guī)則但沒(méi)有精細(xì)規(guī)則的要求，所以容易出現(xiàn)數(shù)據(jù)延遲的現(xiàn)象，在數(shù)據(jù)檢測(cè)上，只是對(duì)第三層的信息進(jìn)行檢測(cè)，所以對(duì)垃圾信息、病毒等方面，難以進(jìn)行徹底地識(shí)別，更是難以滿足用戶在安全上的升級(jí)。

1.3 防火墻技術(shù)的在重要性

防火墻技術(shù)是對(duì)本地網(wǎng)絡(luò)保護(hù)的重要方式，通過(guò)在本地網(wǎng)絡(luò)與外地網(wǎng)絡(luò)之間形成的防御系統(tǒng)，來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性，所以防火墻技術(shù)的運(yùn)用至關(guān)重要。

防火墻是網(wǎng)絡(luò)數(shù)據(jù)的必經(jīng)之地，無(wú)論是內(nèi)部還是外部網(wǎng)絡(luò)，在數(shù)據(jù)流進(jìn)行傳遞的過(guò)程中都需要經(jīng)過(guò)防火墻，也正是因?yàn)榉阑饓Φ奈恢锰攸c(diǎn)，才能更好地發(fā)揮出保護(hù)的作用。通過(guò)防火墻技術(shù)的概念可以知道，防火墻是位于網(wǎng)絡(luò)系統(tǒng)的邊界位置，而網(wǎng)絡(luò)邊界的概念就是不同網(wǎng)絡(luò)相連接的位置，這個(gè)位置設(shè)置防火墻，就是在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間構(gòu)建一個(gè)安全控制點(diǎn)，在面向網(wǎng)絡(luò)上形形色色的數(shù)據(jù)時(shí)候，可以通過(guò)檢查和辨別的形式來(lái)對(duì)數(shù)據(jù)流進(jìn)行處理，避免包含隱患的數(shù)據(jù)流經(jīng)過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全存在的相應(yīng)問(wèn)題

由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性特點(diǎn)，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的過(guò)程中存在一定的安全隱患，這也就導(dǎo)致用戶在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行使用的過(guò)程中，不能對(duì)風(fēng)險(xiǎn)完全規(guī)避。雖然現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)安全水平在不斷地提升，但在實(shí)際運(yùn)行中問(wèn)題依然存在。

2.1 網(wǎng)絡(luò)安全存在漏洞

網(wǎng)絡(luò)漏洞是廣泛存在于網(wǎng)絡(luò)之中的，由于軟件、硬件或者協(xié)議方面存在的弊端，為網(wǎng)絡(luò)攻擊行為的出現(xiàn)提供了空間，讓攻擊者可以無(wú)需授權(quán)，來(lái)對(duì)系統(tǒng)進(jìn)行破壞，這種破壞的行為會(huì)嚴(yán)重影響到數(shù)據(jù)信息的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全存在的漏洞，就會(huì)讓用戶在使用的過(guò)程中，出現(xiàn)病毒入侵的危險(xiǎn)。通常情況下，普通用戶遇到這種安全漏洞且被攻擊的現(xiàn)象相對(duì)較少，但計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞并不僅僅是存在于網(wǎng)絡(luò)上，計(jì)算機(jī)本身的不當(dāng)操作，同樣會(huì)帶來(lái)安全隱患，并引發(fā)漏洞問(wèn)題。由于計(jì)算機(jī)的使用是軟件與硬件疊加進(jìn)行的，如果在下載軟件、登錄端口的過(guò)程中被網(wǎng)絡(luò)攻擊，就會(huì)讓計(jì)算機(jī)網(wǎng)絡(luò)難以發(fā)揮出原有的作用，安全性更是無(wú)法保障。這種網(wǎng)絡(luò)安全漏洞會(huì)為用戶帶來(lái)不利的影響，如計(jì)算機(jī)無(wú)法運(yùn)行、數(shù)據(jù)丟失、泄露等等。

2.2 網(wǎng)絡(luò)環(huán)境存在風(fēng)險(xiǎn)

