防火墻技術在計算機安全構建中的應用

李貫華

（齊魯醫藥學院，山東淄博，255300）

1 防火墻技術的相關概述

1.1 防火墻技術簡介

防火墻技術是為了維護計算機網絡安全的重要技術，主要是在網絡邊界構建相應的網絡通信監控系統，來對內部網絡、外部網絡進行有效的隔離，阻止外部網絡存在的安全隱患對計算機網絡的入侵，主要目的就是為了規避外部網絡用戶未經授權的訪問。簡單的來說，防火墻技術就像是本地網絡與外部網絡之間的一堵墻，通過這堵墻來對內外部網絡進行隔離，從而起到一個防護的功能與效果。

1.2 防火墻技術類型及原理

1.2.1 包過濾防火墻

包過濾防火墻屬于核路由器之上的防火墻，主要是作用于網絡層。包過濾防火墻功能的發揮，是通過一個軟件的方式，來對經過該軟件的數據包的包頭進行查看，并對流經的數據包做出決定，依靠包過濾原則作出判定，比如與規則相符的就可以是接受，反之就是丟棄，也可以執行其他更為復雜的動作。包過濾防火墻在使用的過程中優勢明顯，主要具備靈活性、有效性的特點，自身的結構相對簡單化，適用于小型站點，且處理包的速度較快，操作簡單且成本相對較低。但包過濾防火墻也具有一定的技術缺陷，在對虛假IP地址不容易識別，在內部網絡受到威脅的時候，無法發揮網絡安全的保護功能。

包過濾器的工作原理，首先，有著明確的過濾規則，在篩選的過程中按照規則對包進行查看與篩選；其次，數據包針對信息的過濾方面有重點區域，主要是針對IP頭、TCP頭、UDP頭區域的檢查來實現的，通過對特定端口服務端口號篩查來實現過濾；最后過濾器的實現主要是使用過濾路由器來進行的，過濾路由器具有自身的優勢，可以更為精準檢查，也具備是否發送的功能。

1.2.2 代理服務防火墻

代理服務防火墻可以提供更為詳細的審計與日志功能，在使用的過程中可以更好地保護網絡的安全性，也對現有計算機軟件的安全性進行保護。代理服務防火墻技術類似于投票代理權，簡單來說就是代表專用網絡來與互聯網進行通訊的防火墻。代理服務防火墻在實際操作中，可以提供兩級鏈接與地址轉換的功能，以此來對內部網絡與外部網絡進行隔離。如果使用代理服務防火墻，防火墻就可以將瀏覽器發出的請求直接轉達給互聯網，如果互聯網回饋，代理服務防火墻再將回饋信息轉達給瀏覽器，也就是在訪問者來看，只能在這一過程中看到代理服務器，對于內部資源是無法看到的，對于內部用戶來講，可以更為自由的對外部服務器的信息進行訪問。相對于包過濾防火墻來看，代理服務防火墻在安全防護上效果更好。

代理服務防火墻的工作原理，首先，面對代理服務器發出請求，并檢測防火墻規則，對數據包首部數據與信息進行檢查；如果請求不被允許發出，代理服務器就可以拒絕這一請求，如果請求允許被發出，代理服務器就會對源IP地址進行修改，形成新的數據包；在代理服務器向目的計算機發出的數據包，顯示源IP的地址就是代理服務的地址；如果返回的數據包，再次發送到代理服務，還會按照防火墻的規則來再次檢查，如果數據包與檢查標準不符，就會直接被代理服務丟棄處理。

1.2.3 狀態檢測防火墻

狀態檢測防火墻主要使用的就是包過濾防火墻所使用的技術，是對傳統包過濾技術的拓展，也具備了代理服務防火墻的特點。主要是作用于傳輸層、網絡層以及應用層上，在使用的過程中，與包過濾防火墻相似的內容有，檢查引擎在網絡層截獲數據包，并在這一過程中抽取出與應用層狀態相關的信息，針對信息進行判定接受或者丟棄。與代理服務防火墻相似的內容有，可以聽附加的對特定應用程序數據內容的支持。同時狀態檢測防火墻也打破了包過濾防火墻與代理服務防火墻所存在的局限，對“to”“from”的地址進行檢測，不對應用的代理進行限制。

