計算機網(wǎng)絡安全中的防火墻技術應用

楊子鴻

（湖南省株洲市工業(yè)中等專業(yè)學校，湖南 株洲 412000）

1 簡析防火墻技術的概念及特點

1.1 概 念

計算機網(wǎng)絡安全防火墻主要指的是借助各種安全管理和篩選的軟硬件設備應用，為計算機在內(nèi)網(wǎng)與外網(wǎng)之間相對隔絕的保護屏障創(chuàng)建提供幫助，進而達到為用戶基本資料提供保護和對信息安全提供保障的目的。其置于內(nèi)網(wǎng)與外網(wǎng)之間的位置，在實際的應用過程中能夠讓不具備威脅性的信息順利通過，將一些存在威脅的信息阻止在外，原理如圖1所示。在這種情況下，防火墻技術能夠很大程度上增強網(wǎng)絡安全憑證，同時避免了計算機內(nèi)部信息泄露情況的發(fā)生。除此之外，其對于計算機網(wǎng)絡的訪問與存取信息的檢查及監(jiān)控也有重要意義，全面提升了計算機網(wǎng)絡的安全程度。防火墻技術的結構非常復雜，同時其形式非常多樣。實際應用過程中被應用最多的是IP協(xié)議的裝載，就是在已經(jīng)擁有的IP協(xié)議上進行防火墻軟件的安裝[1]。

圖1 防火墻應用原理

1.2 特 點

計算機網(wǎng)絡技術的應用過程中，存在最嚴重的安全風險是信息的風險。第一，符合網(wǎng)絡信息安全條件的網(wǎng)絡信息才能順利通過防火墻。這種技術的應用有效避免了病毒和垃圾信息的入侵，其應用的原理在于有效阻斷信息傳遞的過程，有效攔截信息中的病毒及相應的垃圾信息，進而加強了計算機網(wǎng)絡信息的安全維護。第二，防火墻自身具有非常強的免疫功能，能夠有力抵御各種黑客和病毒的攻擊，同時在實際的計算機整體工作性能維護過程中，防火墻具有認證各類信息是否安全、阻斷不良信息傳遞以及實現(xiàn)維護網(wǎng)絡信息整體安全的強大功能[2]。

2 防火墻的基本類型

2.1 分組過濾型

分組過濾型的防火墻是現(xiàn)階段被應用最為廣泛的安全手段。其具有經(jīng)濟支出較少和網(wǎng)絡安全保護效果好的特點，因此深受各個企業(yè)的青睞。在實際的應用過程中，分組過濾型防火墻最主要的作用是在計算機網(wǎng)絡的網(wǎng)絡層及傳輸層按照分組包頭源地址、目的地址、端口號以及協(xié)議類型等信息的相關條件，確定其是否能夠通過防火墻，只有滿足相關條件的信息和數(shù)據(jù)才能夠通過防火墻進入相應的目的地和出口端。對于經(jīng)過檢測后不滿足條件的數(shù)據(jù)，將會從數(shù)據(jù)流中丟棄。將此類透明的防火墻系統(tǒng)設置于包過濾路由器上，在實際的應用過程中不僅具有配置簡單的特點，而且其對網(wǎng)絡性能的提升具有重要意義。但是此類防火墻在實際的應用過程中也存在一定的問題，就是信息過濾的范圍比較小，只能對網(wǎng)絡層及傳輸層的數(shù)據(jù)信息進行過濾，部分協(xié)議無法過濾，同時其缺少一定的信任度，導致其在實際運用過程中存在較大的漏洞[3]。

2.2 應用代理型

通常情況下，應用代理型的防火墻被主要應用在計算機網(wǎng)絡中的應用層，在應用的過程中，其將對應用服務進行專門代理程序的編制，進而實現(xiàn)對應用層通信流的高效監(jiān)控。在實際的使用過程中應當注意的是，代理服務需要嚴格控制內(nèi)外部主機連接的場合，若內(nèi)外部主機本身能夠進行相互通信，那么就不必要使用代理服務，即便使用代理服務，其作用也不能夠被完全發(fā)揮出來。此外，代理服務器在使用的過程中并不能將用戶的所有服務請求都提交到互聯(lián)網(wǎng)服務器中，所以只能夠在一定程度上控制用戶的請求，有些請求甚至會被直接否定。由于代理應用型的特殊應用程序，每一種服務類型需要其特定的代理，在這種情況下服務器端需要進行非常復雜的配置，代理軟件通常分為服務器端軟件和客戶端軟件，所以在客戶實際應用此類型防火墻的過程中應當安裝相應的軟件或作出相應的網(wǎng)絡設置[4]。