網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)主要是在網(wǎng)絡(luò)特點(diǎn)的基礎(chǔ)上出現(xiàn)的，網(wǎng)絡(luò)自身具有開(kāi)放性特點(diǎn)，這種開(kāi)放性特點(diǎn)下，導(dǎo)致網(wǎng)絡(luò)環(huán)境存在威脅。當(dāng)今社會(huì)背景下，互聯(lián)網(wǎng)共享已經(jīng)成為常態(tài)化，人們的生活對(duì)網(wǎng)絡(luò)也有著極大的依賴性，而用戶在使用計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中并沒(méi)有形成安全意識(shí)，這也在無(wú)形中放大了網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)，讓其如今到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中。如網(wǎng)站上存在的病毒，在點(diǎn)開(kāi)網(wǎng)站或者下載軟件的時(shí)候就會(huì)直接入侵到網(wǎng)絡(luò)中，直接造成計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題。計(jì)算機(jī)本身的網(wǎng)絡(luò)環(huán)境存在諸多不穩(wěn)定性，如果對(duì)安全不進(jìn)行重視，就會(huì)導(dǎo)致內(nèi)網(wǎng)的安全防護(hù)被攻擊或者破壞。

2.3 外力進(jìn)行惡意破壞

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全來(lái)講，外力破壞的危險(xiǎn)性相對(duì)較高。外力破壞有很多種方式，如認(rèn)為進(jìn)行攻擊、病毒的植入等，這種現(xiàn)象就會(huì)導(dǎo)致計(jì)算機(jī)無(wú)法運(yùn)行。外力破壞中最多的就是人為原因進(jìn)行的破壞行為，為了降低外力破壞的影響，就應(yīng)該強(qiáng)化對(duì)計(jì)算機(jī)防火墻的重視，定期開(kāi)展病毒的查殺，以此來(lái)降低外力的惡意攻擊行為，降低網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)與安全隱患。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用策略

3.1 安全過(guò)濾技術(shù)

過(guò)濾技術(shù)顧名思義，就是在數(shù)據(jù)信息在傳輸?shù)倪^(guò)程中，對(duì)信息的安全性進(jìn)行分析，通過(guò)信息與制定的信息規(guī)則核對(duì)之后，提出存在安全隱患的數(shù)據(jù)信息，通過(guò)這種形式，也可以將計(jì)算機(jī)網(wǎng)絡(luò)中存在的不穩(wěn)定因素進(jìn)行及時(shí)發(fā)現(xiàn)。我國(guó)的防火墻技術(shù)在計(jì)算機(jī)安全構(gòu)建中比較常用，如常見(jiàn)的，計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中，在網(wǎng)絡(luò)路徑方面可以進(jìn)行選擇，分別是封閉式與開(kāi)放式，以為基礎(chǔ)來(lái)對(duì)內(nèi)外網(wǎng)進(jìn)行控制，進(jìn)而達(dá)到對(duì)計(jì)算機(jī)的保護(hù)，也可以及時(shí)發(fā)現(xiàn)并化解安全隱患，最大程度上的保障計(jì)算機(jī)的安全性。

3.2 日志監(jiān)控技術(shù)

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的重要表現(xiàn)形式就是日志監(jiān)控，通過(guò)這種形式來(lái)對(duì)網(wǎng)絡(luò)安全防護(hù)的效果進(jìn)行直觀的反應(yīng)。網(wǎng)絡(luò)管理員通過(guò)對(duì)日志信息的采集，來(lái)達(dá)到對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)控，這就對(duì)日志采集方面提出了嚴(yán)格的要求，由于日志的數(shù)據(jù)相對(duì)較多，所以在采集的時(shí)候應(yīng)該充分保障日志的全面性。如果日志采集的過(guò)程中出現(xiàn)重要信息遺漏的問(wèn)題，就會(huì)直接威脅到網(wǎng)絡(luò)的安全，難以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的問(wèn)題，因此，日志采集直接影響到網(wǎng)絡(luò)安全防護(hù)工作。

3.3 計(jì)算機(jī)訪問(wèn)技術(shù)

就現(xiàn)階段我國(guó)計(jì)算機(jī)網(wǎng)安全情況來(lái)看，計(jì)算機(jī)訪問(wèn)方面是比較常見(jiàn)的，并且在網(wǎng)絡(luò)安全防護(hù)方面有著比較顯著的效果，計(jì)算機(jī)訪問(wèn)技術(shù)也是防火墻的基礎(chǔ)。在對(duì)計(jì)算機(jī)訪問(wèn)技術(shù)應(yīng)用的時(shí)候，需要對(duì)計(jì)算機(jī)訪問(wèn)的過(guò)程進(jìn)行周密的涉及與嚴(yán)格的管理，以此來(lái)保障其對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的效果。計(jì)算機(jī)訪問(wèn)技術(shù)，不僅可以對(duì)網(wǎng)絡(luò)狀況進(jìn)行檢測(cè)，也能提升訪問(wèn)的個(gè)性化，所以應(yīng)該與計(jì)算機(jī)需求結(jié)合來(lái)制定訪問(wèn)規(guī)則。此外，計(jì)算機(jī)訪問(wèn)技術(shù)，也可以及時(shí)、快速地對(duì)計(jì)算機(jī)存在的安全隱患作出反應(yīng)，針對(duì)性的采取措施進(jìn)行解決，這種方式就是為了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行深入的安全保護(hù)效果。