狀態檢測防火墻在使用過程中最大的優點就是自身的安全性，在數據鏈路層與網絡層之間，對原始數據包進行截取，同時也具備高性能、拓展性好的特點，配置上更為方便，而且設備的應用范圍比較廣泛。當然，狀態檢測防火墻也具備一定的缺點，依靠過濾規則但沒有精細規則的要求，所以容易出現數據延遲的現象，在數據檢測上，只是對第三層的信息進行檢測，所以對垃圾信息、病毒等方面，難以進行徹底地識別，更是難以滿足用戶在安全上的升級。

1.3 防火墻技術的在重要性

防火墻技術是對本地網絡保護的重要方式，通過在本地網絡與外地網絡之間形成的防御系統，來保護內部網絡的安全性，所以防火墻技術的運用至關重要。

防火墻是網絡數據的必經之地，無論是內部還是外部網絡，在數據流進行傳遞的過程中都需要經過防火墻，也正是因為防火墻的位置特點，才能更好地發揮出保護的作用。通過防火墻技術的概念可以知道，防火墻是位于網絡系統的邊界位置，而網絡邊界的概念就是不同網絡相連接的位置，這個位置設置防火墻，就是在網絡與網絡之間構建一個安全控制點，在面向網絡上形形色色的數據時候，可以通過檢查和辨別的形式來對數據流進行處理，避免包含隱患的數據流經過防火墻進入內部網絡。

2 計算機網絡安全存在的相應問題

由于計算機網絡的開放性特點，導致計算機網絡運行的過程中存在一定的安全隱患，這也就導致用戶在對計算機網絡進行使用的過程中，不能對風險完全規避。雖然現階段計算機網絡安全水平在不斷地提升，但在實際運行中問題依然存在。

2.1 網絡安全存在漏洞

網絡漏洞是廣泛存在于網絡之中的，由于軟件、硬件或者協議方面存在的弊端，為網絡攻擊行為的出現提供了空間，讓攻擊者可以無需授權，來對系統進行破壞，這種破壞的行為會嚴重影響到數據信息的安全性。計算機網絡安全存在的漏洞，就會讓用戶在使用的過程中，出現病毒入侵的危險。通常情況下，普通用戶遇到這種安全漏洞且被攻擊的現象相對較少，但計算機網絡安全漏洞并不僅僅是存在于網絡上，計算機本身的不當操作，同樣會帶來安全隱患，并引發漏洞問題。由于計算機的使用是軟件與硬件疊加進行的，如果在下載軟件、登錄端口的過程中被網絡攻擊，就會讓計算機網絡難以發揮出原有的作用，安全性更是無法保障。這種網絡安全漏洞會為用戶帶來不利的影響，如計算機無法運行、數據丟失、泄露等等。

2.2 網絡環境存在風險

網絡環境存在的風險主要是在網絡特點的基礎上出現的，網絡自身具有開放性特點，這種開放性特點下，導致網絡環境存在威脅。當今社會背景下，互聯網共享已經成為常態化，人們的生活對網絡也有著極大的依賴性，而用戶在使用計算機網絡的過程中并沒有形成安全意識，這也在無形中放大了網絡環境存在的風險，讓其如今到計算機網絡系統之中。如網站上存在的病毒，在點開網站或者下載軟件的時候就會直接入侵到網絡中，直接造成計算機網絡的安全問題。計算機本身的網絡環境存在諸多不穩定性，如果對安全不進行重視，就會導致內網的安全防護被攻擊或者破壞。

2.3 外力進行惡意破壞

對于計算機網絡安全來講，外力破壞的危險性相對較高。外力破壞有很多種方式，如認為進行攻擊、病毒的植入等，這種現象就會導致計算機無法運行。外力破壞中最多的就是人為原因進行的破壞行為，為了降低外力破壞的影響，就應該強化對計算機防火墻的重視，定期開展病毒的查殺，以此來降低外力的惡意攻擊行為，降低網絡帶來的風險與安全隱患。

