計算機網絡安全中防火墻技術的運用

摘要：在軟硬件處理能力不斷提升的背景下，防火墻技術在計算機網絡安全中的發揮了更加出色的作用。首先介紹了常見的幾種防火墻，如包過濾防火墻、代理防火墻和下一代防火墻等。其次從監控網絡日志、加強安全配置、阻擋病毒入侵、設置訪問規則等方面，闡述了防火墻技術在計算機網絡安全中的應用策略，以期在保障內部網絡安全和維護用戶數據隱私方面發揮作用。

關鍵詞：計算機網絡安全包過濾防火墻代理防火墻網絡日志

中圖分類號：TP393.0

TheApplicationofFirewallTechnologyinComputerNetworkSecurity

Sunjunde

ChangjiVocationalandTechnicalCollegeXinjiangChangji831100China

Abstract：Againstthebackdropofcontinuouslyimprovingsoftwareandhardwareprocessingcapabilities，firewalltechnologyhasplayedamoreoutstandingroleincomputernetworksecurity.Firstly，severalcommonfirewallswereintroduced，suchaspacketfilteringfirewalls，proxyfirewalls，andnext-generationfirewalls.Subsequently，theapplicationstrategiesoffirewalltechnologyincomputernetworksecuritywereelaboratedfromtheaspectsofmonitoringnetworklogs，strengtheningsecurityconfiguration，blockingvirusintrusion，andsettingaccessrules，inordertoplayaroleinensuringinternalnetworksecurityandmaintaininguserdataprivacy.

Keywords：Computernetworksecurity;Packetfilteringfirewall;Proxyfirewall;Networklogs

國務院于2023年發布的《數字中國建設整體布局規劃》中明確指出，切實維護網絡安全，增強數據安全保障能力，健全數據網絡監測預警和應急處置工作體系。在這一背景下，切實保障計算機網絡安全，為廣大網絡用戶營造安全網絡環境成為一項緊迫而又重要的任務。現階段常用的計算機網絡安全技術有若干種，如區塊鏈加密、數字簽名認證、設置訪問權限以及防火墻等。其中，防火墻是一種最常用并且技術層面上最容易實現的計算機網絡安全技術。許多新的防火墻產品還融合了分布式計算、人工智能等前沿技術，不僅提高了安全防范能力，而且還具有自學習功能，可以準確識別來自外部網絡的最新型攻擊，在提升計算機網絡安全水平方面發揮了重要價值。

1計算機網絡安全中常用的防火墻類型

1.1包過濾防火墻

包過濾防火墻按照既定過濾規則對所有經過防火墻的數據包的包頭進行判定。如果與規則匹配，則允許該數據包繼續傳送、轉發，否則中斷傳送或粉碎數據。數據包的包頭中包含了源IP、目的IP、協議類型（如FTP協議、HTTP協議）、端口等重要信息，在提取包頭信息并使用過濾路由器進行數據處理后，即可完成安全判定。包過濾防火墻的功能實現步驟如下：第一，設定包過濾規則，并將其存儲到包過濾設備的端口中；第二，當新的數據包到達端口時，提取數據包的包頭并展開語法分析，進行包過濾規則判定；第三，如果任意一條規則阻止數據包的傳輸或接收，將數據包判定為惡意，不允許繼續傳送；如果任意一條規則允許數據包的傳輸或接收，將數據包判定為善意，允許繼續傳送；如果數據包不滿足任何一條規則，將其封存[1]。包過濾防火墻適用于規模較小、只需要滿足基本安全功能的小型計算機網絡。

1.2電路級網關

電路級網關是一種比包過濾防火墻更高級的計算機網絡安全技術，通常將電路級網關布置在受信任的客戶（服務器）與不受信任的主機之間，監控兩者之間的TCP信息，根據信息內容判斷當前會話是否合法或傳送數據是否安全。電路級網關除了提供安全監控功能外，還可以支持IP地址安全轉移，將企業內部需要重點保護或者設計安全機密的IP地址映射到一個受防火墻信任的安全IP地址中。這樣一來，當計算機網絡遭受攻擊時能夠具備更高的容錯能力，在保護內網數據不受破壞的前提下使整個計算機網絡保持正常運行。從應用效果來看，電路級網關的優勢體現在兩方面：一是在OSI會話層上運行，幾乎不占用計算機資源，在保證用戶信息安全的同時又不會影響用戶的網絡使用體驗；二是提供詳細的日志記錄，網絡管理員可以通過查看日志的方式進行數字取證，方便對攻擊行為進行追溯追責。

