防火墻技術在計算機網絡安全中的應用

房錕

摘 要：在當前社會不斷發展的過程中，網絡安全已成為人們關心的主要問題。闡述了防火墻技術在計算機網絡中的安全防御作用，對不同類型的防火墻技術的工作原理、特點及缺點進行了分析，并提出了一種防火墻體系結構設計方案，能夠較好地實現對網絡的安全保護，以期為日后的相關工作提供參考，提高計算機網絡環境的安全性。

關鍵詞：計算機；網絡安全；防火墻；安全設計

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.21.135

隨著計算機網絡技術的飛速發展，在計算機網絡的應用中，各種不穩定因素日趨增多，網絡安全的重要性日益凸顯，計算機網絡安全問題越來越受到社會各界的關注。面對計算機網絡中存在的問題，采取相關措施保障計算機網絡的安全具有關鍵的意義。其中，網絡防火墻技術是連接內部網絡與外部網絡的第一道安全屏障，是最重要的“守護者”，能夠有效保證計算機網絡的安全、可靠。因此，研究防火墻的設計將為計算機網絡的安全增加砝碼。

1 防火墻在計算機網絡安全中的應用

防火墻指的是一個由軟件和硬件設備組合而成、在內部網絡和外部網絡之間構造的安全保護屏障，用以保護內部網絡免受外部非法用戶的侵入，有效地控制內外網之間的網絡數據流量。在網絡安全防御系統中，防火墻是一個十分重要的組成部分，也是網絡層防御的重要防線之一。

2 計算機網絡安全中防火墻技術的分類

為了達到安全防御的目的，必須使內部網絡和外部網絡之間的所有數據流都經過防火墻；并且只有符合防火墻規則設置的數據流才能通過防火墻；防火墻本身要有非常強的抗攻擊能力和自我免疫能力。這是多年來防火墻發展和更新的結晶。根據防火墻技術的分類，以下介紹幾種常用的防火墻技術類型。

2.1 數據包過濾型

數據包過濾型防火墻技術是在對數據包讀取的過程中，通過其相關信息判定這些數據的可信度及安全性，以此作為結果判斷依據實施數據處理。一旦數據包沒有得到防火墻的信息，那么也就無法進入到計算機操作系統之中。相對來講，這種防火墻技術具有較高的實用性，通常在網路環境中均能夠有效地為計算機網絡安全提供保護，同時也能夠在實際應用中對其推廣應用。但是，因為這一技術是依照基本信息對其安全性實施判定，因此也就不能有效地過濾一些應用程序和郵件病毒。另外，如果一些數據偽造IP地址，也能夠成功騙過防火墻數據包過濾，之后進入網絡系統實施攻擊和破壞，那么也就會對計算機網路安全產生嚴重影響。

2.2 代理型

這一類型的防火墻技術也就是代理服務器，其能夠回應輸入封包，阻斷內部網和外部網之間的信息交流。代理型防火墻技術是在客戶和服務器之間，因此對于客戶機來講，技術本身也就被認為是一臺服務機器，不僅能夠加強外部網絡篡改內部網絡阻力，同時就算是誤用計算機內部系統，也不會出現從防火墻之外入侵計算機，而致計算機出現安全漏洞，能夠顯著提升計算機網絡的安全性。目前，這一技術已經在逐漸向應用層面發展，專門針對入侵計算機應用層病毒實施相應的防護。但是，這一技術也有缺點，會提高計算機網絡安全防護成本，并且對計算機管理人員專業水平和綜合素質的要求較高。這會進一步增加網絡管理壓力。

2.3 監測型

這一防火墻技術能夠主動完成網絡通信數據監測任務，從而提高計算機網絡安全性。起初，計算機防火墻的設計理念是過濾對計算機網絡安全造成影響的信息和數據，那么這就首先需要成功應用監測型防火墻技術。這一技術在相關信息監測工作中有著十分重要的優勢條件，可以顯著提升計算機安全保障

能力。但是，這一技術的管理和成本投入比較高，因此到目前為止，這一技術也沒有得到普及和應用。在實際網絡環境下，可以依照實際情況選擇合適的監測技術，從而降低在計算機網絡安全基礎上的投入成本。

3 一種計算機網絡的防火墻安全設計

為了確定防火墻設計策略，進而構建實現策略的防火墻，應從最安全的防火墻設計策略開始。

3.1 開發環境

計算機操作系統：Windows XP Professional

運行環境：Java語言運行環境JDK1.7

程序編輯：UltraEdit-32

3.2 設計思路

采用代理的防火墻替代之前用戶和互聯網之間的連接。代理服務器作為服務器的中轉站，其設計一定要滿足以下要求：①確保可以及時接收客戶端發送的請求，并解釋；②能夠成功創建與服務器的連接；③能夠在接收相應服務器發來的信號之后再將其成功發送，并傳輸到客戶端。依照這些要求，服務器的工作模型設計則如圖1所示。

