試論計算機防火墻技術(shù)及其應(yīng)用

馮思毅

(河北工程大學(xué) 教育技術(shù)中心，河北 邯鄲 056038)

網(wǎng)絡(luò)的發(fā)展讓人們得以在世界上任何有網(wǎng)絡(luò)的地方運用電腦對自己的財產(chǎn)進(jìn)行操作，避免了現(xiàn)金交易的風(fēng)險，也讓電商這一行業(yè)得以異軍突起，只要在電腦前下單，想要的東西就能在不久后送達(dá)。網(wǎng)絡(luò)為人們生活帶來便利的同時，利用網(wǎng)絡(luò)技術(shù)進(jìn)行犯罪的事情也開始日漸凸顯。由于網(wǎng)絡(luò)的特殊性，人們需要借助計算機防火墻對個人財產(chǎn)進(jìn)行保護。

一、防火墻的概念

計算機網(wǎng)絡(luò)防火墻技術(shù)是軟件和硬件結(jié)合起來形成的、在專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間、個人網(wǎng)絡(luò)與他人網(wǎng)絡(luò)之間的界面上構(gòu)造的保護屏障。這個屏障是在不同網(wǎng)絡(luò)間建立網(wǎng)關(guān)，以幫助使用者的電腦過濾網(wǎng)絡(luò)上的病毒等危害計算機安全的信息，保護用戶財產(chǎn)的安全。

防火墻主要包括以下四部分：驗證工具、訪問規(guī)則、應(yīng)用網(wǎng)關(guān)以及包過濾。而其主要功能主要體現(xiàn)在訪問控制和內(nèi)容控制，防火墻可以自動過濾不安全的服務(wù)或者不安全的站點，監(jiān)控Internet安全和預(yù)警的方便端點，以保證內(nèi)部網(wǎng)絡(luò)的安全性，可以說防火墻是連接計算機與外部網(wǎng)絡(luò)的橋梁。

二、防火墻的分類

（一）包過濾防火墻

包過濾防火墻是最基礎(chǔ)的防火墻，電腦及路由器都自帶有包過濾功能。網(wǎng)絡(luò)上的所有數(shù)據(jù)傳遞都是以數(shù)據(jù)包的形式進(jìn)行的，包過濾就是解析數(shù)據(jù)包中標(biāo)識發(fā)送者的 IP、端口號等信息，已確認(rèn)數(shù)據(jù)是否安全，如果某一IP地址被認(rèn)為是不安全的，那么來自這一IP地址的所有數(shù)據(jù)包都會被過濾掉。

包過濾型防火墻又可以分為無狀態(tài)包過濾和有狀態(tài)包過濾。無狀態(tài)包過濾是根據(jù)包頭部的信息來判斷數(shù)據(jù)包的安全與否，這是最原始的判斷方法，其弊端也很明顯，判斷的依據(jù)很不充分，只有特別明顯的錯誤才能被識別。有狀態(tài)包過濾則可以檢查包內(nèi)所有信息，以此來判斷數(shù)據(jù)能否通過。有狀態(tài)包過濾的缺點是對每一個數(shù)據(jù)包的解析和比對會占用大量的時間和運行空間，影響電腦的響應(yīng)速度。不過由于其在處理數(shù)據(jù)時的簡易性和可讀性，目前仍然被計算機操作人員廣泛使用。

（二）代理服務(wù)型防火墻

代理服務(wù)器相當(dāng)于在用戶和外部網(wǎng)絡(luò)之間設(shè)立了一個中轉(zhuǎn)站，用戶的數(shù)據(jù)包先到中轉(zhuǎn)站，然后由中轉(zhuǎn)站發(fā)往外部網(wǎng)絡(luò)，運用代理服務(wù)器，數(shù)據(jù)包的內(nèi)容會有所改變，從而起到保護用戶計算機的目的，而這種防火墻的弱點同樣是對于數(shù)據(jù)的處理需要占用大量的資源。

（三）復(fù)合型防火墻

復(fù)合型防火墻是代理型防火墻和包過濾型防火墻的有機結(jié)合，復(fù)合型防火墻的防護效果要由于兩者。復(fù)合型防火墻又可以劃分為屏蔽主機防火墻體系結(jié)構(gòu)和屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)，屏蔽主機防火墻體系結(jié)構(gòu)是在內(nèi)部網(wǎng)絡(luò)中設(shè)置堡壘機，堡壘機是外部網(wǎng)絡(luò)唯一能夠訪問的節(jié)點。而屏蔽子網(wǎng)防火墻體系是將堡壘機安裝在子網(wǎng)內(nèi)，使這一子網(wǎng)與外界網(wǎng)絡(luò)分離，確保子網(wǎng)不受未授權(quán)外部用戶的攻擊。

