防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用對策

摘 ?要：防火墻技術(shù)作為一種網(wǎng)絡(luò)安全方案，較好地滿足了現(xiàn)階段網(wǎng)絡(luò)安全的相關(guān)要求，實現(xiàn)了對各類網(wǎng)絡(luò)安全隱患的快速發(fā)現(xiàn)與有效應(yīng)對，是現(xiàn)階段較為主流的安全技術(shù)方案。為進(jìn)一步發(fā)揮防火墻技術(shù)的防護(hù)能力，文章從多個維度出發(fā)，系統(tǒng)化探討防火墻技術(shù)機(jī)理以及應(yīng)用方式，以期為后續(xù)相關(guān)實踐工作的開展提供參考。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防火墻技術(shù)

中圖分類號：TP393.08 ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2019）18-0131-02

Abstract：As a network security scheme，firewall technology satisfies the relevant requirements of network security at this stage，realizes the rapid detection and effective countermeasure of various network security hidden dangers，and is the mainstream security technology scheme at this stage. In order to further develop the protection capability of firewall technology，this paper systematically explores the mechanism and application of firewall technology from multiple dimensions，with a view to providing reference for the follow-up related practice.

Keywords：computer network;network security;firewall technology

0 ?引 ?言

網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)量的增多，使得網(wǎng)絡(luò)安全問題日益突出。在數(shù)據(jù)傳輸過程中，極易發(fā)生數(shù)據(jù)攔截、復(fù)制以及病毒攻擊等情況，給網(wǎng)絡(luò)的正常運行產(chǎn)生極為不利的影響，甚至引發(fā)網(wǎng)絡(luò)癱瘓，造成難以估量的損失。文章以防火墻技術(shù)為研究核心，立足于現(xiàn)階段計算機(jī)網(wǎng)絡(luò)安全的基本情況，結(jié)合防火墻技術(shù)工作的基本原理，以現(xiàn)有的技術(shù)手段為支撐，吸收過往有益經(jīng)驗，創(chuàng)新技術(shù)應(yīng)用手段，持續(xù)推動防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的科學(xué)高效應(yīng)用。

1 ?計算機(jī)網(wǎng)絡(luò)安全概述

對計算機(jī)網(wǎng)絡(luò)安全特點的梳理，有助于引導(dǎo)技術(shù)人員全面掌握計算機(jī)網(wǎng)絡(luò)安全防護(hù)的基本要求以及相關(guān)特性，為后續(xù)防火墻技術(shù)在安全防護(hù)中的應(yīng)用提供了方向性引導(dǎo)。

近些年來，隨著計算機(jī)網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，政府相關(guān)部門、相關(guān)企業(yè)以及技術(shù)團(tuán)隊從不同的角度出發(fā)，進(jìn)行計算機(jī)網(wǎng)絡(luò)安全體系的構(gòu)建，取得了一定的成效，我國計算機(jī)網(wǎng)絡(luò)安全性得到保障。計算機(jī)網(wǎng)絡(luò)安全依托于技術(shù)的支持以及安全策略的多元化，從過往情況來看，如果采取單一的安全策略，勢必造成網(wǎng)絡(luò)防護(hù)能力的下降。以電腦病毒為例，從熊貓燒香、沖擊波病毒到Windows勒索病毒，網(wǎng)絡(luò)攻擊行為的持續(xù)變化，要求計算機(jī)網(wǎng)絡(luò)安全機(jī)制以及相關(guān)安全技術(shù)，也應(yīng)當(dāng)實時進(jìn)行調(diào)整，以應(yīng)對變化的網(wǎng)絡(luò)攻擊行為[1]。計算機(jī)網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及入網(wǎng)途徑的日益多元化，在為用戶提供便捷化網(wǎng)絡(luò)服務(wù)的同時，也在很大程度上帶來了安全風(fēng)險，這就要采取相應(yīng)的技術(shù)手段，不斷完善網(wǎng)絡(luò)安全體系，增強(qiáng)安全防護(hù)能力，充分適應(yīng)計算機(jī)網(wǎng)絡(luò)安全防護(hù)需求，構(gòu)建完備的安全防護(hù)方案，防范各類安全風(fēng)險，為網(wǎng)絡(luò)用戶提供一個安全、穩(wěn)定的環(huán)境。

