防火墻技術在網絡安全中的有效應用

關鍵字：防火墻技術；網絡安全；措施；應用

隨著網絡的普及與發展，尤其是5G 的發展，人們的生活更加便捷、溝通迅速、工作高效、學習資源充沛，人們在充分享用網絡所帶來的便利的同時，更要重視網絡安全。當前我國網絡產品設計理念成熟度還不夠，計算機安全性能也不夠強大，數據安全管理存在較多問題，從而導致在網絡使用時帶來了一些弊端。比如通過網絡漏洞進行信息竊取，通過網絡病毒進行惡意攻擊，通過非授權訪問進行數據破壞等情況，給人們的生活帶來困擾和不同程度的經濟損失，給網絡環境帶來威脅。因此，如何提高網絡安全的防護作用，保障信息安全傳輸，加強網絡運行的安全性，這都成了新的挑戰。防火墻作為網絡安全技術的關鍵點，合理有效地應用能夠充分發揮網絡安全的核心作用，加強網絡防護。

一、防火墻技術相關內容概述

（一）概念

防火墻最初起源于建筑領域，用于隔離火災，阻止火勢從一個區域蔓延到另外一個區域。引入到通信領域時，通常用于兩個網絡之間的隔離，這種隔離是高明的，隔離網絡中的各種攻擊，讓正常的通信得以順利進行，靈活應用于網絡邊界、子網隔離等位置。網絡在運行時分為內網和外網，防火墻是不同網絡之間傳遞信息的唯一進入渠道，特別是外來的數據信息想要進入內部網絡，必須經過防火墻嚴謹規范的檢測規則，對有缺陷的數據和病毒實行篩選及隔離，有效保護網絡信息安全。

（二）構成及功能

防火墻技術是將軟硬件設備結合起來，硬件防火墻基于PC 架構，通過在硬件設備中配置一定的防御策略，阻隔外網中的非法攻擊和存在安全隱患的訪問。軟件防火墻運行于特定的計算機，通過添加各種種類防御規則對軟件安全進行保護，通過or、and、select 與非法進入特征匹配，一旦匹配成功，將非法特征值作為非法訪問的信號，拒絕進入。防火墻能夠為網絡提供有效屏障，主要功能為：①保護有效。硬件防火墻和軟件防火墻均可以將非法訪問和惡意攻擊隔離在內部網絡之外，并將拒絕入侵的報文通過日志的方式告知網絡管理人員，使其知曉這一行為。②強化安全策略。防火墻管理人員將配置多種安全防御策略，并不只是簡單地進行防御，一旦出現安全問題，防火墻能夠對問題進行審查，并提出解決方案。③防止信息外泄。將內部網段合理隔離，防止內部網絡信息泄露[1]。

（三）種類分析

1. 包過濾性防火墻

這種防火墻主要在網絡層和傳輸層之間發揮作用，通過配置過濾規則，檢查外來信息的源地址、目標地址以及端口，過濾不符合與防火墻設定規則的數據及不良信息，將符合協議類型和端口號的數據包轉發到內網，這類防火墻工作效率高，實施速度快，但不支持應用層協議，所以對于黑客攻擊缺乏抵御能力。

2. 應用型防火墻

這種防火墻是核心技術，能夠提供兩級連接和地址轉換，通過代理服務器，用虛擬的IP 地址代替計算機真實的網絡地址，實現對內網和外網相互隔離，以達到對網絡信息的保護，此外還能夠實時記錄出入防火墻的所有數據信息，在訪問控制、日志記錄和審計功能方面都發揮出色。這類防火墻優勢明顯，但對系統性能有一定影響，管理工作難度大。

3. 狀態檢測防火墻

這種防火墻主要在網絡層、傳輸層和應用層上工作，根據動態的狀態信息進行檢查，能夠對出現的狀況做出及時處理。運行時將數據包作為整體數據流，采用基于連接狀態的檢測方式，以流量為單位，對報文進行檢測及轉發，依靠算法識別應用層的各類進出信息，對報文進行過濾和檢查，處理的結果進行狀態記錄，實現各層信息的有效檢測。這類防火墻雖說安全性能較佳，但會存在網絡連接遲滯的問題。

二、網絡的特點和網絡安全面臨的危機

（一）網絡的特點

信息時代人們對網絡的依賴愈發強烈，網絡讓生活有活力、工作有彈性、娛樂有張力，它的受眾黏合度跟它的特點密不可分，體現為：（1）自由性。網絡可以讓大眾充分表達自己的想法，實現平等交流。（2）開放性。網絡沒有局限于地域性，大數據、云計算的到來讓網絡有了極大的擴展。（3）便捷性。新技術平臺得到了發展，從而使信息溝通更加便捷。