三、防火墻的應(yīng)用

防火墻，顧名思義，其功能在于“防火”，防火墻能夠作為網(wǎng)絡(luò)安全的屏障，強化網(wǎng)絡(luò)安全策略，可以配置WWW服務(wù)和FTP服務(wù)，方便用戶對于此類服務(wù)器的訪問，也能夠禁止相關(guān)服務(wù)器的訪問，以保護用戶計算機。

如今黑客運用的攻擊方式多種多樣，主要有以下幾種：病毒、口令字、IP地址。針對不同的網(wǎng)絡(luò)攻擊方式，防火墻都有相應(yīng)的反制措施。

（一）對于病毒的處理

在部分防火墻產(chǎn)品上自帶有掃描病毒的功能，能夠?qū)邮盏臄?shù)據(jù)包進(jìn)行篩選和偵察，但是由于病毒的日新月異，往往防火墻只能防一時的病毒，對于之后更先進(jìn)的病毒基本無防護能力。而黑客常用的方法一是將病毒偽裝成某種文件或者應(yīng)用程序，用戶在不知情的情況下下載文件或者安裝應(yīng)用程序會使病毒直接進(jìn)入電腦內(nèi)網(wǎng)。方法二是利用軟件一次性發(fā)送成千上萬條含有惡意代碼的郵件，造成惡意代碼的爆炸式傳播。對于上述問題，可以設(shè)置防火墻到較強的等級，對于未經(jīng)許可就運行的后臺程序，一律禁止運行，以防止信息泄露。

（二）對于口令字的處理

口令字是相當(dāng)于打開防火墻的鑰匙，黑客如果掌握了口令字，就能在用戶的計算機中為所欲為。因此對于口令字的攻擊也是流行的網(wǎng)絡(luò)攻擊手法之一，黑客往往采用窮舉和嗅探來獲取防火墻口令字。嗅探是通過偵查來獲取主機給防火墻的口令字，而窮舉是將所有可能的口令字集合起來一個個測試，直至找出正確的口令字。對于此類問題，可以設(shè)置防火墻采用一次性口令或者讓主機和防火墻通過不可偵測的單獨接口進(jìn)行通信。

（三）對于IP地址的處理

上文提到防火墻對于數(shù)據(jù)包的識別有時候是只根據(jù)包頭部的信息判斷是否攔截，因此如果黑客通過代理服務(wù)器把自己的IP地址設(shè)置成與內(nèi)部網(wǎng)絡(luò)的IP地址，就能夠避過防火墻的檢測，從而進(jìn)入內(nèi)部網(wǎng)盜取用戶的信息。對于此種網(wǎng)絡(luò)攻擊，有兩種解決方法：

1.將計算機的適配器地址（MAC）與計算機的IP地址進(jìn)行綁定，擁有對應(yīng) MAC地址的用戶才能訪問被綁定的IP地址，當(dāng)然這種方式只適用于靜態(tài)IP,對于動態(tài)IP則要采用另一種方法。

2.反向過濾技術(shù)（rp-filter）。系統(tǒng)在接收到一個IP包后，檢查該IP是不是合乎要求，不合要求的IP包會被系統(tǒng)丟棄，也就是對于IP包設(shè)置唯一的網(wǎng)口，只識別來自這個網(wǎng)口的IP包，這種方法能夠有效避免黑客的網(wǎng)絡(luò)攻擊。

五、小結(jié)

互聯(lián)網(wǎng)的發(fā)展讓黑客的網(wǎng)絡(luò)攻擊手段更加靈活和隱蔽，而與此同時人們越來越趨向于利用網(wǎng)絡(luò)來進(jìn)行一切消費，以此來獲取更大的便利，網(wǎng)絡(luò)犯罪的隱蔽性讓人們對于在網(wǎng)絡(luò)層面的財產(chǎn)的保護更加關(guān)注，因此對于計算機防火墻的要求也越來越高。相信隨著科技的發(fā)展，防火墻能夠真正為用戶防止一切攻擊，保護用戶的合法財產(chǎn)不受侵害。

[1]吉中云.試論防火墻在計算機網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J].電子制作，2012(8):29.

[2]趙俊.淺談計算機防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學(xué)院學(xué)報：綜合版，2012,28(4):50-52.

[3]姜瑞云，馮立剛，趙麗萍.網(wǎng)絡(luò)社會與人的社會化[J].河北工程大學(xué)學(xué)報（社會科學(xué)版），2009(2):75-76,74.