3.3 防火墻安全控制程序的配置

在防火墻安全設計中，主要是合理配置防火墻安全控制程序，在其內部網絡中有效連接PC2、Edge和Core，之后應用超級終端軟件合理配置相關設備。其具體步驟為：①在PC2計算機中配置網絡地址。相關設計為IP地址設置為10.10.10.15，子網掩碼為255.255.255.0。②合理配置交換機2626B，并將其分成多個局域網。這一步驟只需要對Vlan1分配，其中，相關設計為IP地址設置為10.1.1.3/24，終端上的命令則分別是2626B（Vlan-1）#Vlan110tagged？25，2626B（Vlan-1）#ipaddress 10.1.1.3/24及2626B（config）#Vlan1。

3.4 雙防火墻的設計

雙防火墻方案的設計如圖2所示。為了顯著降低公共服務器的安全風險，在計算機網絡防火墻設計中可以設計2個防火墻——第一個防火墻可以在Internet連接處設計，從而為服務器提供保護，確保計算機網絡的安全運行；第二個防火墻可以設計在公共服務器和內部網絡之間，其主要目的是對內部網絡實施保護。在計算機網絡安全防護中應用這種保護技術，同時在其之間設計DMZ網絡，可以顯著提高計算機網絡的安全性。

4 計算機網絡安全的防火墻體系結構

4.1 屏蔽路由器

屏蔽路由器是一種防侵擾安全結構，能夠有效避免內部網絡受到外部網絡及參數網絡侵擾。因為它是實現內部網絡和外部網絡的唯一通道，所以也就能夠有效地對相關數據實施過濾。但是，由于是在IP層安裝報文過濾軟件的，這一軟件本身也就有報文過濾設置選項，所以也就能夠過濾一些簡單的報文。但是，如果其被成功攻陷，就會出現用戶識別問題。

4.2 雙穴主機網關

雙穴主機網關是采用一臺堡壘主機作為防火墻，并且要在這臺主機上安裝兩塊網卡，這樣就能夠發揮防火墻的作用。堡壘主機系統軟件不僅能夠維護系統日志，同時也能夠實施硬件拷貝日志和遠程日志功能。這一功能為計算機網絡檢查和管理工作提供了便利。其缺點是在計算機受到攻擊時，其攻擊對象則很難被網管員確認。一旦堡壘主機受到攻擊，那么之前的雙穴主機網關也就退化成為最簡單的路由器。

4.3 被屏蔽主機網關

在堡壘主機中只設置了1個網卡，以此連接內部網絡和被屏蔽主機網關。在路由器上將過濾規則設立出來，同時單宿堡壘主機也要被設置成為唯一一個能夠訪問Internet的主機，以此控制未授權外部用戶攻擊內部網絡。如果其保護的是一個虛擬擴展的本地網，并沒有設置子網及路由器，那么堡壘主機及屏蔽路由器的配置也就不會受到內部網絡變化的影響。有效限制堡壘主機及屏蔽路由器中的危險帶。網關基本控制作用實現的決定因素是安裝在其上的軟件。如果網絡安全的攻擊者設法登錄上去，那么也就會對內部網絡其余主機的安全造成嚴重威脅。這一情況與雙穴主機網關受到攻擊的影響差不多。

5 結束語

總之，在網絡技術不斷發展的背景之下，防火墻安全問題研究具有巨大的社會價值和經濟價值。我們要積極探索和完善計算機網絡防火墻技術設計，實現計算機網絡防火墻的規范化、標準化和現代化管理，切實提高計算機安全性。本研究提出的防火墻技術設計具有較高的安全性，并且操作也非常容易，具有較高的實用價值，所以在實際應用中可廣泛推廣。確保計算機網絡信息安全是一項復雜的系統工程，相關的安全措施有很多，僅靠其中的某一項或幾項是很難解決好網絡安全問題的。因此，在具體工作中，還需要根據網絡的實際情況制訂細致而全面的多級安全防范措施，盡可能提高網絡系統的安全性和可靠性，為社會發展提供基礎保證。

參考文獻

[1]包麗麗.關于計算機網絡防火墻的安全設計與應用分析[J].科技與創新，2016（13）.

[2]袁玉珠.計算機網絡防火墻的安全設計與應用研究[J].數字通信世界，2016（6）.

[3]閆伍岳.防火墻技術在計算機網絡信息安全中的應用研究[J].計算機光盤軟件與應用，2013（3）.

〔編輯：劉曉芳〕