計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用分析

孫月嬌

摘 要：伴隨著經(jīng)濟(jì)的迅速發(fā)展，信息時(shí)代已經(jīng)悄然來臨，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到廣泛應(yīng)用，網(wǎng)絡(luò)資源的共享程度也越來越高，而其帶來的網(wǎng)絡(luò)信息安全問題也日益突出，嚴(yán)重影響到個(gè)人信息安全以及個(gè)人隱私，甚至影響到一個(gè)單位甚至國(guó)家層面的信息安全，因此，本文針對(duì)網(wǎng)絡(luò)安全技術(shù)中的防火墻技術(shù)進(jìn)行了相關(guān)理論分析，并提出相關(guān)應(yīng)用建議。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；防火墻技術(shù)；應(yīng)用分析

隨著社會(huì)經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)技術(shù)迅速普及開來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)深入到個(gè)人、單位、社會(huì)、國(guó)家各個(gè)層面的各個(gè)領(lǐng)域，包括政治、經(jīng)濟(jì)、文化、軍事、生活等維度，與之而來的是網(wǎng)絡(luò)安全問題也日益突出，就拿軍事這一層面來說，曾經(jīng)有某國(guó)的炮兵諸元系統(tǒng)被對(duì)方黑客入侵而導(dǎo)致其火力全部打擊自身部隊(duì)，而在與人們息息相關(guān)的生活層面，譬如騰訊QQ、微信以及支付寶等現(xiàn)代信息軟件的應(yīng)用，也涉及到計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用，同時(shí)也給不發(fā)分子提供了盜取個(gè)人信息的可乘之機(jī)，因此加強(qiáng)防火墻技術(shù)的應(yīng)用刻不容緩。

1 計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的概念分析

1.1 防火墻概念

防火墻原指古代人們修建于房屋中間來防止火災(zāi)蔓延的墻壁，而在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中，防火墻指的是設(shè)置在不同網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全域之間的一系列部件組合，是對(duì)內(nèi)部網(wǎng)絡(luò)的一種安全屏障。假設(shè)存在兩個(gè)不同級(jí)別的網(wǎng)絡(luò)或者安全域，它們?cè)谶M(jìn)行信息訪問之時(shí)，中間加入一個(gè)設(shè)備，這就是防火墻，而在添加防火墻之后，防火墻就成為兩個(gè)安全域之間信息流通的唯一通道，同時(shí)可以在防火墻上設(shè)立相應(yīng)的安全限制來有效控制數(shù)據(jù)的流動(dòng)。

1.2 防火墻的功能

1.2.1 入侵檢測(cè)功能

計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的主要功能之一就是入侵檢測(cè)功能，主要有反端口掃描、檢測(cè)拒絕服務(wù)工具、檢測(cè)CGI/IIS服務(wù)器入侵、檢測(cè)木馬或者網(wǎng)絡(luò)蠕蟲攻擊、檢測(cè)緩沖區(qū)溢出攻擊等功能，可以極大程度上減少網(wǎng)絡(luò)威脅因素的入侵，有效阻擋大多數(shù)網(wǎng)絡(luò)安全攻擊。

1.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)換功能

利用防火墻技術(shù)可以有效實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可以分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換，即SNAT和NAT。SNAT主要用于隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免受到來自外部網(wǎng)絡(luò)的非法訪問和惡意攻擊，有效緩解地址空間的短缺問題，而DNAT主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)，以此避免內(nèi)部網(wǎng)絡(luò)被攻擊。

1.2.3 網(wǎng)絡(luò)操作的審計(jì)監(jiān)控功能

通過此功能可以有效對(duì)系統(tǒng)管理的所有操作以及安全信息進(jìn)行記錄，提供有關(guān)網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，方便計(jì)算機(jī)網(wǎng)絡(luò)管理以進(jìn)行信息追蹤。

1.2.4 強(qiáng)化網(wǎng)絡(luò)安全服務(wù)

防火墻技術(shù)管理可以實(shí)現(xiàn)集中化的安全管理，將安全系統(tǒng)裝配在防火墻上，在信息訪問的途徑中就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全的監(jiān)管。

2 防火墻技術(shù)的分類

在信息技術(shù)高度發(fā)達(dá)的今天，加強(qiáng)防火墻技術(shù)的建設(shè)，提高防火墻技術(shù)的防御能力需要防火墻自身具有良好的信息數(shù)據(jù)過濾能力，本文針對(duì)常見的兩種網(wǎng)絡(luò)防火墻技術(shù)及其復(fù)合型防火墻技術(shù)進(jìn)行討論。

2.1 應(yīng)用代理型防火墻技術(shù)

應(yīng)用代理型防火墻技術(shù)主要通過應(yīng)用級(jí)代理技術(shù)在OSI最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)信息安全，代理技術(shù)深入到信息應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能，主要就是在防火墻處終止客戶連接并初始化新連接來與受保護(hù)連接進(jìn)行接觸。應(yīng)用代理型防火墻技術(shù)主要有以下幾處優(yōu)點(diǎn)：其一，可以通過一定程序，使得用戶借助代理實(shí)現(xiàn)整套的安全策略；其二，可以通過代理可過濾的數(shù)據(jù)信息，靈活完全地控制信息進(jìn)出以及信息內(nèi)容；其三，可以有效地實(shí)現(xiàn)與其他安全手段的集成，提高安全防護(hù)效率。

2.2 包過濾防火墻技術(shù)

