基于防火墻的網(wǎng)絡(luò)安全技術(shù)研究

潘 娜，王 蘭

(海南開放大學，海南 ?？?570208)

1 網(wǎng)絡(luò)防火墻的基本概念和主要類型

1.1 網(wǎng)絡(luò)防火墻的基本概念

安裝防火墻是為了隔絕外界IP對本地網(wǎng)絡(luò)或主機的非法訪問，保障互聯(lián)網(wǎng)數(shù)據(jù)的安全性，通過系統(tǒng)軟件與設(shè)備硬件的組合分析，嚴格參考網(wǎng)絡(luò)安全防護準則進行訪問網(wǎng)址屏蔽與篩選。用戶在計算機使用階段需要嚴格設(shè)定內(nèi)部數(shù)據(jù)的訪問權(quán)限，實時監(jiān)測網(wǎng)絡(luò)用戶登錄情況，通過數(shù)據(jù)分析與管理防范非法攻擊手段。網(wǎng)絡(luò)設(shè)置的代理服務器發(fā)揮出防火墻的防護作用，將局域網(wǎng)與外網(wǎng)進行有效隔離，根據(jù)網(wǎng)絡(luò)實際運行情況記錄數(shù)據(jù)操作行為。防火墻技術(shù)作為網(wǎng)絡(luò)安全防護的重要手段，能夠起到數(shù)據(jù)過濾、安全檢測、風險追蹤的作用，保障信息數(shù)據(jù)處理效率，提高網(wǎng)絡(luò)運行安全性[1]。

1.2 網(wǎng)絡(luò)防火墻的主要類型

1.2.1 包過濾技術(shù)

“包”指的是網(wǎng)絡(luò)上的流動信息，在數(shù)據(jù)傳輸中自動將傳輸文件分解為多個包，加快傳輸速度。當完成數(shù)據(jù)轉(zhuǎn)移后，包中的數(shù)據(jù)信息按照一定的組合排列規(guī)律重新構(gòu)成傳輸文件。防火墻包過濾技術(shù)是以過濾路由器為核心，按照儲存的包過濾規(guī)則，完成IP包過濾工作，分析數(shù)據(jù)文件的安全性，逐一審查數(shù)據(jù)包是否符合過濾規(guī)則。數(shù)據(jù)包過濾會在內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外部主機之間形成記憶，通過過濾規(guī)則設(shè)置進行數(shù)據(jù)包篩選。包過濾技術(shù)的應用，在網(wǎng)絡(luò)層和數(shù)據(jù)傳輸層建立安全機制，對數(shù)據(jù)源地址、數(shù)據(jù)傳輸協(xié)議和數(shù)據(jù)傳輸端口進行全面篩查。包過濾技術(shù)的核心在于路由器，當路由器被攻陷，內(nèi)部網(wǎng)絡(luò)將處于高風險運行狀態(tài)，極易受到非法攻擊，在此基礎(chǔ)上提出了代理服務技術(shù)[2]。

1.2.2 代理服務技術(shù)

代理服務技術(shù)通常被設(shè)置在網(wǎng)絡(luò)應用層，代理接收互聯(lián)網(wǎng)的服務請求，通過代替性連接的方式設(shè)立應用級網(wǎng)關(guān)，實現(xiàn)對用戶操作行為和互聯(lián)網(wǎng)環(huán)境的綜合管理。網(wǎng)絡(luò)用戶需要通過代理體系獲取互聯(lián)網(wǎng)數(shù)據(jù)，在防火墻系統(tǒng)上運行代理服務器，通過網(wǎng)絡(luò)傳輸階段客戶程序分析進行信息篩選。代理服務技術(shù)能夠自動識別網(wǎng)絡(luò)協(xié)議，主要被應用到家庭小流量網(wǎng)絡(luò)管控中。網(wǎng)絡(luò)流量較大的企業(yè)通常采用狀態(tài)檢測技術(shù)[3]。

1.2.3 狀態(tài)檢測技術(shù)

狀態(tài)分析技術(shù)是在數(shù)據(jù)包過濾技術(shù)的基礎(chǔ)上，創(chuàng)新研發(fā)出的一種動態(tài)化數(shù)據(jù)包過濾技術(shù)，借助狀態(tài)分析功能生成防火墻狀態(tài)表，根據(jù)用戶定義的過濾規(guī)則進行數(shù)據(jù)包篩選。與數(shù)據(jù)包過濾技術(shù)的最大區(qū)別在于身份認證和數(shù)據(jù)應用階段，狀態(tài)檢測技術(shù)能夠自動完成狀態(tài)分析，由防火墻對網(wǎng)絡(luò)層截取的數(shù)據(jù)包進行統(tǒng)一處理，將數(shù)據(jù)內(nèi)容整理到動態(tài)狀態(tài)列表，保證網(wǎng)絡(luò)傳輸、網(wǎng)絡(luò)訪問的安全性[4-5]。

