計算機網(wǎng)絡安全中的防火墻技術應用分析

賀兵

摘要：自從計算機面世以來，給人們的生活和生產(chǎn)發(fā)展帶來了諸多的便利，但計算機網(wǎng)絡安全問題也隨之而來。面對網(wǎng)絡的威脅，人們需要在計算機網(wǎng)絡安全中心應用防火墻技術。防火墻技術在實際運用中，可以保護計算機運行的安全、保護人們財產(chǎn)等信息的保密安全等。因此，充分發(fā)揮其作用，已逐漸成為一項重要的探索內(nèi)容。本文通過對防火墻的定義、原理、分類等內(nèi)容的概述，然后用實際案列來分析網(wǎng)絡安全問題的重要性，為解決計算機網(wǎng)絡安全問題提供了參考資料。

關鍵詞：防火墻計算機網(wǎng)絡安全應用分析

Abstract： Since the advent of computers， it has brought more convenience to people's life and production development. However， computer network security problems also follow. In face of network threats， we need to apply firewall technology in the computer network security center. In practical application， firewall technology can protect the security of computer operation and the confidentiality of people's property and other information. Therefore， giving full play to its role has gradually become an important exploration content. This article summarizes the definition， principle and classification of firewalls， and then uses actual cases to analyze the importance of network security issues， and provides reference materials for solving computer network security issues.

Key Words： Firewall; Computer; Network security; Application analysis

1 ?防火墻的概念

防火墻的功能主要是對數(shù)據(jù)包進行過濾，它可以監(jiān)控和過濾網(wǎng)絡上的數(shù)據(jù)包，從而拒絕發(fā)送可疑數(shù)據(jù)包，但它不能有效區(qū)分同意抵制IP的用戶，安全性相對較低[1]。

2 ?防火墻的基本原理

對應圖1、圖2的字節(jié)傳輸流程，可以分為以下幾層。

包過濾（Packet filtering）：在網(wǎng)絡層次結構中，僅根據(jù)IP地址、端口號和包頭的協(xié)議類型決定是否允許數(shù)據(jù)包通過。

應用代理（Application Proxy）：在應用層工作，編寫各種應用代理，實現(xiàn)應用層數(shù)據(jù)的檢測和分析。

狀態(tài)檢測（Stateful Inspection）：在2～4層工作，2～4的訪問控制模式與1相同，在整個處理過程中，針對的是整個連接，而不是單個數(shù)據(jù)包。因此，規(guī)則表、連接狀態(tài)表可以判斷數(shù)據(jù)包的通過與否。

完全內(nèi)容檢測（Compelete Content Inspection）：在2～7層工作，數(shù)據(jù)分析主要包括包頭信息和狀態(tài)信息，還包括恢復和分析應用層協(xié)議，有效防止混合安全威脅。

3 ?防火墻的分類

根據(jù)實現(xiàn)原理，防火墻技術分為4類：網(wǎng)絡級防火墻、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻。

3.1 ?網(wǎng)絡級防火墻

通過或失敗通常根據(jù)每個IP數(shù)據(jù)包的源地址和目標地址、應用程序、協(xié)議和端口來判斷。防火墻檢查每個規(guī)則，直到數(shù)據(jù)包信息與特定規(guī)則一致。當沒有需要滿足的規(guī)則時，防火墻使用基本規(guī)則。通常，基本規(guī)則是防火墻要求丟棄數(shù)據(jù)包。通過基于TCP或UDP數(shù)據(jù)包定義端口號，防火墻可以決定是否允許特定連接，如Telnet和FTP[2-3]。

3.2 ?應用級網(wǎng)關

應用級網(wǎng)關可以檢查傳入和傳出的數(shù)據(jù)包，并通過網(wǎng)關復制和傳輸數(shù)據(jù)，因此可以防止可靠的服務器和客戶端以及不可靠的主機之間的直接連接。應用層網(wǎng)關可以理解應用層中的協(xié)議，執(zhí)行更復雜的訪問控制，以及準確的注冊和審核[4]。

對于一種特殊的網(wǎng)絡應用服務協(xié)議，即數(shù)據(jù)過濾協(xié)議，可以分析數(shù)據(jù)包并編寫相關報告。應用程序網(wǎng)關提供對特定環(huán)境的嚴格控制，以方便登錄、控制所有輸入和輸出通信，并防止有價值的程序和數(shù)據(jù)被盜[5]。

3.3 ?電路級網(wǎng)關

在受信任的客戶端或服務器和不受信任的主機之間使用TCP握手信息確定會話是否合法。電路級網(wǎng)關過濾OSI模型會話層中的數(shù)據(jù)包。過濾防火墻必須有兩層以上。線路級網(wǎng)關代理服務器功能代理服務器是防火墻網(wǎng)關中設置的一種特殊的應用級代碼。通過此代理服務，網(wǎng)絡管理員可以允許或拒絕特定應用程序或應用程序的特定功能。數(shù)據(jù)包過濾技術和應用網(wǎng)關使用特定邏輯來決定是否允許特定數(shù)據(jù)包通過，從而成功隔離防火墻內(nèi)外的計算機系統(tǒng)[6-7]。