1.3代理防火墻

代理防火墻應用了Proxy代理服務器技術，從外部網絡發出的數據包在經過代理技術處理后，使防火墻能夠實時監視數據包的流向，在防火墻認為該數據包可能對內網安全或用戶隱私數據構成威脅時，可以直接禁止該數據包的一些活動，避免造成實質性的破壞，從而顯著提升了計算機網絡安全。根據代理技術參與過程的不同，代理防火墻又可分為應用層代理和電路層代理兩種。以應用層代理防火墻為例，它可以在用戶層和應用協議層提供訪問控制。當客戶端發出傳送數據包的請求后，代理防火墻首先核實該請求，確認請求后做出接收應答并進行處理，在確認安全后將處理結果反饋至客戶端。常用的應用層代理有HTTP代理、SMTP代理等[2]。

1.4下一代防火墻

為了應對更大流量、更高風險和更多業務的復雜網絡環境，下一代防火墻（Next-GenerationFirewall，NGFW）應運而生。它不僅能多維度、立體化地識別網絡風險，而且還能輔助用戶制定相應的安全策略，從而實現了對計算機網絡的個性化維護，全方位保障了主機、網絡以及用戶數據的安全。面向計算機網絡安全的下一代防火墻，提供了一體化的引擎數據包處理流程，實現方式如下。

第一，對數據包進行解析處理。對于從外網進入內網的所有數據包，防火墻會根據既定的安全策略進行數據包的解析，并根據解析結果決定是丟棄還是允許傳送。第二，對于允許傳送的數據包，通過會話查找判斷是否存在相關會話，如果有直接匹配；如果沒有則需要創建新的會話。在創建會話信息后進行應用識別和內容檢測，包括協議解碼、內容解析、模式匹配等一系列操作。第三，數據包出站。在通過內容檢測后，允許數據包進入內網。根據數據包的安全等級，如果有需要會對數據進行VNP加密后再進行轉發。

2防火墻技術在計算機網絡安全中的應用

防火墻在計算機內網與外網之間建立一道相對隔絕的屏障，所有從外網進入內網的流量，都必須經過防火墻的安全檢測，凡是非授權的訪問或帶病毒的文件都會被阻擋在外，從而保證了內網安全。基于防火墻技術實現計算機網絡安全的可行性策略有監控網絡日志、加強安全配置、阻擋病毒入侵等。

2.1監控網絡日志

防火墻能夠對所有進出網絡的流量進行動態監控，保證部署了防火墻的計算機網絡不會受到惡意流量的攻擊與破壞。在啟用防火墻后，一方面，利用預定義的規則監控進入和傳出的流量；另一方面，又會以“日志”的形式記錄與流量相關的信息，如目標IP地址、端口號、協議等。這些被記錄下來的信息即為網絡日志。防火墻在收集日志數據的同時，還能完成日志的篩選、分析、解讀，并根據解讀結果采取相應的措施[3]。考慮到計算機網絡運行中會產生海量的日志數據，防火墻需要通過篩選保留關鍵信息（如異常流量、異常連接等）。在此基礎上對分析，如訪問內部網絡的IP地址、哪些端口被頻繁訪問等。防火墻根據分析結果對計算機網絡當前的安裝狀態做出評估，包括有無安全漏洞、是否有潛在威脅等。最后根據分析結果采取更新防火墻規則、封鎖可疑IP地址等必要的行動。

防火墻日志除了監控網絡流量、識別惡意活動外，還支持驗證和添加防火墻規則，以及建立威脅源黑名單功能。網絡管理員可以通過自定義的方式編輯防火墻規則，將新規則添加到防火墻系統后，防火墻能夠允許或拒絕來自特定IP地址的流量，從而實現了精準定向的防控。同樣地，網絡管理員查詢防火墻日志，從中獲取已知惡意行為者的信息，然后將這些威脅源或惡意IP添加到黑名單中。在啟動防火墻后，當防火墻再次檢測到與黑名單中同樣的IP地址后可以立即阻止，最大程度上保障計算機網絡的安全。

2.2加強安全配置

防火墻的絕大多數安全策略都是基于安全區域（SecurityZone）實施的，這里的安全區域可以看作是防火墻全部接口所連網絡的集合。除了防火墻默認的安全區域外，網絡管理員也可以根據實際需求創建新的安全區域。在計算機網絡安全中，基于防火墻的安全配置包括以下要點。

2.2.1劃分安全區域

通常將防火墻的安全區域劃分為4類，按照安全優先級從高到低依次是本地區域（Local）、授信區域（Trust）、非軍事化區域（Dmz）和非授信區域（Untrust）。對于相同安全區域之間的流量，防火墻默認放行；對于跨區域的流量，防火墻會利用預定義的規則進行安全驗證，驗證通過后放行[4]。這樣就能避免病毒、木馬等在計算機網絡中大范圍地擴散。