2 防火墻技術(shù)在網(wǎng)絡(luò)安全防護中的重要作用

2.1 預防信息泄露

信息技術(shù)高速發(fā)展。數(shù)據(jù)傳輸途徑變得多元化。在使用網(wǎng)絡(luò)的過程中，人們將更多的個人信息、企業(yè)信息和數(shù)據(jù)信息儲存到網(wǎng)絡(luò)云空間，為企業(yè)工作和人們?nèi)粘Ｉ钐峁┍憷?。但在?shù)據(jù)時代發(fā)展背景下，計算機面臨嚴峻的網(wǎng)絡(luò)安全問題。防火墻技術(shù)作為網(wǎng)絡(luò)安全管理的重要手段，能夠為數(shù)據(jù)傳輸、移動通信提供有效保障。防火墻技術(shù)在互聯(lián)網(wǎng)應用層和用戶層的使用，有效避免隱秘信息泄露，預防不法分子的網(wǎng)絡(luò)攻擊行為。

2.2 凈化網(wǎng)絡(luò)環(huán)境

移動設(shè)備和互聯(lián)網(wǎng)技術(shù)的使用規(guī)模不斷擴大。不法分子通過惡意攻擊網(wǎng)站盜取網(wǎng)絡(luò)用戶個人信息，更改企業(yè)項目經(jīng)營數(shù)據(jù)，以此來獲得經(jīng)濟利益。一些高級別黑客會惡意制造誘導性網(wǎng)站，在計算機網(wǎng)絡(luò)中滲透木馬病毒。大多數(shù)的用戶難以直觀地辨別惡意攻擊行為，在網(wǎng)絡(luò)操作階段面臨極高的風險問題。網(wǎng)絡(luò)防火墻的建立能夠幫助用戶識別誘導性網(wǎng)站，采用針對性過濾裝置凈化計算機網(wǎng)絡(luò)環(huán)境，實時監(jiān)測網(wǎng)絡(luò)使用情況，對重要數(shù)據(jù)和隱私信息進行加密處理，實時檢測網(wǎng)絡(luò)行為和網(wǎng)絡(luò)事件，主動進行系統(tǒng)防御，提高計算機網(wǎng)絡(luò)安全等級。

3 常見的計算機網(wǎng)絡(luò)安全隱患

3.1 木馬病毒

常見的網(wǎng)絡(luò)安全風險為木馬病毒入侵，木馬病毒具有極強的傳染性。它能夠伴隨系統(tǒng)軟件入侵網(wǎng)絡(luò)后臺，伴隨著數(shù)據(jù)傳輸和數(shù)據(jù)共享行為進入關(guān)聯(lián)的計算機網(wǎng)絡(luò)。木馬病毒具有隱蔽性。木馬病毒會隱藏在計算機系統(tǒng)中，與外界的網(wǎng)絡(luò)傳輸為木馬病毒的傳播提供了途徑。木馬病毒具有極強的破壞性，會直接造成網(wǎng)絡(luò)癱瘓，導致數(shù)據(jù)丟失，影響企業(yè)系統(tǒng)的穩(wěn)定運行。防火墻技術(shù)的應用與創(chuàng)新，需要提高系統(tǒng)運行階段木馬病毒的檢測效果，優(yōu)化網(wǎng)絡(luò)防火墻的病毒查殺功能。

3.2 惡意攻擊

大多數(shù)網(wǎng)絡(luò)用戶的安全防范意識較低，網(wǎng)絡(luò)操作行為不規(guī)范，讓網(wǎng)絡(luò)黑客有機可乘。黑客利用軟件漏洞攻擊計算機系統(tǒng)盜取重要數(shù)據(jù)，威脅企業(yè)的經(jīng)濟安全。隨著云技術(shù)的普及應用，許多網(wǎng)絡(luò)用戶將重要的數(shù)據(jù)信息儲存到云空間。云程序成為黑客非法獲取的主要目標。職業(yè)黑客具有較強的反偵查、反監(jiān)控手段，在網(wǎng)絡(luò)入侵過程中具有極強的隱蔽性，難以第一時間被防火墻察覺。當出現(xiàn)數(shù)據(jù)丟失或惡意篡改現(xiàn)象時，用戶面臨較高的經(jīng)濟損失。一些黑客存在嚴重的網(wǎng)絡(luò)破壞性行為，在計算機攻擊階段會植入木馬病毒，造成網(wǎng)絡(luò)硬盤失效，系統(tǒng)運行的穩(wěn)定性受到威脅。