3 計算機網絡安全中防火墻技術應用策略

3.1 安全過濾技術

過濾技術顧名思義，就是在數據信息在傳輸的過程中，對信息的安全性進行分析，通過信息與制定的信息規則核對之后，提出存在安全隱患的數據信息，通過這種形式，也可以將計算機網絡中存在的不穩定因素進行及時發現。我國的防火墻技術在計算機安全構建中比較常用，如常見的，計算機網絡安全防護中，在網絡路徑方面可以進行選擇，分別是封閉式與開放式，以為基礎來對內外網進行控制，進而達到對計算機的保護，也可以及時發現并化解安全隱患，最大程度上的保障計算機的安全性。

3.2 日志監控技術

防火墻技術在計算機網絡安全中的重要表現形式就是日志監控，通過這種形式來對網絡安全防護的效果進行直觀的反應。網絡管理員通過對日志信息的采集，來達到對計算機網絡安全的監控，這就對日志采集方面提出了嚴格的要求，由于日志的數據相對較多，所以在采集的時候應該充分保障日志的全面性。如果日志采集的過程中出現重要信息遺漏的問題，就會直接威脅到網絡的安全，難以及時發現網絡存在的問題，因此，日志采集直接影響到網絡安全防護工作。

3.3 計算機訪問技術

就現階段我國計算機網安全情況來看，計算機訪問方面是比較常見的，并且在網絡安全防護方面有著比較顯著的效果，計算機訪問技術也是防火墻的基礎。在對計算機訪問技術應用的時候，需要對計算機訪問的過程進行周密的涉及與嚴格的管理，以此來保障其對計算機網絡安全防護的效果。計算機訪問技術，不僅可以對網絡狀況進行檢測，也能提升訪問的個性化，所以應該與計算機需求結合來制定訪問規則。此外，計算機訪問技術，也可以及時、快速地對計算機存在的安全隱患作出反應，針對性的采取措施進行解決，這種方式就是為了對計算機網絡進行深入的安全保護效果。

3.4 代理服務器防火技術

計算機網絡安全方面，對代理服務器的運用相對較多，顧名思義，就是通過代理服務設備的方式，來對計算機網絡的安全狀態進行保護，這種設備可以對計算機的功能進行代替，更好地將計算機處理與傳遞資料的效果發揮出來，以此來實現對計算機安全的保護，最大程度上降低安全隱患對計算機所產生的影響。比如，在人才對計算機網絡安全進行破壞的時候，通常會使用虛假、隱蔽的IP地址來進行攻擊，并通過這種地址來進行病毒的傳播，如果病毒入侵，就會直接影響到計算機的使用與安全。在使用代理服務的時候，可以通過代理服務器來進行信息的交換，通過虛擬信息的運用，來保護計算機的使用安全性。由于，代理服務器防火技術安全性能較高，可以實現對信息的二次保護效果，這也是計算機網絡安全保護的重要方式。

3.5 Web行為挖掘技術

Web行為挖掘技術在最近幾年得到廣泛的應用，尤其是在計算機網絡安全方面。現階段信息化的快速發展，讓人們對信息的獲取主要通過搜索引擎來開展，而Web可以對用戶的檢索行為進行收集與分析，并在結合大數據統計之后，實現數據挖掘任務的達成，同時對用戶檢索方面的行為特點進行判定，并選擇更為科學的檢索行為。運用Web行為挖掘技術來對用戶所產生的互聯網行為開展分析，針對一段時間內的數據分析，來對用戶計算機網絡安全中存在的風險與問題進行分析，以此來及時發現問題，并保障用戶計算機網絡的安全性。

3.6 病毒庫的實時更新技術

防火墻中具備病毒庫的實時更新技術，在計算機使用的過程中，只有對病毒庫的實時更新，才能更好地保障計算機網絡面臨網絡病毒的使用的安全性。尤其是在信息技術不斷革新的背景下，網絡病毒的形式也在不斷地更新，通過對病毒庫的更新，可以讓計算機網絡在遇到新型病毒的時候及時發現與預防，以循序漸進的形式來從根本上對計算機安全做到實時的防護效果。這就需要用戶做到對防火墻技術的充分利用，及時對計算機網絡中存在的安全隱患、潛在病毒進行及時解決，進而為計算機網絡安全提供更為安全的環境。