4 ?XX企業(yè)網(wǎng)絡安全防火墻技術應用分析

XX企業(yè)是一家化學公司。經(jīng)過多年的努力發(fā)展，在信息化建設方面，已經(jīng)取得了一定的規(guī)模。企業(yè)的信息化子系統(tǒng)主要有OA辦公自動化系統(tǒng)、人事系統(tǒng)、網(wǎng)站服務系統(tǒng)、DNS服務器等，這些內(nèi)部信息網(wǎng)絡系統(tǒng)的構建，覆蓋了整個企業(yè)所有的生產(chǎn)、管理及經(jīng)營部門。目前企業(yè)網(wǎng)絡系統(tǒng)工連接458臺電腦、12臺服務器、1臺路由器和多臺交換器，局域網(wǎng)絡包括各種辦公大樓和各種生產(chǎn)和管理部門，通過網(wǎng)通的200米非專用線路連接到外部網(wǎng)絡[8-9]。

4.1 ?網(wǎng)絡拓撲結構

通過現(xiàn)場調查，可知企業(yè)的網(wǎng)絡拓撲是星星形狀的，通過綜合調查，繪制了目前網(wǎng)絡的網(wǎng)絡拓撲，如圖3所示。

在整個企業(yè)網(wǎng)絡運行中，各網(wǎng)絡設備的使用和連接方法表述如下。

（1）外部網(wǎng)絡通過路由器，主要是企業(yè)LAN通過CISCO PIX 525安全硬件防火墻進行連接。

（2）通過配置CISCO 4506系列交換機與主交換機進行連接，主要打開了防火墻和內(nèi)部網(wǎng)絡之間的連接從而實現(xiàn)生產(chǎn)子網(wǎng)的分割。

（3）辦公區(qū)和服務區(qū)的子網(wǎng)，通過配置CISCO 2950型號的思科交換機6系列與主交換機進行連接，主要通過訪問防火墻，用于執(zhí)行生產(chǎn)業(yè)務的生產(chǎn)執(zhí)行系統(tǒng)服務器網(wǎng)絡運用于整個內(nèi)部網(wǎng)絡。

（4）管理安全區(qū)的網(wǎng)絡，也是通過配置子交換機與主交換機進行連接，從而管理和控制企業(yè)內(nèi)部整個網(wǎng)絡。

（5）企業(yè)的網(wǎng)絡連接，主要是通過局域網(wǎng)和網(wǎng)通的200米非專用線路進行連接傳輸網(wǎng)絡。

4.2 ?網(wǎng)絡系統(tǒng)風險評估結果

網(wǎng)絡系統(tǒng)的安全包括網(wǎng)絡病毒防御、入侵檢測系統(tǒng)和入侵防御系統(tǒng)、網(wǎng)絡警告和隔離、DMZ 區(qū)防護、安全審計等技術。XX企業(yè)只使用互聯(lián)網(wǎng)上常見的防火墻技術來隔離。殺毒服務器部署在服務網(wǎng)絡單元中，沒有采用防病毒網(wǎng)關技術，所以網(wǎng)絡防御功能只限于下載檢測防御和計算機的升級中。雖然VLAN在主交換機上有所區(qū)別，但網(wǎng)絡部分的劃分非?；靵y，整個網(wǎng)絡的拓撲結構非常復雜，結構不是很清楚[10-11]。通過評估，網(wǎng)絡層面的風險主要有如下問題。

（1） XX 企業(yè)有許多主服務器、數(shù)據(jù)和核心子網(wǎng)，需要高安全性，但它們沒有受到特別保護，或者只是被防火墻隔離，有些頑強的病毒系統(tǒng)的侵入會繞過防火墻的抵御攻擊，還有內(nèi)部局域網(wǎng)的遺漏也會造成網(wǎng)絡安全問題。

（2）在防火墻的訪問控制規(guī)則設置方面，過于謹慎，無法反映計劃的安全策略，并為攻擊者提供執(zhí)行攻擊的機會。

（3）服務器組與內(nèi)外網(wǎng)之間的連接沒有考慮到不同的安全水平，使用不同的訪問控制策略，劃分不同的安全水平，并建立DMZ 區(qū)域進行保護敏感信息的安全。

（4）子網(wǎng)境內(nèi)LAN可以互訪，若沒有對網(wǎng)絡安全訪問進行防御，同樣也會造成嚴重的安全風險問題。

（5）安全審計系統(tǒng)是企業(yè)的網(wǎng)絡系統(tǒng)的重要組成部分，一旦缺乏，網(wǎng)絡攻擊和入侵后，無法記錄相關信息并編寫系統(tǒng)安全日志報告。因此，快速、全面地了解當前的網(wǎng)絡安全形勢是無益的。