2 ?防火墻技術(shù)工作機(jī)理

為確保防火墻技術(shù)的有效應(yīng)用，避免技術(shù)應(yīng)用的盲目性，技術(shù)人員應(yīng)當(dāng)系統(tǒng)化掌握防火墻技術(shù)的工作原理以及主要類型，整體上把握防火墻技術(shù)，明確技術(shù)應(yīng)用的相關(guān)要求。

防火墻技術(shù)作為現(xiàn)階段計算機(jī)網(wǎng)絡(luò)安全防護(hù)的重要手段，具有安全防護(hù)能力強(qiáng)、操作簡單等優(yōu)點。從技術(shù)層面來看，防火墻通常情況下主要位于計算機(jī)網(wǎng)絡(luò)的邊界之上，并根據(jù)防護(hù)需求，實現(xiàn)對網(wǎng)絡(luò)間數(shù)據(jù)包以及連接方式的檢查評估，根據(jù)檢查評估結(jié)果決定防火墻采取允許訪問、拒絕訪問或者轉(zhuǎn)換訪問路徑等不同的方式來進(jìn)行應(yīng)對。隨著技術(shù)的日益成熟，防火墻的安全防護(hù)能力得到顯著提升，尤其是代理技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、狀態(tài)檢查技術(shù)的使用，在很大程度上增強(qiáng)了防火墻技術(shù)的技術(shù)能力，使其能夠快速有效地應(yīng)對各類網(wǎng)絡(luò)攻擊行為。具體來看，代理技術(shù)主要通過代理服務(wù)器對用戶的請求進(jìn)行合法性驗證，以代理服務(wù)器為基礎(chǔ)，防火墻能夠?qū)?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效地分割開來，外部用戶通過網(wǎng)絡(luò)只能完成對代理服務(wù)器的訪問，但是無法獲取代理服務(wù)器中的相關(guān)內(nèi)容。代理服務(wù)器只對獲得授權(quán)的用戶開放，在這種技術(shù)體系下，網(wǎng)絡(luò)防護(hù)能力得到了極大的提升，數(shù)據(jù)丟失和被竊取的風(fēng)險有所下降[2]。除了對用戶訪問進(jìn)行評估檢查之外，代理服務(wù)器還能夠?qū)Ω黝惥W(wǎng)絡(luò)協(xié)議進(jìn)行過濾，例如代理服務(wù)器能夠?qū)TP連接進(jìn)行過濾，不再執(zhí)行FTP的相關(guān)指令，從而使得網(wǎng)絡(luò)用戶收取匿名文件時，大大減少了網(wǎng)絡(luò)攻擊的成功率。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)以防火墻為界，對網(wǎng)絡(luò)進(jìn)行了分割，形成內(nèi)部網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)兩部分，并在內(nèi)部網(wǎng)絡(luò)中，設(shè)置特定的IP地址，這些特定的IP地址，無法直接訪問互聯(lián)網(wǎng)，而是需要在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的支持下，在訪問之前，快速進(jìn)行IP地址的轉(zhuǎn)換，確保網(wǎng)絡(luò)訪問能力。隨著技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的成熟，其轉(zhuǎn)換效率得到提升，轉(zhuǎn)換的準(zhǔn)確性得到保障，大大降低了網(wǎng)絡(luò)訪問的延遲率，為用戶提供較好的服務(wù)體驗。同時網(wǎng)絡(luò)地址轉(zhuǎn)換對IP地址的轉(zhuǎn)換，也使得網(wǎng)絡(luò)攻擊行為的開展難度大大增加，難以開展針對性的網(wǎng)絡(luò)攻擊，營造出一個良好的網(wǎng)絡(luò)安全環(huán)境。狀態(tài)檢測技術(shù)作為一種有效的防火墻技術(shù)方案，實現(xiàn)了網(wǎng)絡(luò)動態(tài)端口協(xié)議的檢測以及評估，在狀態(tài)檢測技術(shù)框架下，實現(xiàn)了在相應(yīng)的端口形成完整的數(shù)據(jù)流，形成穩(wěn)定、高效的數(shù)據(jù)交互通道。與其他防火墻技術(shù)相比，狀態(tài)檢測技術(shù)具有更高的靈活性，能夠根據(jù)實際情況，在短時間內(nèi)做好判斷，完成網(wǎng)絡(luò)動態(tài)端口的關(guān)閉或者打開處理[3]。防火墻技術(shù)的多元化特性，使得其能夠較好地滿足不同場景下的計算機(jī)網(wǎng)絡(luò)安全防護(hù)需求，大幅度增強(qiáng)防護(hù)能力，更好地應(yīng)對網(wǎng)絡(luò)攻擊行為，避免在計算機(jī)網(wǎng)絡(luò)運行過程中，出現(xiàn)數(shù)據(jù)丟失、泄密以及被復(fù)制的情況，為用戶營造出一個穩(wěn)定的網(wǎng)絡(luò)環(huán)境，切實滿足現(xiàn)階段計算機(jī)網(wǎng)絡(luò)使用以及發(fā)展的相關(guān)要求。

