計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用

摘要：隨著計算機及其通信技術(shù)獲得突破，網(wǎng)絡(luò)時代的大幕也隨之降臨。毫無疑問的，計算機互相通信所形成的數(shù)據(jù)網(wǎng)絡(luò)徹底地改變了所有人的生活方式，并給人們的生活留下了深深的烙印。無獨有偶，計算機網(wǎng)絡(luò)給社會帶來諸多便利的同時，其中蘊藏的危險也時刻威脅著網(wǎng)絡(luò)用戶的信息與隱私安全。為了減少網(wǎng)絡(luò)攻擊帶來的負面影響，必須對網(wǎng)絡(luò)安全防范工作重視起來，為此，本文就計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)的應(yīng)用情況進行簡要的分析。

關(guān)鍵字：計算機網(wǎng)絡(luò)安全;數(shù)據(jù)通信網(wǎng)絡(luò);防火墻技術(shù)應(yīng)用

經(jīng)過多年的發(fā)展，互聯(lián)網(wǎng)技術(shù)通過技術(shù)融合，其觸角已經(jīng)延伸到了社會的各個角落。然而網(wǎng)絡(luò)信息及集成化、通用化的這把雙刃劍，一方面在滿足普通民眾信息獲取需求，另一方面也給不法分子提供了竊取和破壞的渠道。基于此種情況，用于過濾訪問信息，甄別區(qū)分有害信息的防火墻應(yīng)運而生，通過防火墻來保護企業(yè)內(nèi)網(wǎng)信息，防范黑客網(wǎng)絡(luò)攻擊已成為企業(yè)信息部門的共識。

1 計算機通信網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全問題

1.1非法訪問與信息竊密

在網(wǎng)絡(luò)時代的大環(huán)境下，信息數(shù)據(jù)的安全問題逐漸引起人們的重視，其中發(fā)生概率最大，最令人防不勝防的網(wǎng)絡(luò)攻擊手段當屬非法訪問與秘密偵聽。首先，攻擊者通常以端口鏡像技術(shù)用終端應(yīng)用層軟件截訪問取攻擊目標的合法報文，通過分析這些報文的發(fā)送規(guī)律、加密規(guī)律、訪問目的地址、物理地址映射關(guān)系等要素，如果攻擊目標的網(wǎng)絡(luò)安全防范措施不到位，其網(wǎng)絡(luò)系統(tǒng)存在的漏洞就有可能被不法分子所利用，使得攻擊者可以輕易的破解出其加密密鑰或訪問報文數(shù)據(jù)格式，然后攻擊者通過得到的信息偽造訪問報文對目標進行試探性攻擊，來檢測攻擊目標的網(wǎng)絡(luò)安全防范情況，一旦被攻擊目標對攻擊者偽造的報文發(fā)出非拒絕響應(yīng)，攻擊者則會進一步增加非法訪問力度或嘗試提升偽造訪問權(quán)限，來盜竊獲取更多信息。

1.2數(shù)據(jù)綁架勒索與蓄意破壞

在計算機網(wǎng)絡(luò)安全方面，相比于用戶數(shù)據(jù)服務(wù)器所面臨非法訪問與秘密偵聽，發(fā)生有針對性的數(shù)據(jù)綁架與破壞的概率相對較小，但其危害性和影響范圍則遠大于前者。攻擊者對目標發(fā)起破壞性的網(wǎng)絡(luò)攻擊行為，需要首先搶占其關(guān)鍵節(jié)點設(shè)備和重要信息存儲網(wǎng)元的控制權(quán)限，這就需要事先在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層尋找缺省狀態(tài)下開啟，而沒有受到網(wǎng)絡(luò)安全措施監(jiān)管的端口或協(xié)議。而后利用這些漏洞逐步破解其訪問控制數(shù)據(jù)，進而奪取攻擊目標的控制權(quán)限。以最近影響較為惡劣的勒索病毒為例，這種病毒是美國中情局開發(fā)的一種網(wǎng)絡(luò)戰(zhàn)武器，專門用于攻擊各種信息存儲節(jié)點，它的攻擊原理就是通過偽造打印機等外接設(shè)備訪問報文的頭部信息并用病毒程序作為其信息內(nèi)核，在互聯(lián)網(wǎng)內(nèi)廣播來偵測各個網(wǎng)關(guān)對445端口、138端口等非關(guān)鍵性邏輯端口的監(jiān)管情況，如果攻擊報文通過了過濾，就會對其內(nèi)網(wǎng)信息予以加密，最終實現(xiàn)勒索目的。

2.防火墻技術(shù)簡介

2.1訪問控制列表

防火墻作為屏蔽有害信息的重要硬件工具，其實現(xiàn)功能的最關(guān)鍵技術(shù)就是通過訪問控制列表或IP前綴對訪問報文做出限制性訪問策略，這在絕大多數(shù)企業(yè)機關(guān)的網(wǎng)絡(luò)設(shè)備上都有所部署。其工作原理是根據(jù)實際情況，在防火墻等網(wǎng)關(guān)設(shè)備上建立一個通過或拒絕策略，這個策略可以根據(jù)不同的網(wǎng)絡(luò)信息而設(shè)定，即可以針對源訪問IP地址段（根據(jù)掩碼設(shè)置）、目的IP地址段、指定MAC地址來過濾篩選信息，也可以針對自身的傳輸層邏輯端口設(shè)定。通過手動關(guān)閉常用端口和丟棄未知來源的可疑報文，就可以在很大程度上避免了上文中提到的攻擊手段。除此之外，利用在防火墻上部署ACL（訪問控制列表）也可以對訪問的合法報文做標簽，然后通過對標簽的管理和監(jiān)控，來實現(xiàn)對網(wǎng)絡(luò)流量的管理監(jiān)控。