包過濾防火墻技術(shù)可以根據(jù)系統(tǒng)已設(shè)定的邏輯結(jié)構(gòu)，對(duì)進(jìn)出網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域的數(shù)據(jù)信息進(jìn)行有效、有選擇的操作與控制，而在包過濾防火墻技術(shù)中，其應(yīng)用途徑主要有三種：其一是通過路由器在完成路由選擇和數(shù)據(jù)轉(zhuǎn)換的同時(shí)進(jìn)行包過濾操作；其二是在信息轉(zhuǎn)換工作站上使用相應(yīng)的包過濾軟件進(jìn)行包過濾操作；其三是通過屏蔽路由器設(shè)備啟動(dòng)包過濾功能。

目前的包過濾防火墻技術(shù)主要應(yīng)用于網(wǎng)絡(luò)層和傳輸層，以IP包信息為依據(jù)，通過對(duì)防火墻IP包的源地址、目的地址、TCP/UDP的端口標(biāo)識(shí)符、ICMP進(jìn)行檢查來選擇信息數(shù)據(jù)。包過濾技術(shù)可以在不改動(dòng)客戶機(jī)以及主機(jī)應(yīng)用程序的前提下，對(duì)相關(guān)數(shù)據(jù)信息進(jìn)行包過濾操作，并且可以廣泛應(yīng)用于大多數(shù)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全域。

2.3 復(fù)合型防火墻技術(shù)

目前應(yīng)用較為廣泛的防火墻技術(shù)當(dāng)屬?gòu)?fù)合型防火墻技術(shù)，綜合了包過濾防火墻技術(shù)以及應(yīng)用代理防火墻技術(shù)的優(yōu)點(diǎn)，譬如發(fā)過來的安全策略是包過濾策略，那么可以針對(duì)報(bào)文的報(bào)頭部分進(jìn)行訪問控制；如果安全策略是代理策略，就可以針對(duì)報(bào)文的內(nèi)容數(shù)據(jù)進(jìn)行訪問控制，因此復(fù)合型防火墻技術(shù)綜合了其組成部分的優(yōu)點(diǎn)，同時(shí)摒棄了兩種防火墻的原有缺點(diǎn)，大大提高了防火墻技術(shù)在應(yīng)用實(shí)踐中的靈活性和安全性。

3 防火墻技術(shù)聯(lián)合入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)應(yīng)用

防火墻技術(shù)在網(wǎng)絡(luò)信息安全方面提供了有力保障，但是如果僅僅依靠防火墻技術(shù)進(jìn)行被動(dòng)的防御是遠(yuǎn)遠(yuǎn)不夠的，因此在現(xiàn)代信息技術(shù)高度發(fā)達(dá)的今天，為了應(yīng)對(duì)越來越嚴(yán)峻的信息安全形勢(shì)，入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生，或稱IDS。

入侵檢測(cè)系統(tǒng)是對(duì)網(wǎng)絡(luò)傳輸過程中的即時(shí)監(jiān)控，與防火墻技術(shù)同屬于事中控制，但是不同于防火墻技術(shù)的被動(dòng)防御，入侵檢測(cè)系統(tǒng)是在信息傳播過程中便對(duì)訪問的數(shù)據(jù)信息進(jìn)行實(shí)時(shí)監(jiān)控，規(guī)避了防火墻被動(dòng)受到攻擊而產(chǎn)生安全漏洞的安全風(fēng)險(xiǎn)。入侵檢測(cè)系統(tǒng)可以在木馬以及蠕蟲病毒入侵之前將其檢測(cè)出來，并接著讓防火墻將策略寫進(jìn)系統(tǒng)，因而對(duì)于普通的未知病毒具有主動(dòng)防御作用，將防火墻技術(shù)的被動(dòng)防御變?yōu)橹鲃?dòng)監(jiān)控。將防火墻技術(shù)和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)，可以在黑客繞過防火墻對(duì)網(wǎng)絡(luò)安全域發(fā)動(dòng)攻擊之時(shí)，主動(dòng)識(shí)別攻擊行為，進(jìn)而通知防火墻將策略寫進(jìn)系統(tǒng)，命令防火墻對(duì)相關(guān)鏈接進(jìn)行阻斷，從而達(dá)到保護(hù)安全域的目的。

在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí)，也應(yīng)該主動(dòng)采取新型防火墻技術(shù)，例如在數(shù)據(jù)量路層可以實(shí)現(xiàn)對(duì)上層數(shù)據(jù)信息進(jìn)行密封操作和拆封操作，并且可以對(duì)硬件信息進(jìn)行管理，加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息的檢查，而在IP層可以利用新型防火墻技術(shù)對(duì)IP地址報(bào)頭進(jìn)行改動(dòng)，雖然一定程度上會(huì)影響系統(tǒng)的兼容性，但是可以在極端情況下有效增加安全機(jī)制。

4 小結(jié)

防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全保護(hù)的主要手段之一，但是防火墻本身的被動(dòng)攻擊也成了其最大的缺陷，并且不能解決內(nèi)部之間的兼容性問題，因此在防火墻技術(shù)的應(yīng)用中，最重要的還是根據(jù)實(shí)際情況采取合適的防火墻技術(shù)，并且結(jié)合其他防御技術(shù)形成聯(lián)動(dòng)，有效預(yù)防病毒入侵。

參考文獻(xiàn)

[1]武強(qiáng).關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的研究[J].電子世界，2016，（8）：100-100，105.

[2]曾霄龍.探討計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].商品與質(zhì)量，2017，（23）：94.

[3]桑烽燕，夏世民.計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)[J].通訊世界，2015，（20）：43-43.