2.3 狀態(tài)檢測型

狀態(tài)檢測型的防火墻在實際應用過程中并沒有使用包過濾防火墻，僅僅是通過IP地址及幾個有限的參數(shù)防護計算機網(wǎng)絡。此類防火墻應用的核心在于通過創(chuàng)設狀態(tài)連接表，使每個進入計算機網(wǎng)絡內(nèi)部的數(shù)據(jù)轉化成為會話的形式，然后按照實際狀態(tài)連接表創(chuàng)設過程中的對話狀態(tài)對整個傳輸過程進行全面、完整的控制。這種類型的防火墻可以被應用于很多類型的網(wǎng)絡環(huán)境，即便在規(guī)則復雜的大規(guī)模網(wǎng)絡中也具有非常強的使用意義[5]。

狀態(tài)檢測性防火墻的實際應用過程中，當防火墻接收到初始化TCP連接的SYN包時，這個數(shù)據(jù)包被防火墻的規(guī)則庫進行詳細檢查。在檢查過程中，此SYN包在規(guī)則庫中依次檢測，當所有規(guī)則在自動檢測后沒有被接受，那么就會導致被拒絕，此時一個RST的數(shù)據(jù)包就會被發(fā)送到遠端的機器。若此包能夠被接受，那么這個繪畫記錄將會被送到位于內(nèi)核模式狀態(tài)的監(jiān)測表里，此時應當進行時間溢出值的設置。沒有SYN標志的數(shù)據(jù)包就會進行與該狀態(tài)監(jiān)測表內(nèi)容的比較，若比較結果顯示會話處于狀態(tài)表內(nèi)，則數(shù)據(jù)包屬于會話的一部分，這時數(shù)據(jù)包會被接受，反之該數(shù)據(jù)包會被丟棄[6]。狀態(tài)檢測型防火墻的原理如圖2所示。

圖2 狀態(tài)檢測型防火墻的原理

3 現(xiàn)階段常見的計算機網(wǎng)絡安全隱患

3.1 計算機網(wǎng)絡硬件

在計算機網(wǎng)絡技術的實際應用過程中，影響計算機網(wǎng)絡安全的最主要因素是計算機網(wǎng)絡的硬件設施。實際的應用過程中，各類計算機硬件設施本身就存在不同等級的安全隱患。通常情況下，出現(xiàn)頻率比較高的有電子輻射泄露和電磁信息泄漏等，這種現(xiàn)象的發(fā)生將會導致計算機網(wǎng)絡中很多信息被泄露，進而出現(xiàn)泄密和竊密威脅。除此之外，很多安全問題體現(xiàn)在通信層面，大多數(shù)的數(shù)據(jù)信息交換及傳遞是通過光纜、專線以及微波等線路進行。在這個過程中，電話線、微波以及專線線路中流經(jīng)的信息非常容易被不法分子獲取，同時計算機在運行過程中，一些已經(jīng)有的操作系統(tǒng)和硬件之間也可能存在很大的脆弱性，最終導致系統(tǒng)應用受到嚴重的安全威脅[7]。

3.2 計算機軟件漏洞

現(xiàn)階段，大量應用性能比較高的軟件在設計之初就存在很多的漏洞及缺陷問題，計算機操作系統(tǒng)也是這樣。在計算機系統(tǒng)主機的實際運行過程中，經(jīng)常會存在具有獨立性的明顯漏洞。在這種情況下，很多攻擊人員會借助漏洞對計算機系統(tǒng)進行破壞，可能導致主機逐漸陷入癱瘓狀態(tài)，使多項資料丟失，進而對系統(tǒng)的穩(wěn)定運行造成嚴重的負面影響[8]。

3.3 黑客惡意攻擊

在計算機網(wǎng)絡技術的使用過程中，黑客攻擊屬于人為的網(wǎng)絡安全問題，這種現(xiàn)象的出現(xiàn)將會對計算機網(wǎng)絡安全造成嚴重的危害。黑客攻擊人員會選擇很多種方法對系統(tǒng)中出現(xiàn)的運行問題進行集中判定，查找系統(tǒng)運行存在的漏洞，并借此漏洞對其進行攻擊，進而導致計算機內(nèi)部信息丟失，甚至造成計算機癱瘓。現(xiàn)階段，黑客攻擊人員大多數(shù)使用的方式是信息攔截和數(shù)據(jù)竊取等入侵方式，對系統(tǒng)進行攻擊，導致系統(tǒng)中很多重要數(shù)據(jù)遭到破壞，進而造成系統(tǒng)運行的癱瘓，從而對網(wǎng)絡安全產(chǎn)生較大的負面影響[9]。