3.3 系統(tǒng)漏洞

在計算機使用過程中，用戶會根據(jù)個人的操作需求下載應用軟件。在軟件登錄與使用階段，用戶易泄露重要的信息。軟件開發(fā)商在軟件功能設(shè)計中，十分注重軟件的執(zhí)行效率，盲目地降低軟件占用內(nèi)存，忽視了軟件運行存在的數(shù)據(jù)安全隱患，缺乏對用戶信息保密制度的考量。系統(tǒng)運行階段面臨較多的軟件漏洞，為木馬病毒提供了入侵渠道，不法分子利用誘導性手段獲取用戶的使用授權(quán)，肆意地盜取隱秘數(shù)據(jù)。為了預防軟件漏洞，提高用戶的防火墻級別，以保護計算機硬件與軟件系統(tǒng)。

4 防火墻技術(shù)在網(wǎng)絡(luò)安全防護中的具體應用

4.1 安全配置技術(shù)

通過防火墻技術(shù)建立網(wǎng)絡(luò)安全防護體系，通過防火墻配置嚴格劃分內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)絡(luò)信息需要經(jīng)過包過濾功能的檢驗和代理服務功能的防護，實現(xiàn)對網(wǎng)絡(luò)行為的動態(tài)化監(jiān)測。防火墻攔截垃圾信息，刪除惡意入侵信息，設(shè)置虛擬IP地址，對黑客攻擊行為進行錯誤引導，控制黑客的攻擊方向，起到保護用戶網(wǎng)絡(luò)數(shù)據(jù)安全的作用。內(nèi)網(wǎng)與外網(wǎng)隔離，能夠在網(wǎng)絡(luò)被訪問的過程中提供充足的反應時間，保障信息甄別效率。對系統(tǒng)功能模塊進行嚴格劃分，單獨設(shè)置保護區(qū)域，如圖1和圖2所示。調(diào)整主機與子網(wǎng)的被屏蔽體系結(jié)構(gòu)，與防火墻安全配置進行有效配合，在數(shù)據(jù)傳遞過程中隱藏內(nèi)部網(wǎng)址。

圖1 被屏蔽主機體系結(jié)構(gòu)

圖2 被屏蔽子網(wǎng)體系結(jié)構(gòu)

4.2 安全協(xié)議技術(shù)

防火墻協(xié)議技術(shù)是在可變?nèi)萜骺刂评碚摶A(chǔ)上形成的一種網(wǎng)絡(luò)保護手段，調(diào)節(jié)網(wǎng)絡(luò)數(shù)據(jù)傳輸大小，在數(shù)據(jù)傳輸階段將控制內(nèi)容精確到字節(jié)數(shù)。防火墻協(xié)議技術(shù)的運行，需要提前設(shè)定好數(shù)據(jù)大小標準值，與傳輸過程中的數(shù)據(jù)大小進行對比。當傳輸數(shù)據(jù)中含有垃圾信息和惡意攻擊程序時，將會超出防火墻設(shè)置的數(shù)據(jù)大小限額，觸發(fā)防火墻設(shè)置的自動防御系統(tǒng)，第一時間終止數(shù)據(jù)傳輸，保護系統(tǒng)運行安全。將收到的異常信息轉(zhuǎn)化為系統(tǒng)日志，上傳到預警中心。當用戶接收到系統(tǒng)警告后，采取針對性的信息處理措施，確保網(wǎng)絡(luò)運行環(huán)境的穩(wěn)定性。

4.3 安全防護技術(shù)

安全防護技術(shù)主要負責檢測與查殺木馬病毒風險。木馬病毒作為一種網(wǎng)絡(luò)侵害手段，通常來自用戶網(wǎng)頁瀏覽和網(wǎng)絡(luò)數(shù)據(jù)獲取，由于具有極強的隱蔽性，會隱藏在非法網(wǎng)站，隨著用戶數(shù)據(jù)操作與獲取進入網(wǎng)絡(luò)系統(tǒng)。木馬病毒具有極強的破壞性，不僅影響到系統(tǒng)應用程序的穩(wěn)定運行，嚴重的還會造成網(wǎng)絡(luò)癱瘓，清除系統(tǒng)內(nèi)部的重要數(shù)據(jù)。防火墻防護技術(shù)能夠?qū)梢蓴?shù)據(jù)進行有效辨別，當檢測到數(shù)據(jù)存在惡意侵害行為時，將迅速進行攔截處理，并拒絕非法訪問。用戶在系統(tǒng)操作階段，通過防火墻保障數(shù)據(jù)的安全性，過濾掉數(shù)據(jù)獲取階段下載的無效垃圾信息，優(yōu)化用戶的網(wǎng)絡(luò)使用體驗。在網(wǎng)絡(luò)防護中，采用網(wǎng)絡(luò)代理，按照設(shè)置的包過濾規(guī)則進行數(shù)據(jù)校驗與IP過濾，提高計算機網(wǎng)絡(luò)使用的安全性，為了保障數(shù)據(jù)信息儲存與共享的安全性，避免個人隱私泄露，需要定期進行防護系統(tǒng)升級，更新病毒庫，當發(fā)現(xiàn)系統(tǒng)軟件存在潛在病毒時，及時進行查殺處理，保障信息數(shù)據(jù)的安全性。