2.2.2配置安全策略

基于防火墻的安全策略由3個部分組成，即匹配條件、動作、安全配置文件。匹配條件包括源IP、目標IP以及端口號等，配合動作（允許或禁止）可以允許特定IP訪問外網或者禁止特定流量。防火墻默認的基礎網絡配置有端口屬性、工作模式等，保證防火墻可以順利接入計算機網絡；管理員可根據需要啟用高可用性配置（如雙機熱備），進一步提升防火墻的容錯能力。

2.3阻擋病毒入侵

防病毒是防火墻最基本的功能，面向計算機網絡安全的防火墻防病毒技術可以做到病毒的預防、檢測和清除。病毒本質上是一種惡意代碼，利用計算機網絡安全漏洞或者是隱藏在正常文件中進入內部網絡，然后感染應用程序并通過文件共享協議實現擴散，達到接管主機權限、竊取用戶數據等目的，對主機與網絡的安全構成嚴重威脅。基于防火墻的反病毒原理如下：當攜帶病毒的文件通過網絡流量經過防火墻時，防火墻分3步進行病毒檢測。第一步是應用協議識別，判斷該文件“是否支持協議”。如果不支持應用協議不做病毒檢測，如果支持應用協議則繼續第二步判斷“是否在白名單內”。如果在白名單內不做病毒檢測，如果不在白名單內則繼續第三步病毒檢測，利用反病毒特征庫與文件進行特征匹配。如果匹配不成功，說明文件安全；如果匹配成功可以檢測出文件攜帶的病毒，進行阻斷、告警、刪除文件等病毒處理，防止攜帶病毒的文件進入內部網絡中，從而保護了主機與網絡的安全[5]。在防火墻反病毒過程中，基于特征庫的病毒檢測是關鍵環節，可選擇基于FTP協議的檢測、基于HTTP協議的檢測。

2.4設置訪問規則

面向計算機網絡安全的防火墻技術，能夠有效阻擋未經授權的訪問或者惡意攻擊。但是防火墻設置不當，可能會導致用戶無法進行正常訪問，反而會影響用戶正常使用計算機網絡。為了避免此類情況，在應用防火墻技術時必須要科學設置網絡訪問規則。正常情況下，防火墻默認允許執行FTP或HTTP這類常用協議的流量通過。對于執行其他非常規協議，或者是訪問其他端口的流量，必須要設置相應的訪問規則。例如：在進行遠程訪問時會用到SSH協議（安全外殼協議），此時必須要在防火墻中配置基于SSH端口的訪問規則，才能確保遠程訪問被允許。需要注意的是，網絡管理員在設置訪問規則時必須考慮實際應用場景。假設內網用戶想要訪問外部的Web服務器，這種情況下必須配置執行HTTP協議的流量通過防火墻；假設內網用戶想要訪問外部的郵件服務器，這種情況下則需要配置執行in9pDyZCeiYrrBBtZttiJAqBdAK3qcJwOpGcGW7QR3s=SMTP或者POP3協議的流量通過防火墻[6]。基于“流量+訪問控制”的防火墻技術，可以做到不依賴防火墻日志、監測結果更加準確，成為計算機網絡安全防護的新模式。

3結語

防火墻將本地局域網與外部互聯網隔絕開來，通過訪問控制保證內部網絡安全和用戶數據隱私。將防火墻技術應用到計算機網絡安全中，在不影響用戶正常使用計算機網絡的前提下，準確檢測出非法訪問和惡意攻擊，并采取阻斷、清除等措施來維護計算機網絡安全。隨著網絡安全技術的成熟發展，現階段常用的防火墻有若干類型，除了常規的包過濾防火墻、狀態檢測防火墻外，還有融合了人工智能技術的智能防火墻以及分布式防火墻等。在計算機網絡安全配置中，應綜合考慮網絡結構、安全要求、應用場景等因素合理選擇防火墻類型，在此基礎上發揮防火墻在監控網絡日志、阻擋病毒入侵、加強訪問控制等方面的應用優勢，切實保障計算機網絡安全。

參考文獻

[1] 李之玲，朱德新.基于防火墻技術的網絡認證協議密鑰交換算法[J].計算機仿真，2022（6）：39-40.

[2] 朱晨迪.防火墻技術在計算機網絡安全中的應用：以上海計算機軟件技術開發中心為例[J].華東科技，2023（7）：48-50.

[3] 李健，江昊，羅威.基于可編程數據平面的狀態防火墻技術[J].武漢大學學報：工學版，2022（14）：55-57.

[4] 吳紅.新環境下的計算機網絡信息安全及其防火墻技術應用分析[J].網絡安全技術與應用，2022（7）：14-16.

[5] 倪震.電力工控網絡安全風險分析與預測關鍵技術研究[D].南京：南京理工大學，2019.

[6] 陳博.基于下一代防火墻技術在醫院網絡安全中的應用[J].網絡安全技術與應用，2022（8）：100-102.