3.4 木馬病毒

木馬病毒是最為常見的病毒，這種病毒大多隱藏于計算機的某些程序中，一旦計算機應用人員打開含有病毒的程序，那么病毒就會被激發(fā)。病毒被激發(fā)后對計算機的應用功能及數(shù)據(jù)的信息安全造成嚴重的威脅，甚至可能會使計算機陷入癱瘓狀態(tài)。木馬病毒之所以被稱之為病毒，主要是因為其具有超強的傳播復制能力，同時計算機應用人員運行含有病毒的程序時，也會導致計算機現(xiàn)有的文件及程序遭到木馬病毒的入侵。尤其是在現(xiàn)階段開放性極強的網(wǎng)絡環(huán)境中，木馬病毒的復制和傳播效率得到了很大提升，能夠偽裝在很多類型的軟件中，而且在實際的應用過程中木馬病毒會引導大量用戶下載并安裝此類軟件。用戶將此類軟件下載到計算機之后，木馬病毒就會第一時間進行相應權限的獲取，對計算機用戶信息資料產(chǎn)生較大的安全威脅[10]。

4 完善計算機網(wǎng)絡安全中的防火墻技術應用的對策

4.1 應用復合技術

復合型防火墻技術的應用是在應用代理防火墻和包過濾防火墻的基礎上，將兩種防火墻的優(yōu)勢進行高效結合，在實際的使用過程中能夠彌補互相之間的不足。此類復合型的防火墻技術在整個計算機內(nèi)部網(wǎng)絡中能夠起到不同等級的保護作用。借助對計算機中存在的各種可能對安全產(chǎn)生問題的因素進行高效判斷，有效阻止外部的不良入侵，其主要的運行機制在于通過認證形式為網(wǎng)絡安全提供保障，通過引用動態(tài)過濾方式實現(xiàn)信息的安全交換。

4.2 網(wǎng)絡監(jiān)控日志

在計算機的使用過程中，網(wǎng)絡監(jiān)控日志主要包括的是計算機網(wǎng)絡技術在實際運行過程中產(chǎn)生的全部信息。一旦發(fā)生網(wǎng)絡安全問題，監(jiān)控網(wǎng)絡日志能夠幫助操作人員提升發(fā)展問題的效率，對于提升計算機網(wǎng)絡安全質(zhì)量具有非常積極的意義。與此同時，在防火墻技術的實際應用過程中能夠幫助管理人員以最快的速度發(fā)現(xiàn)網(wǎng)絡日志中的有效信息，進而達到提升防火墻性能的目的，尤其是利用防火墻能夠記憶防病毒程序，加強過程控制及清理力度，實現(xiàn)有效的網(wǎng)絡日志控制，將防火墻收集到的全部信息存儲在數(shù)據(jù)庫中，然后進行信息提取，進而達到屏蔽目的[11]。

4.3 合理應用代理防火墻

在計算機網(wǎng)絡安全設置中，合理應用代理防火墻能夠提升網(wǎng)絡安全防護質(zhì)量。當計算機內(nèi)網(wǎng)需要進行外網(wǎng)訪問時，為了防止在訪問過程中出現(xiàn)安全風險，可以借助代理防火墻進行訪問動作的代理執(zhí)行，然后將外網(wǎng)信息傳輸?shù)絻?nèi)網(wǎng)中。在進行外網(wǎng)訪問的過程中，所有被訪問到的數(shù)據(jù)都會經(jīng)過防火墻的處理，所以具有非常高的安全性，同時能夠很高效地滿足用戶的訪問需求。

5 結 論

隨著計算機網(wǎng)絡系統(tǒng)應用的普及程度越來越高，各行各業(yè)的發(fā)展都離不開計算機網(wǎng)絡技術的支持，其有效應用在很大程度上能夠促進我國經(jīng)濟的高效發(fā)展，但在實際的應用過程中仍存在很多問題。對此，應當進一步完善防火墻技術，進而實現(xiàn)我國計算機網(wǎng)絡系統(tǒng)的高效應用。