4.4 安全修復技術(shù)

計算機使用過程中會產(chǎn)生大量的數(shù)據(jù)信息。企業(yè)在項目運營階段會產(chǎn)生財務數(shù)據(jù)、內(nèi)部管理數(shù)據(jù)、項目經(jīng)營數(shù)據(jù)等重要的數(shù)據(jù)類別。為了保證企業(yè)經(jīng)營項目的穩(wěn)定開展，各部門之間進行數(shù)據(jù)共享。不規(guī)范的數(shù)據(jù)操作行為會引發(fā)一系列風險問題。從開放式網(wǎng)絡(luò)環(huán)境下獲取的數(shù)據(jù)內(nèi)容存在許多無效垃圾信息。操作人員缺乏對信息數(shù)據(jù)的統(tǒng)一管理，只是盲目地進行數(shù)據(jù)獲取與自動化處理，導致木馬病毒隨著垃圾信息入侵內(nèi)部系統(tǒng)。防火墻修復技術(shù)能夠在數(shù)據(jù)信息進入系統(tǒng)時形成網(wǎng)絡(luò)監(jiān)控體系，對數(shù)據(jù)內(nèi)容進行分類處理，根據(jù)用戶制定的過濾規(guī)則，有效攔截與處理垃圾信息，降低計算機網(wǎng)絡(luò)入侵危險，節(jié)省計算機內(nèi)部儲存空間。防火墻修復技術(shù)能夠提高網(wǎng)絡(luò)訪問速度，通過網(wǎng)絡(luò)監(jiān)控處理，營造安全的計算機運行環(huán)境。

4.5 安全加密技術(shù)

想要全面提高防火墻技術(shù)的防護效果，當計算機程序在面臨數(shù)據(jù)包侵害時，防火墻加密技術(shù)驗證用戶登錄信息，保證網(wǎng)絡(luò)數(shù)據(jù)儲存、數(shù)據(jù)信息傳輸?shù)陌踩浴７欠ňW(wǎng)絡(luò)入侵主要以IP登錄的形式存在，防火墻加密技術(shù)能夠在接收到IP登錄請求時，向?qū)Ψ剿饕矸蒡炞C信息，驗證成功后才能登錄網(wǎng)絡(luò)系統(tǒng)。將登錄后的信息內(nèi)容發(fā)送到網(wǎng)絡(luò)管理員，當驗證失敗時自動拒絕登陸請求，第一時間發(fā)送安全預警，向網(wǎng)絡(luò)系統(tǒng)上級報告非法入侵行為，對用戶的網(wǎng)絡(luò)操作進行跟蹤防護。防火墻加密技術(shù)保護計算機網(wǎng)絡(luò)安全，有效避免數(shù)據(jù)入侵，提高網(wǎng)絡(luò)信息安全系數(shù)。登錄用戶身份驗證作為防火墻的初級功能。在使用網(wǎng)頁與軟件的過程中，用戶須設(shè)置高等級的驗證密碼，建立第一層安全保護屏障。

5 結(jié)語

防火墻技術(shù)通過對系統(tǒng)安全內(nèi)核的加固處理，做好服務器與子系統(tǒng)的安全保護工作，面對網(wǎng)絡(luò)入侵和惡意系統(tǒng)攻擊，分別采用分組過濾、代理服務、加密處理、系統(tǒng)鑒別等功能，實現(xiàn)對網(wǎng)絡(luò)行為的集中化管理。文章從加密技術(shù)、修復技術(shù)、防護技術(shù)、配置技術(shù)和安全協(xié)議技術(shù)等多個方面，分析防火墻技術(shù)在網(wǎng)絡(luò)安全防護中的實際應用，全面提高網(wǎng)絡(luò)安全等級。