基于防火墻的網絡安全技術

成都市消防救援支隊 付圣

現(xiàn)階段，我國網絡平臺使用越加規(guī)范，網絡數(shù)據(jù)安全問題也受到人們的重視，數(shù)據(jù)潛在價值被發(fā)現(xiàn)，但就目前的情況分析，我國數(shù)據(jù)安全管理存在較多問題，因此依據(jù)我國當前的網絡環(huán)境，數(shù)據(jù)發(fā)展特征，如何提高網絡安全性成為討論重點。本文通過對于網絡安全防護的需求進行闡述，分析網絡安全存在的風險問題，研究了基于防火墻的網絡安全技術，以及計算機網絡安全中防火墻技術的應用，以供參考。

當前我國計算機網絡呈現(xiàn)高速發(fā)展趨勢，數(shù)據(jù)庫規(guī)模也在不斷地擴大，信息增長顯著。在當前時代信息的發(fā)展背景下，網絡安全成為人們的關注重點。通過使用網絡平臺，能夠突破時空限制，用戶可隨時隨地獲取其所需的相關資源。但在傳統(tǒng)的IT架構之中，企業(yè)可能會為保障硬件以及操作系統(tǒng)能夠順利運行，投入大量資金與人力，因此目前企業(yè)會利用網絡平臺云計算系統(tǒng)進行基礎性運維。所以在網絡平臺中會存儲帶大量敏感性信息，一旦網絡安全出現(xiàn)問題，信息泄漏，對企業(yè)會造成沉重打擊。

1 網絡安全防護的需求

1.1 國家管理的要求

就我國現(xiàn)階段的發(fā)展而言，加強通信網絡信息安全保護，對于保障我國國家安全，提升信息保護能力，保護國家公共利益具有重要意義。網絡安全平臺作為一種新興服務模式，應嚴格遵循我國的相關信息安全保護要求[1]。

(1)用戶在進入數(shù)據(jù)庫登錄時，應重視用戶身份鑒別問他，做好身份鑒別，避免非工作人員登錄；(2)對訪問控制功能加強重視，依據(jù)國家相關安全策略，對用戶可訪問的資源進行嚴格把控；(3)部分國家重要信息數(shù)據(jù)，應做好標記處理，并加強對用戶訪問能力的控制。當用戶在訪問相關重要信息時，應做好監(jiān)督管理措施，避免出現(xiàn)信息泄漏問題；(4)若部分用戶在進行訪問系統(tǒng)時，或相關重要數(shù)據(jù)出現(xiàn)異常情況，應提高對其的審核，做好安全防控；(5)在傳輸會存儲相關重要數(shù)據(jù)信息時，應加強重視，做好監(jiān)督管理工作。一旦傳輸或存儲過程出現(xiàn)破壞情況，應及時選擇恢復，保障重要信息的完整度；(6)對于部分管理數(shù)據(jù)和相關重要數(shù)據(jù)，應做好加密預防措施，保障其處于保密情況，不可隨意泄漏。

1.2 安全防護的需求

就目前的情況分析，傳統(tǒng)情況下數(shù)據(jù)庫所采取的安全防護措施已無法滿足相關網絡的實際需求，加之網絡平臺自身存在彈性及抽象性等特點，因此需對安全措施進行更新，加大保護力度。

(1)對于網絡平臺的相關漏洞開展防護性措施。現(xiàn)階段，網絡平臺絕大多數(shù)為多租戶，常規(guī)轉臺下，通過數(shù)據(jù)來訪組建，便可對租戶的訪問與信息存儲進行隔離。但網絡平臺在實際開展過程中，其自身存在一定的漏洞問題，這便導致其較易出現(xiàn)外部攻擊等情況，導致租戶隔離措施出現(xiàn)問題[2]。另外，對于網絡安全漏洞分析，部分已經在CNNVD或CVE上公布的數(shù)據(jù)，或對網絡平臺存在較大影響的數(shù)據(jù)，應加強數(shù)據(jù)漏洞保護，避免出現(xiàn)數(shù)據(jù)泄露情況。例如，部分用戶可繞過身份驗證，存儲或傳輸部分敏感性文件，且攻擊難度較低等[3]。(2)對外部SQL注入防護需求。網絡平臺其面向廣大用戶，因此會提供一定的數(shù)據(jù)讀寫、傳輸?shù)确?。而在該情況下則會受到SQL的攻擊。外部攻擊的人會將Web作為跳板，通過使用Web的漏洞，完成SQL注入，從而對于普通用戶進行提權，完成數(shù)據(jù)竊取或者非法登入的目的。(3)網絡平臺之中敏感信息管控的需求。對于一些涉及到敏感信息的數(shù)據(jù)庫運行維護來說，系統(tǒng)的維護工作人員、外包人員以及開發(fā)人員都有直接訪問數(shù)據(jù)庫的權利，一旦這些人員有意或者無意進行高危操作，都有可能會導致數(shù)據(jù)出現(xiàn)破壞[4]。例如：大規(guī)模的刪除以及修改行為，具有高權限的工作人員違反規(guī)定對于敏感的數(shù)據(jù)進行大量的導出等行為。