3 ?防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中應(yīng)用的基本方法

防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的有序使用，要求技術(shù)人員明確現(xiàn)階段計算機(jī)網(wǎng)絡(luò)安全的特點，明確防火墻技術(shù)的工作原理以及基本類型，在此基礎(chǔ)上，調(diào)整技術(shù)方案，確保防火墻技術(shù)的防護(hù)能力，提升計算機(jī)網(wǎng)絡(luò)安全等級，降低網(wǎng)絡(luò)風(fēng)險。

3.1 ?制定安全服務(wù)配置方案

防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)應(yīng)用的過程中，技術(shù)人員需要從實際需求出發(fā)，以需求為導(dǎo)向，制定、優(yōu)化、調(diào)整防火墻技術(shù)方案，選擇具有針對性的防火墻技術(shù)，從而大幅度增強(qiáng)計算機(jī)網(wǎng)絡(luò)安全防護(hù)能力，減少網(wǎng)絡(luò)安全事故的發(fā)生。除此之外，在防火墻技術(shù)應(yīng)用環(huán)節(jié)，技術(shù)人員還應(yīng)當(dāng)做好安全服務(wù)配置工作，制定相應(yīng)的配置方案。通過安全服務(wù)配置，將服務(wù)器、網(wǎng)絡(luò)以及計算機(jī)系統(tǒng)進(jìn)行分割，形成一個獨立單元，經(jīng)過這種技術(shù)處理使得服務(wù)器既屬于內(nèi)部網(wǎng)絡(luò)的一部分，又是一個局域網(wǎng)絡(luò)，從而在滿足用戶訪問以及數(shù)據(jù)獲取需求的同時，保證了數(shù)據(jù)的安全性。尤其是在安全服務(wù)配置后，技術(shù)人員通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，將受保護(hù)網(wǎng)絡(luò)的IP地址，以映射的方式形成幾個外網(wǎng)IP地址，這不僅能夠更好地保護(hù)內(nèi)部網(wǎng)絡(luò)以及相關(guān)用戶，增強(qiáng)網(wǎng)絡(luò)安全性，防范針對性的網(wǎng)絡(luò)攻擊行為，同時在一定程度上，降低了網(wǎng)絡(luò)構(gòu)建與使用成本，避免了額外的費用支出[4]。例如在安全服務(wù)配置過程中，如果已經(jīng)設(shè)置了邊界路由器，技術(shù)人員則可以充分借助邊界路由器，通過邊界路由器的過濾功能，實現(xiàn)防火墻靈活調(diào)控，對防護(hù)范圍以及防護(hù)對象進(jìn)行優(yōu)化，確保安全服務(wù)配置作用的充分發(fā)揮。

