計算機網絡安全中的防火墻技術研究

◆薄 楠

計算機網絡安全中的防火墻技術研究

◆薄 楠

（遼寧邊防總隊大連周水子邊防檢查站 遼寧 116033）

防火墻技術是一種重要且高效的計算機網絡安全防護技術，對構建安全的網絡運行環境具有現實意義。本文首先，簡要介紹了防火墻的相關概念；其次，重點對防火墻中的過濾、代理、檢測和協議等關鍵技術進行了介紹和分析；然后，研究了防火墻技術在安全服務配置、訪問策略配置和日志監控等方面的應用；最后，指出了防火墻相比于其他防護措施的優勢。

計算機網絡；安全防護；防火墻技術

0 前言

當前，計算機網絡技術不斷進步，不僅給人類的工作、生活、學習等各個方面都帶來了極大便利，而且幾乎在社會系統正常運行的各個領域發揮著不可替代的作用。然而，其存在的安全問題也時刻威脅著人們的個人信息和社會系統的正常運轉。計算機網絡存在的安全問題一旦為惡意攻擊者所利用，輕則導致人們無法正常使用計算機，擾亂正常的工作、生活、學習秩序，重則可能導致國家或企業的重要數據和核心信息遭到竊取并泄漏，帶來不可想象的嚴重后果和重大損失[1]。近年來，防火墻技術的不斷更新和優化，使其成為目前最為常用的防護技術之一,并得到了眾多用戶和安全防護人員的青睞[2]。防火墻技術操作起來既簡單方便,又可發揮其強大的防護功能,將來自外部網絡的威脅高效攔截。

1 防火墻簡介

防火墻是一種常用的網絡防護和隔離技術，通常由硬件和軟件兩個部分構成。防火墻技術的目的是為計算機運行提供安全的網絡環境，防止被惡意破壞或攻擊[3]。如基于網絡通信安全機制的防火墻技術僅接收對來自網絡上的已授權的信息，在計算機與網絡上的計算機進行通信之前，首先對網絡中的信息進行過濾、篩選和判別，通過判別，對安全的信息允許通過，對可能存在安全問題的信息則阻止通過。因此，防火墻可看作是計算機和網絡之間的安全檢查站，對計算機和網絡之間交互的信息進行檢查和處理。簡而言之，防火墻的主要功能可概括如下：（1）通過判別，屏蔽非法服務和用戶；（2）審計計算機系統的安全性；（3）阻止外部網絡竊取計算機內部信息；（4）通過強化安全策略，管理對網絡的訪問。

2 防火墻技術在計算機網絡安全中的應用

2.1 防火墻中的關鍵技術

防火墻中使用的關鍵技術主要包括過濾技術、代理技術、檢測技術和協議技術，下面分別簡要分析這幾個關鍵技術。

2.1.1 過濾技術

防火墻利用過濾技術，對非法或威脅數據進行過濾。過濾技術通常設置在TCP位置，對接收到的數據包，防火墻首先對該數據包的安全性進行檢查，根據數據包中是否存在不安全因素，執行相應的措施，如當發現其中包含可疑因素，或存在威脅網絡安全的潛在攻擊行為時，防火墻可立即切斷該數據包的流通。過濾技術能夠起到一定的預防作用，可控制威脅信息的傳輸，防止可以數據傳輸到內網，從而保證TCP區域的安全性。此外，過濾技術還常常用于路由器的防護。

2.1.2 代理技術

防火墻中的代理技術的主要作用是對內網和外網之間的數據進行中轉，其中，內網僅對代理發送來的請求給出回應，外網的其他請求則拒絕回應，從而將內網和外網隔離開來，避免內網和外網相互混淆。代理技術能夠在計算機網絡正常運行過程中的各個模塊中發揮作用，效果十分明顯。

2.1.3 檢測技術

防火墻中的檢測技術主要用于對網絡的當前狀態是否正常進行檢測。在各個不同層的網絡之間使用檢測技術來獲取網絡的當前狀態信息，并在此基礎上擴大計算機網絡安全的運行環境。檢測技術首先分析來自外網的數據包的狀態內容，然后將分析結果匯總為記錄表，通過對其中的規則表和狀態表的對比來識別其中的狀態內容。

2.1.4 協議技術

防火墻中的協議技術的主要作用是對來自外網的Dos攻擊進行防護。Dos攻擊是一種常用的黑客攻擊手段，且技術含量較低，無攻擊限制。防火墻中的協議技術通過提供網關服務，對內部網絡提供防護。協議技術確保服務器處于安全的網絡環境，從而避免來自外網的惡意攻擊。