3.4 代理服務(wù)器防火技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全方面，對(duì)代理服務(wù)器的運(yùn)用相對(duì)較多，顧名思義，就是通過(guò)代理服務(wù)設(shè)備的方式，來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行保護(hù)，這種設(shè)備可以對(duì)計(jì)算機(jī)的功能進(jìn)行代替，更好地將計(jì)算機(jī)處理與傳遞資料的效果發(fā)揮出來(lái)，以此來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)安全的保護(hù)，最大程度上降低安全隱患對(duì)計(jì)算機(jī)所產(chǎn)生的影響。比如，在人才對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行破壞的時(shí)候，通常會(huì)使用虛假、隱蔽的IP地址來(lái)進(jìn)行攻擊，并通過(guò)這種地址來(lái)進(jìn)行病毒的傳播，如果病毒入侵，就會(huì)直接影響到計(jì)算機(jī)的使用與安全。在使用代理服務(wù)的時(shí)候，可以通過(guò)代理服務(wù)器來(lái)進(jìn)行信息的交換，通過(guò)虛擬信息的運(yùn)用，來(lái)保護(hù)計(jì)算機(jī)的使用安全性。由于，代理服務(wù)器防火技術(shù)安全性能較高，可以實(shí)現(xiàn)對(duì)信息的二次保護(hù)效果，這也是計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的重要方式。

3.5 Web行為挖掘技術(shù)

Web行為挖掘技術(shù)在最近幾年得到廣泛的應(yīng)用，尤其是在計(jì)算機(jī)網(wǎng)絡(luò)安全方面。現(xiàn)階段信息化的快速發(fā)展，讓人們對(duì)信息的獲取主要通過(guò)搜索引擎來(lái)開(kāi)展，而Web可以對(duì)用戶的檢索行為進(jìn)行收集與分析，并在結(jié)合大數(shù)據(jù)統(tǒng)計(jì)之后，實(shí)現(xiàn)數(shù)據(jù)挖掘任務(wù)的達(dá)成，同時(shí)對(duì)用戶檢索方面的行為特點(diǎn)進(jìn)行判定，并選擇更為科學(xué)的檢索行為。運(yùn)用Web行為挖掘技術(shù)來(lái)對(duì)用戶所產(chǎn)生的互聯(lián)網(wǎng)行為開(kāi)展分析，針對(duì)一段時(shí)間內(nèi)的數(shù)據(jù)分析，來(lái)對(duì)用戶計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的風(fēng)險(xiǎn)與問(wèn)題進(jìn)行分析，以此來(lái)及時(shí)發(fā)現(xiàn)問(wèn)題，并保障用戶計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

3.6 病毒庫(kù)的實(shí)時(shí)更新技術(shù)

防火墻中具備病毒庫(kù)的實(shí)時(shí)更新技術(shù)，在計(jì)算機(jī)使用的過(guò)程中，只有對(duì)病毒庫(kù)的實(shí)時(shí)更新，才能更好地保障計(jì)算機(jī)網(wǎng)絡(luò)面臨網(wǎng)絡(luò)病毒的使用的安全性。尤其是在信息技術(shù)不斷革新的背景下，網(wǎng)絡(luò)病毒的形式也在不斷地更新，通過(guò)對(duì)病毒庫(kù)的更新，可以讓計(jì)算機(jī)網(wǎng)絡(luò)在遇到新型病毒的時(shí)候及時(shí)發(fā)現(xiàn)與預(yù)防，以循序漸進(jìn)的形式來(lái)從根本上對(duì)計(jì)算機(jī)安全做到實(shí)時(shí)的防護(hù)效果。這就需要用戶做到對(duì)防火墻技術(shù)的充分利用，及時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患、潛在病毒進(jìn)行及時(shí)解決，進(jìn)而為計(jì)算機(jī)網(wǎng)絡(luò)安全提供更為安全的環(huán)境。