（6）普通手動數(shù)據(jù)備份方式的采用，比較落后。沒有可感知的數(shù)據(jù)恢復功能，重要數(shù)據(jù)無法實時自動備份恢復。

4.3 ?防火墻部署策略

在XX企業(yè)中，企業(yè)運行的458臺電腦，都是通過網(wǎng)通的公共網(wǎng)絡線連接到網(wǎng)絡，從而獲取網(wǎng)絡信息。其中，企業(yè)內(nèi)部郵件服務器，通過企業(yè)內(nèi)的WWW服務器，可以發(fā)送和接收郵件向外部世界提供服務?；谄髽I(yè)網(wǎng)絡安全的必要性，考慮到XX企業(yè)與外部網(wǎng)絡信息交換的規(guī)模，以及通過各種性價比和實際比較，選擇Cisco PIX525硬件防火墻作為網(wǎng)絡邊界的安全設備[12]。因此，必須設計兩個防火墻來保護企業(yè)網(wǎng)絡。

4.3.1 ?網(wǎng)絡邊界的防火墻

邊界防火墻是最傳統(tǒng)的防火墻，在內(nèi)部網(wǎng)和外部網(wǎng)的邊界上隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護警戒線的內(nèi)部網(wǎng)。所有外部服務請求只能在邊界防火墻的外部網(wǎng)絡卡上處理。收到數(shù)據(jù)包后，防火墻會對此進行分析。如果請求遵守規(guī)則，將通過內(nèi)部網(wǎng)絡卡發(fā)送到目標服務主機，而不遵守規(guī)則的請求將被拒絕。

4.3.2 ?生產(chǎn)子網(wǎng)邊界的防火墻

從邏輯上講，防火墻作為分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和網(wǎng)絡之間的所有活動，并保證內(nèi)部網(wǎng)絡的安全。防火墻用于保護內(nèi)部生產(chǎn)網(wǎng)絡的安全，并有效地控制和監(jiān)控對生產(chǎn)子網(wǎng)的訪問。通過過濾不安全的服務，防火墻可以大幅提高網(wǎng)絡安全，減少子網(wǎng)主機的風險。

5 ?結語

防火墻是保護網(wǎng)絡信息安全的重要技術。它正在變得越來越完善，但它不能滿足于維持現(xiàn)狀。目前，大多數(shù)防火墻設置在邊界位置上，內(nèi)網(wǎng)和外網(wǎng)之間還有子網(wǎng)，可以形成防火墻。然而，這種防火墻的缺點是，不僅外部網(wǎng)絡，還有內(nèi)部網(wǎng)絡都是一個很大的風險因素。病毒和其他不安全因素將攻擊該網(wǎng)絡。之前已討論過防火墻技術是不能完全保證網(wǎng)絡的安全性的，因此，為了提高它們的技術水平，需要更多的開發(fā)者去關注更嚴格的保護。

參考文獻

[1]劉恩軍.計算機網(wǎng)絡安全中防火墻技術應用分析[J].網(wǎng)絡安全技術與應用，2020（10）：56-57.

[2]楊婷.計算機網(wǎng)絡安全中的防火墻技術應用分析[J].數(shù)字技術與應用，2020（5）：25.

[3]王明明，岳文雷，楊振乾.網(wǎng)絡安全中的防火墻技術應用分析[J].網(wǎng)絡安全技術與應用，2019（9）：96-97.

[4]李潔帆.計算機網(wǎng)絡安全中的防火墻技術應用分析[J].科技視界，2019（3）：23-24.

[5]曾強.基于計算機網(wǎng)絡安全中防火墻技術應用分析J].電腦知識與技術，2020（1）：54.

[6]姜可.基于網(wǎng)絡安全維護的計算機網(wǎng)絡安全技術應用分析[J].計算機產(chǎn)品與流通，2020（4）：102.

[7]龐新煜.局域網(wǎng)下的計算機網(wǎng)絡安全技術應用分析[J].電子元器件與信息技術，2020（1）：20.

[8]石明.江西高速集團數(shù)據(jù)資源集成方案設計與應用[D].南昌：華東交通大學，2018.

[9]曲范.信息系統(tǒng)冗余功效測試和可靠性研究[D].西安：西安工業(yè)大學，2017.

[10]郭琬琦.計算機網(wǎng)絡安全中的防火墻技術應用探析[J].現(xiàn)代信息科技，2019（9）：63-64.

[11]武寧.計算機網(wǎng)絡安全中的防火墻技術應用[J].現(xiàn)代商貿(mào)工業(yè)，2021（3）：90.

[12]朱莉.網(wǎng)絡信息安全技術在計算機管理中的應用[J].電子世界，2021（5）：123-124.