（二）面臨的危機

網絡盡管在推動社會發展，但目前網絡安全問題成為困擾網絡發展的羈絆，網絡面臨的重重危機，形式復雜，體現在以下方面：

1. 網絡攻擊與日俱增

網絡在最初設計時，更多的考量因素為系統的穩定性和可用性，對于安全性缺乏應有的認識，再加上對網絡的依賴使得大部分網絡用戶不具備安全風險防范意識，導致網絡受到攻擊的隨意性增強，計算機硬件和軟件設計問題都會讓網絡攻擊變得易如反掌，某些心懷不軌的人會利用軟件設計漏洞，修改硬件參數和盜取重要信息，甚至竊取和販賣他人信息并以此牟利，給企業和個人帶來不同程度的經濟損失，給社會的和諧發展增加了不利因素。

此外， 網絡劫持、IP 欺騙、拒絕服務攻擊輪番上陣，對網絡進行惡意攻擊，計算機病毒和木馬程序的加持讓網絡攻擊更加肆意橫行。

2. 系統風險

除了互聯網帶來的風險之外，操作系統并不是100% 的安全，同樣存有大量信息漏洞。計算機系統缺少對用戶應用程序的安全檢查，對外界文件訪問體系不完善，另外大多用戶在使用軟件時沒有付費購買軟件的習慣，而是使用盜版軟件，居心叵測的人員會通過利用軟件缺陷將病毒帶入，還有緩沖區的代碼輸入錯誤及信息系統缺乏規范性，都容易出現安全漏洞，為不法分子提供了入侵條件，非法用戶發布違法指令，盜取網絡信息。在連接網絡后，如果出現安全缺口，將對網絡系統穩定造成影響，嚴重時會導致網絡系統停止運行[2]。

3. 數據存儲風險

數據信息存儲是計算機應用的重要關鍵環節，在大數據和云計算技術廣泛應用的現今階段，個人和企業通過網絡進行數據信息的存儲和處理，個人信息的泄露會影響到個人的隱私和經濟利益，企業數據的泄露會導致企業的經濟損失。目前個人信息和企業數據泄密是網絡又一大危機，美國的Facebook 曾經遭受網絡攻擊，5000多萬用戶的隱私信息面臨泄露風險。

三、防火墻技術在網絡安全中的有效應用

（一）設置訪問策略保護網絡安全

防火墻運行效率的高低跟訪問策略的設置直接掛鉤，防火墻的訪問策略體現在保護內部網絡在不受不被信任、無授權的網絡攻擊下，可以實現對符合內部網絡規定的良性通信訪問。首先對通過防火墻的IP 數據包進行高效檢查，判斷數據包信息源地址、目標地址及網絡接口然后進行過濾，提高網絡穩定性，其次將計算機病毒隔離在內網之外，再其次可以將計算機中傳輸的數據信息以單位的形式分隔，實現差異性保護，為用戶提供安全提醒，減少瀏覽高風險網頁的頻率，最后根據網絡使用實際情況制定規則列表，保證操作次數多的系統程序位于規則列表的前方排陣，可以促使防護墻運行效率的提升，因為防火墻使用時會根據規則列表順序執行[3]。

（二）安全配置

隔離區是內部網絡的關鍵成員，它與其他服務器設備和系統管理設備群迥然不同。作為獨立的區域網，為整個網絡系統管理的正常運行提供支持的同時，保證服務器數據信息的安全傳送，防火墻應用到安全配置中可以使用網絡地址轉換技術，通過映射將內部網絡中的主機地址轉換為防火墻的IP 地址，讓所有的主機地址都有一層保護罩，讓外部網絡無法獲取計算機真實的IP地址。在網絡使用中，科學設置邊界路由器，用于不在安全服務隔離區的公用服務器上，使外部訪問對內部網絡訪問具有范圍性。

（三）強化權限管理

在大數據、云計算的網絡應用環境下，用戶權限管理是網絡安全典型性的應用方式，可以更為有效地防御內網中的資源信息被非授權用戶訪問。網絡的優點是資源共享，在網絡內部，資源訪問需要借助外網的遠程服務。在這種情況下，保護數據安全，防止非法訪問的一個舉措是強化權限管理。用戶在對內網資源進行訪問時需要通過輸入賬戶和密碼進行登錄，不同用戶對相同的資源有不同的訪問權限[4]，由此進行身份驗證，有效保護數據資源。目前有一些人利欲熏心，憑借自己掌握的計算機技術盜取用戶的賬號和密碼，給用戶造成經濟損失，所以除了使用相應的權限進行資源訪問以外，要根據用戶的不同需求將需要的信息資源分類整理，對于不同的操作分別設置不同的訪問權限。除了通過密碼之外，還可以采用多種驗證方式聯動，限制惡性訪問事件的發生。