2.2 防火墻技術的常見應用方式

2.2.1 安全服務配置

安全服務配置通常將需要保護的計算機網絡劃分為多個模塊，并將需要進行重點安全防護的模塊作為隔離區。與其他的安全防護措施相比，防火墻技術通過安全配置得到的隔離區域的特征往往更為獨特。對在隔離區域內的數據，防火墻首先利用地址轉換技術，將需要發送到外網的數據包的IP地址有轉換為公共IP，此時，即使惡意攻擊者試圖從外網解析源IP時，僅能得到轉換后的公共IP，而無法得到真實的IP。因此，安全服務配置使得在內網和外網進行數據交換時，攻擊者無法獲得真實的IP，僅能獲得虛假的IP，難以利用內網信息對內網造成攻擊，從而保障內網的安全性，防止來自外網的惡意攻擊。

2.2.2 配置訪問策略

訪問策略的主要實施方式之一是進行合理科學的配置。防火墻技術通過對網絡設置訪問策略，來實現對計算機網絡的安全防護。保護過程可簡要概括如下：

（1）將計算機運行中的信息分為多個不同的單位，對不同的單位，劃分成內部訪問保護和外部訪問保護。

（2）通過訪問策略，了解計算機網絡的運行特征以及運行過程中的目的、端口地址等各種地址，為規劃合理科學的保護方式提供依據。

（3）不同的訪問策略往往對應著計算機網絡中的不同的防護方式。防火墻技術根據不同環境下計算機的防護需求和實際應用，合理調整訪問策略，以最科學的配置對計算機的安全進行防護，在防護過程中，訪問策略會形成記錄訪問策略活動的相應表。

（4）在完全運行訪問策略后，將形成的訪問策略配置作為防火墻的配置，實現對計算機網絡安全的合理科學高效防護。

2.2.3 日志監控

通過分析防火墻的保護日志，往往能夠獲得一定有價值的信息。對日志的監控也是保護計算機網絡安全的常用措施之一，因此對日志監控的保護，也是防火墻的重要應用方式之一。在采集防火墻日志信息時，僅需要采集關鍵信息，并不需要采集所有的日志信息，這樣制作出的日志才能高效地發揮作用。在打開防火墻日志時，由于每天經過防火墻的數據量十分龐大，全部采集通常難度較大，且容易忽略關鍵信息，因此可通過對不同的類別進行劃分，來降低采集難度，并將提取的關鍵信息作為制作日志監控的依據。

2.3 應用防火墻的優勢與其他的防護技術相比，防火墻技術在識別網絡攻擊和保護網絡系統方面具有明顯優勢。

在識別網絡攻擊方面，隨著網絡技術的不斷發展和提高，計算機網絡遭受的攻擊種類越來越多，且攻擊方式不斷變化。面對如此種類繁多且多變的網絡攻擊方式，防火墻技術也在不斷更新和優化，利用自身優勢和特點，能夠對攻擊者的攻擊路徑、方式等特點進行判斷和識別，并能夠對當前攻擊的屬性進行準確判斷。在此基礎上，防火墻能夠針對不同攻擊方式的不同特點，采取相應的防護措施。因此，即使面對快速變化的攻擊方式，防火墻往往仍可對計算機網絡的運行環境提供有效的防護效果。

在保護網絡系統方面，與其他防護技術相比，防火墻技術的保護能力和保護水平較高。在實際中，計算機網絡遭受的攻擊往往種類較多攻擊方式多變，一般的防護措施很難確定其種類和方式，相比之下，防火墻技術往往能夠在較短的時間內，檢測到當前網絡可能遭受的攻擊行為，并能夠在合理的時間內采取相應的措施，保護計算機網絡不被攻擊。防火墻技術不僅能夠對計算機網絡系統的安全進行防護，還能強化網絡機構，對系統的整體性能的提升提供幫助。

3 結束語

計算機網絡技術的進步推動著社會經濟、生活等多個方面不斷向前發展。當前，各個行業都對計算機網絡有著前所未有的依賴程度，隨之而來的安全問題也日益嚴峻。防火墻技術是計算機網絡安全防護的重要且有效的方式之一。科學地利用防火墻技術，有助于構建計算機網絡安全的運行環境。

[1]李艷，黃光球.動態攻擊網絡演化分析模型[J].計算機應用研究，2016.

[2]尹西杰，徐建國.多防火墻技術在企業網絡安全中的研究及應用[J].計算機應用與軟件，2015.

[3]張艷斌.計算機網絡安全中防火墻技術的應用研究[J].計算機光盤軟件與應用，2014.