2 網絡安全存在的風險問題

2.1 缺少有力的法律保護

在目前我國網絡技術發(fā)展速度較快的背景下，人們的日常生活以及工作都受到了大數(shù)據(jù)的影響。但是就當前我國已有的法律分析，其存在一定的延后性，從而導致現(xiàn)階段并沒有具體的法律法規(guī)，對于大數(shù)據(jù)的使用安全進行保護，特別是對于用戶個人數(shù)據(jù)信息方面，缺少一定的法律保護，也缺少對于數(shù)據(jù)搜索管理的法律。所以用戶的個人隱私無法得到充分的保障，使個人隱私出現(xiàn)問題的概率不斷提高。

2.2 用戶的隱私保護存在問題

在目前大數(shù)據(jù)的背景下，對于數(shù)據(jù)無法進行正確的處理，便會導致用戶的隱私安全受到較大的影響。一般情況下，會選擇對于用戶的位置、標識符號以及連接管三方面，對于用戶的隱私進行保護。但是站在大數(shù)據(jù)的角度，個人隱私安全處理存在隱私外泄額情況外，還有對于用戶日常行為的隱私分析以及預測[5]。如果目前使用匿名形式，將用戶的隱私情況進行表示，可以起到一定的隱私保護作用，但是由于目前在對于用戶隱私數(shù)據(jù)收集、管理以及存儲等方面，都存在監(jiān)督不足的情況，因此對于用戶的隱私目前保護效果無法達到預期的效果。

3 基于防火墻的網絡安全技術

在當前較為權威的公司的程序防御中心，對于數(shù)據(jù)庫規(guī)定了十大安全威脅，所以數(shù)據(jù)庫應該制定綜合性的解決方案[6]。根科學研究，不難看出，通過使用網絡層數(shù)據(jù)庫訪問協(xié)議解析以及控制的技術，便可以將大約70%左右的安全問題進行解決，而在這之中便有數(shù)據(jù)庫防火墻技術。數(shù)據(jù)庫防火墻技術是以主動防御機制為前提，通過對于數(shù)據(jù)庫訪問的行為進行控制，在出現(xiàn)危險操作行為的時候進行阻斷，在數(shù)據(jù)庫出現(xiàn)安全威脅的時候，主要是利用第三方來進行相應的解決[7]。(1)需要防止進行數(shù)據(jù)庫漏洞的攻擊，通過使用虛擬補丁技術，在數(shù)據(jù)庫沒有進行補丁的狀態(tài)下，避免出現(xiàn)漏洞攻擊。(2)為了防止數(shù)據(jù)庫出現(xiàn)SQL注入，可以通過學習期以及學習完善期等適應過程，構建符合程序規(guī)定的行為模型，從而對于SQL注入數(shù)據(jù)庫進行防護。(3)對于數(shù)據(jù)庫進行相應的運維管理，通過使用黑名單機制，防止出現(xiàn)對于數(shù)據(jù)庫進行惡意的操作。

3.1 包過濾性防火墻

該種防火墻其主要特點與名稱具備一致性，即具有較佳的過濾性。在OSI參考模型之中的網絡和傳輸層之中，利用包裹履性防火墻，可以將各類不良信息進行有效過濾，從而保障網絡的安全性。目前過濾路由器在運行時，會進行部分過濾條件設置，例如協(xié)議類型、端口號等條件。相關信息只有滿足過濾條件之后，才可進行數(shù)據(jù)包轉發(fā)；在未通過時，相關數(shù)據(jù)包便會丟失。在開展過程中，該類防火墻的主要優(yōu)勢便是工作更加透明化，且實施速度快，工作效率更高。但也存在一定缺點，即在采取該類防火墻后，其并不支持應用層協(xié)議，因此對于黑客攻擊等安全威脅，缺少相應的抵御能力。

3.2 應用型防火墻

應用型防火墻主要是在進行OSI參考模型之中的應用層運行。所以該類防火墻在組織網絡通信流的同時，具有實施監(jiān)控的能力，效果較佳。在使用該類防火墻時，優(yōu)勢較為顯著，安全性較高，網絡安全有較好的保障。但也存在一定缺點，即該類防火墻可能會對系統(tǒng)性能造成一定的影響，導致管理工作較為復雜。