2.2加密VPN技術(shù)

目前很多企業(yè)的業(yè)務(wù)都有異地數(shù)據(jù)通信需求，而將企業(yè)隱私信息在互聯(lián)網(wǎng)上直接傳播不利于信息安全，也給自身的網(wǎng)絡(luò)安全帶來隱患。在此情況下VPN技術(shù)應(yīng)運而生，虛擬專業(yè)隧道技術(shù)，既VPN技術(shù)是利用互聯(lián)網(wǎng)的既有物理傳輸介質(zhì)傳輸專網(wǎng)報文，因此這種技術(shù)天生具有加密傳輸?shù)奶攸c，非常適合網(wǎng)絡(luò)安全協(xié)議的部署。常見的VPN技術(shù)包括通過防火墻設(shè)置出入棧號的IPsec VPN、利用MPLS標簽尋址的MPLS VPN、利用鏈路層VLAN tag堆疊傳播的所謂“二層vpn”等多種技術(shù)。這些vpn根據(jù)企業(yè)規(guī)模大小、傳輸業(yè)務(wù)特點進行選擇性部署，但都需要防火墻作為其不同地點網(wǎng)關(guān)而存在。

3.防火墻技術(shù)在網(wǎng)絡(luò)中的運用情況

3.1對用戶網(wǎng)絡(luò)行為進行監(jiān)管

上文中提到，防火墻具有過濾訪問報文、阻止可疑數(shù)據(jù)通過的功能，從廣義上講，這種功能就是網(wǎng)絡(luò)行為監(jiān)管功能的一種體現(xiàn)。防火墻利用自身的網(wǎng)關(guān)功能，根據(jù)控制列表選擇性通過不僅針對于外部，對于內(nèi)部報文的流出，防火墻也可以有針對性的放行，這種功能在很多企業(yè)也得到應(yīng)用，主要目的同樣是對用戶的網(wǎng)絡(luò)行為進行監(jiān)管，比如在工作期間防止員工瀏覽淘寶、天貓等非工作用途的網(wǎng)頁或玩網(wǎng)絡(luò)游戲等。另一方面，防火墻還具有“交通警察”的功能，在傳輸資源不足導(dǎo)致信道擁塞時，防火墻可以根據(jù)QOS協(xié)議或令牌環(huán)對數(shù)據(jù)通過的優(yōu)先級進行排序，用流量行為和流量策略互相配合讓緊急重要的業(yè)務(wù)數(shù)據(jù)優(yōu)先通過，而對實時性不敏感，或者非緊急的次要業(yè)務(wù)延后通過。

3.2、訪問用戶信息與流量監(jiān)控

防火墻技術(shù)對于網(wǎng)絡(luò)安全的作用，一方面體現(xiàn)在對用戶網(wǎng)絡(luò)行為的管理方面，另一方面則體現(xiàn)在其對與網(wǎng)絡(luò)流量的統(tǒng)計和監(jiān)控方面。雖然流量的統(tǒng)計分析與監(jiān)控對網(wǎng)絡(luò)安全的提升起到的作用并不是立竿見影，但是通過防火墻對數(shù)據(jù)流量的數(shù)據(jù)匯總可以有效的檢測出網(wǎng)絡(luò)安全存在的隱患，對提升網(wǎng)絡(luò)性能，修補安全漏洞提供了有力的依據(jù)。目前防火墻廠家主要包括華為、思科等，這些廠商在防火墻的功能完善與人機交互方面都對流量的監(jiān)管進行了優(yōu)化，不僅繼承了VRP代碼的強大功能，還增加了圖形化操作，方便了學(xué)習(xí)和使用。此外，通過設(shè)置流量參數(shù)或者設(shè)置圖表，可以一目了然的看出產(chǎn)生流量最多的幾種應(yīng)用，或IP地址，通過分析這些用戶行為，也能排查出可能存在的異常。

結(jié)束語：

計算機網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用大大提升了社會生產(chǎn)力，但是從另一方面來看，計算機網(wǎng)絡(luò)安全問題也日益嚴峻，做好網(wǎng)絡(luò)安全防范措施就顯得格外關(guān)鍵。該文先就計算機網(wǎng)絡(luò)安全以及安全威脅的特征進行闡述，然后就計算機網(wǎng)絡(luò)安全問題以及安全技術(shù)和防范策略詳細探究，希望能通過對計算機網(wǎng)絡(luò)安全技術(shù)的研究分析，能為解決實際問題有所裨益。

參考文獻

[1]袁康樂.計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（5）：11-13.

[2]趙茂伸，姜維.計算機網(wǎng)絡(luò)信息安全及其防火墻技術(shù)應(yīng)用[J].通信電源技術(shù)，2021，38（3）：177-178.

作者簡介：楊敏（1978年5月），女，漢族，籍貫遼寧撫順，副教授，計算機工程碩士學(xué)位，研究方向為數(shù)據(jù)庫技術(shù)和計算機網(wǎng)絡(luò)。