3.2 ?優(yōu)化調(diào)整網(wǎng)絡(luò)訪問機(jī)制

作為防火墻技術(shù)的核心，網(wǎng)絡(luò)訪問機(jī)制設(shè)置水平對于防火墻的防護(hù)能力有著極為深遠(yuǎn)的影響。基于這種認(rèn)知，在防火墻技術(shù)應(yīng)用過程中，應(yīng)采取慎重的態(tài)度進(jìn)行技術(shù)應(yīng)用。從過往情況來看，在網(wǎng)絡(luò)訪問機(jī)制構(gòu)建環(huán)節(jié)，有必要結(jié)合實際，梳理內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的源地址、目標(biāo)地址、TCP端口以及UDP端口，并結(jié)合計算機(jī)網(wǎng)絡(luò)執(zhí)行各類指令的頻繁度，進(jìn)行相應(yīng)的訪問機(jī)制規(guī)劃，形成最優(yōu)化的網(wǎng)絡(luò)訪問方案[5]。這是由于防火墻在運行過程中，其根據(jù)相應(yīng)的規(guī)則進(jìn)行查找，為了保證防火墻運行的效率，在網(wǎng)絡(luò)訪問機(jī)制優(yōu)化調(diào)整過程中，還應(yīng)當(dāng)做好防火墻常用規(guī)則順序的調(diào)整，將常用規(guī)則放在前部，以此來確保防火墻反應(yīng)的靈敏度，滿足用戶日常的上網(wǎng)需求。

3.3 ?實行日志監(jiān)控

作為防火墻防護(hù)體系的重要組成，日志監(jiān)控在整個安全防護(hù)過程中發(fā)揮著積極作用。現(xiàn)階段日志內(nèi)信息數(shù)據(jù)較多，給日志使用以及安全措施的制定造成了一定的困擾，導(dǎo)致安全日志的作用無法有效發(fā)揮。為了應(yīng)對這一情況，在應(yīng)用防火墻技術(shù)的過程中，應(yīng)當(dāng)做好日志監(jiān)控工作，在監(jiān)控過程中，不斷增強(qiáng)信息記錄的針對性以及有效性。對于計算機(jī)防火墻發(fā)出的警報進(jìn)行記錄，對于流量信息則可以選擇性記錄，以記錄影響計算機(jī)網(wǎng)絡(luò)安全的流量信息為主。

4 ?結(jié) ?論

防火墻技術(shù)的應(yīng)用，在很大程度上提升了計算機(jī)網(wǎng)絡(luò)安全，有助于持續(xù)發(fā)揮防火墻技術(shù)的積極作用，科學(xué)應(yīng)對各類網(wǎng)絡(luò)安全問題。文章在全面分析計算機(jī)網(wǎng)絡(luò)安全以及防火墻工作機(jī)理的基礎(chǔ)上，吸收過往有益經(jīng)驗，創(chuàng)新技術(shù)應(yīng)用方法，扎實推進(jìn)防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用質(zhì)效。

參考文獻(xiàn)：

[1] 武變霞，王會芳.防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用對策 [J].科技傳播，2018，10（9）：147-148.

[2] 郭俊葳.淺析校園計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù) [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（6）：65+74.

[3] 王喜威.淺析計算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用 [J].自然科學(xué)（文摘版），2017（8）：339.

[4] 李菲.計算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究 [J].電子測試，2018（8）：67-68.

[5] 劉星.計算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（9）：28-29.

作者簡介：駱泓瑋（1980.06-），男，漢族，湖北武漢人，副教授，碩士，研究方向：網(wǎng)絡(luò)技術(shù)。