（四）定期數據備份

有備無患是對數據備份最好的詮釋。不論是過去的硬盤存儲還是現在的云存儲都不過時，數據備份是為了防止數據丟失或被破壞采用的手段。隨著計算機和網絡技術的發展，用戶選擇將數據保存在網絡中對于重要數據除了采用訪問控制策略和技術手段之外，數據備份是最好的途徑。通過數據存儲平臺將信息（個人和企業）進行遠程備份，若數據被篡改及破壞后出現問題，可以通過第三服務方的備份數據對原始信息進行恢復，提高安全等級。

（五）日志監控應用

防火墻在網絡運行時會產生多種信息，當用戶瀏覽高風險網頁時，計算機會受到未知網站的攻擊，影響網絡安全。日志監視主要通過劃分信息類別，獲取日志中的核心信息，過濾非法數據，但日志數據恰恰又是網絡安全工作中容易被忽略的地方，為了保證數據安全，要將防火墻的實際應用、日志信息監控與安全設置齊抓共管。用戶在使用網絡時，防火墻率先整理日志信息；當網絡受到威脅時，防火墻會對系統進行警示，并形成日志保護。網絡管理人員只需要對日志監控的關鍵信息進行關注和檢查，發揮日志作用，在以后的防護中根據日志中的告警信息進行處理，提取出有價值的信息，降低工作難度。

（六）設置網關防火墻

網關防火墻的作用是驗證網絡訪問者的身份，若身份通過驗證則可以使用網絡，未通過驗證則拒絕訪問網絡。目前的網關防火墻有直通和連接兩種模式，連接模式能夠針對性地落實身份核驗工作，獲得訪問權限的用戶能獲取所需的網絡資源和相關數據。

（七）控制風險因素

各種安全風險因素在網絡運行過程中都是形影相隨的，運用防火墻能在控制網絡風險的前提下，避免風險因素對網絡造成沖擊，可以嚴格控制網絡連接。基于網絡傳輸協議，拒絕不規范的連接，這一功能的發揮與用戶對屬性模塊的操作有密切關聯[5]。

四、在網絡安全中應用防火墻的措施

（一）推進防火墻技術不斷更新

信息時代的發展讓網絡使用有了廣泛的進步空間，各行各業的正常運作都離不開網絡支持，目前網絡空間復雜性大，管理難度高，網絡安全危機對網絡發展產生羈絆。如果想讓防火墻的優勢得以全面發揮，在網絡安全運行過程中，要積極推進技術創新，讓防火墻技術與網絡技術的發展共同發展，因為不同使用類型的計算機所需要的防火墻技術也不一樣，所以只有不斷更新防火墻技術才能更好地保護網絡安全。

（二）防火墻和入侵檢測系統結合聯動

防火墻是靜態防御，所以無法對實時攻擊和異常行為作出判斷和反應。此外防火墻能夠對外部網絡攻擊進行識別，但是對于網絡內部的襲擊束手無策，而入侵檢測系統可以彌補這一不足，能夠有效監聽網絡數據，判斷攻擊企圖。防火墻重在控制，入侵檢測系統重在檢測，將兩種技術聯動結合更能保障網絡安全。

（三）遵守防火墻的使用規則，合理應用防火墻技術

無論是設計還是部署防火墻，都需要對防火墻有認真地分析和熟練地掌握，只有遵循防火墻的使用規則，才能讓防火墻的優勢得以全部發揮，為網絡安全保駕護航。首先設計防火墻要簡單，切忌復雜；其次對發生的潛在危機要有預判性和合理分析，對之前碰到的危機處理經驗匯總，制定完善措施強化防火墻應用，這樣網絡管理人員在使用防火墻時也能減少工作量；最后要考慮防火墻產品本身認證手段是否先進，評判標準是否足夠高[6]。在遵守使用規則的同時要合理應用防火墻技術，這樣防火墻才能夠最大限度地保護網絡安全和隱私信息，在使用時要根據實際情況充分合理地應用，不能想當然，要具體情況具體分析，發揮防火墻的本領，維穩網絡。

（四）提升網絡使用人員素質，增強防火墻應用效果

網絡出現問題主要的原因除了技術因素外還有人為因素。部分網絡管理人員欠缺對網絡管理和網絡安全意識，沒有按照要求進行網絡管理，增加了信息泄漏等安全危機情況出現的頻率，為了增強防護墻應用效果，需要增強網絡使用人員的危機意識，提升個人素質，有效降低網絡危機出現的概率。

五、結束語

網絡攻擊技術變化多端，出現概率不斷提高，網絡上不懷好意的人也不會銷聲匿跡，導致網絡所面臨的各種危機絡繹不絕，所以要全力以赴確保網絡安全。身在網絡中每個網民都要重視自己隱私的保護；相關技術人員要與時俱進，針對不斷出現的網絡危機，根據實際情況及時研究并采取有效措施予以解決；遵守防火墻的使用規則，積極將新技術和新策略應用到防火墻中，提高網絡用戶的綜合素質，促進防火墻技術的發展，讓網絡得到等級高的安全保障。

作者單位：白萍 甘肅鋼鐵職業技術學院