3.3 NAT型防火墻

NAT防火墻在使用過程中，其可以轉化IP地址，生成隨機臨時IP地址。因此當內部網絡需要進行外部網絡訪問時，在經過安全網卡時，NAT防火墻便會偽裝源地址以及端口，將其轉變?yōu)榱夹酝獠烤W絡。但是若經過的為非安全性網卡，網絡訪問便會轉變?yōu)橐粋€開放性IP，與端口實施連接。因此不難發(fā)現(xiàn)，防火墻可以利用所預設好的映射規(guī)則，對訪問安全性進行相應判斷。

3.4 狀態(tài)監(jiān)測型防火墻

狀態(tài)監(jiān)測型防火墻，其不僅具有較高的安全性，并且使用范圍更為廣泛，在實際使用中具有較高的使用效率。另外，該類防火墻具備較佳的可擴展性與伸縮性。當前在運行該類防火墻時，其會將相連接的數(shù)據(jù)包作為整體性的數(shù)據(jù)流，因此可以有效辨別連接狀態(tài)表之中的狀態(tài)因素[8]。但需注意的是，在運行該類防火墻時，隨具備較佳的安全性能，可同時會突出網絡連接的遲滯問題。因此，當前為保障網絡安全性問題，在構建計算機網絡安全體系的過程中，最關鍵環(huán)節(jié)就是進行防火墻的設置，這同時也是保護計算機系統(tǒng)不受外來游客入侵的最常見、也是最為有效的防護手段。防火墻技術最突出的優(yōu)點在于：防御性高、實用性強，能夠阻止一切外來病毒的入侵。并且在計算機整體系統(tǒng)以及相關程序運行的過程中，計算機現(xiàn)有狀態(tài)并不會因為防火墻的存在而受到改變。當有外來游客非法訪問計算機網絡系統(tǒng)時，防火墻在檢測到該行為后，就會自動展開防御。為使系統(tǒng)整體和訪問程序的安全性得以保障，防火墻會有效識別訪客的IP地址[9]。若IP地址不屬于訪問許可的范圍之內，其會對不良信息的入侵進行阻擋。同時，對于用戶所瀏覽或登錄的網頁網址，防火墻也會進行仔細的過濾和篩選。若存在有較高危險性的訪問行為，防火墻將會一律屏蔽，不會給病毒提供可乘之機。在運行計算機網絡信息系統(tǒng)的過程中，通常自身都具有安全防護系統(tǒng)，但如果受到木馬及病毒的供給，則計算機系統(tǒng)的安全性將無法得到保證。因此，在計算機網絡安全體系構建中，相關殺毒軟件也是必須要安裝的。只有安裝了殺毒軟件，才能有效的查殺系統(tǒng)中所存在的各類病毒，進而提供良好的環(huán)境，來確保計算機網絡系統(tǒng)的正常運行。

4 計算機網絡安全中防火墻技術的應用

4.1 計算機網絡安全中防火墻技術的應用優(yōu)勢

在計算機網絡安全應用中，防火墻具有顯著優(yōu)勢，其主要表現(xiàn)在防護性方面。防火墻技術可以準確識別網絡攻擊行為。計算機網絡在運行時，其所面臨的安全威脅來源較為復雜，威脅種類也較為繁瑣。而采取防火墻技術后，其會不但根據(jù)網絡的運行發(fā)展，進行技術更新升級，可以主動對攻擊方式進行識別，并且分析判斷攻擊行為的屬性，因此能夠對計算機網絡安全進行有效性防護。

4.2 防火墻技術可以對網絡系統(tǒng)進行保護

目前在保障計算機網絡安全時，利用防火墻技術具有較為突出的保護效果，可以有效保護網絡系統(tǒng)安全問題。黑客在對計算機網絡進行入侵時，其行為具備不確定性。因此同防火墻技術的實施運行，可以及時發(fā)現(xiàn)外部攻擊性行為，從而在短時間內進行網絡系統(tǒng)保護。所以防火墻技術在運行時，其在維持計算機網絡安全運行的同時，還可以保障計算機網絡系統(tǒng)整體運行效率不會受到影響。

5 結語

隨著科技水平的發(fā)展，互聯(lián)網與我們的聯(lián)系日趨緊密，現(xiàn)在人們的日常生活都到處包含著互聯(lián)網技術?？萍甲哌M生活，我們更要讓科技服務生活，在日趨多元的世界給經濟安全帶來保障，給信息安全帶來保障。通過對于當前我國網絡平臺發(fā)展的現(xiàn)狀以及網絡平臺的安全防護要求進行分析，對于當前在數(shù)據(jù)庫安全方面等級保護所規(guī)定的要求進行研究，提出相應網絡平臺的安全防護實施措施，重視防火墻建設，對于提高網絡平臺安全，以及加強網絡平臺安全建設起著十分重要的作用。