計算機網絡信息安全及其防火墻技術實踐探析

陳蘭芳

（亳州工業學校 安徽 亳州 236800）

0 引言

本文通過對數據包過濾型防火墻、應用級網關型防火墻、狀態檢測型防火墻、分布式防火墻、代理服務型防火墻的技術特點與作用進行詳細分析，從包過濾防火墻、應用網關防火墻、入侵檢測技術、訪問策略中防火墻技術、計算機日志監控等層面入手，系統論述計算機防火墻技術在網絡信息安全中的實踐應用。 具體實踐應用如下：

第一，通過分析各種網絡攻擊類型，如分布式拒絕服務（distributed denial of service，DDoS）攻擊、惡意軟件、結構化查詢語言（structured query language，SQL）注入等，研究如何利用防火墻技術來防范這些攻擊，保護網絡的完整性和可用性。

第二，探討如何使用防火墻技術防止敏感數據的意外泄露，包括數據包過濾、內容檢測等方式，防止機密信息被竊取。

第三，研究如何結合防火墻與入侵檢測系統（intrusion detection system，IDS）來監測和響應潛在的網絡入侵，及時發現異常行為并采取措施。

第四，分析惡意軟件的傳播途徑和行為特點，研究如何通過防火墻技術來阻止惡意軟件的入侵和傳播。

第五，研究如何使用防火墻來管理網絡流量，確保網絡資源的合理分配，提高網絡的性能和效率。

第六，研究如何使用防火墻技術來保護用戶的隱私數據，確保網絡安全合規性，防止個人信息被濫用或泄露，防止違規行為。

第七，研究如何在企業內部構建安全網絡架構，以保護企業敏感數據和業務流程。 探討如何通過防火墻技術來提升用戶的網絡安全意識，減少因用戶行為而造成的安全風險。

1 防火墻技術的分類

1.1 數據包過濾型防火墻

數據包過濾型防火墻是一種網絡安全設備或軟件，用于監控和控制數據包在網絡中的傳輸，基于預先設定的規則，判斷數據包是否被允許通過防火墻，實現對網絡流量的過濾和管理。 依據數據包的源IP 地址、目標IP 地址、端口號、協議類型等信息，決定是否允許數據包通過。 如果數據包符合設定的規則，防火墻允許其通過；否則，防火墻會阻止其進入或離開網絡。 這種防火墻技術旨在保護網絡免受惡意攻擊、未經授權訪問、不必要的流量干擾，雖然可以有效阻止特定類型的攻擊，但無法檢測復雜的攻擊和隱藏在正常流量中的惡意活動。 因此，數據包過濾型防火墻通常與其他防火墻技術和安全措施結合使用，實現更全面的網絡安全保護。

1.2 應用級網關型防火墻

應用級網關型防火墻是一種高級的網絡安全設備，用于監控、過濾和控制網絡數據包，同時深入分析和檢查數據包中的應用層協議內容，能夠更加精細地處理應用層協議，具有更高的安全性和可定制性。 不僅能夠根據源IP、目標IP、端口和協議允許或阻止數據包傳輸，而且還能解析數據包中的應用層信息，如超文本傳輸協議（hyper text transfer protocol，HTTP）請求、簡單郵件傳輸協議（simple mail transfer protocol，SMTP）命令等，并且檢測和阻止與特定應用或協議相關的威脅，如惡意軟件傳播、應用層攻擊等，對數據流進行審計、日志記錄和認證，提供更全面的網絡安全保護。 然而，應用級網關型防火墻的深度檢查和處理功能，會增加延遲和資源消耗。 盡管能夠提供更高級的保護，但也需要更多的配置和管理。

1.3 狀態檢測型防火墻

狀態檢測型防火墻是一種網絡安全設備，用于監控和控制網絡流量，并根據連接的狀態信息判斷是否允許數據包通過防火墻，能夠跟蹤和維護網絡連接狀態，精確判定數據包是否合法，不僅考慮單個數據包的特征，還考慮數據包在通信過程中的上下文關系。 狀態檢測型防火墻維護的是一個連接狀態表，記錄正在進行的連接信息，如源IP 地址、目標IP 地址、源端口、目標端口等。 當數據包通過防火墻時，會與連接狀態表中已有連接信息進行比對。如果數據包的特征與已有連接相符，防火墻會認定是合法的數據包，并允許通過，有效地防止偽裝和攻擊手法，如欺騙性的IP 地址或端口掃描。 狀態檢測型防火墻不僅能夠檢測基于單個數據包的攻擊，還能夠檢測依賴于多個數據包的攻擊，識別連接的開始、結束和狀態變化，提供更全面的安全性保護。

1.4 分布式防火墻

分布式防火墻是一種網絡安全架構，通過將防火墻功能分布到不同的網絡節點或設備中，實現更高級安全性能，使網絡中的每個節點都能執行防火墻功能。 在分布式防火墻架構中，每一個網絡節點都可以擔任防火墻的角色，對流量進行檢查、過濾和控制。 這種架構可以分散防火墻的負載，提高網絡的吞吐量和響應速度，充分適應復雜的網絡拓撲和流量分布，提供更精細的安全策略［1］。

1.5 代理服務型防火墻

代理服務型防火墻是一種網絡安全設備，充當客戶端和目標服務器之間的中間人，負責處理和管理網絡通信，不僅是單純檢查數據包，還能深入分析和處理通信內容和應用層協議。 代理服務型防火墻在客戶端和目標服務器之間建立連接，接收來自客戶端的請求，然后轉發這些請求并傳輸到目標服務器，將服務器反饋的響應再傳遞給客戶端。 在此過程中，代理服務器可以執行多種安全功能，如訪問控制、內容過濾、數據加密等。 通過代理服務型防火墻，可以實現更精細的訪問控制和安全審計，根據用戶的身份、角色或請求的性質，限制對特定資源的訪問權，提高安全性［2］。

2 計算機防火墻技術在網絡信息安全中的實踐應用

2.1 包過濾防火墻

包過濾防火墻通過設定規則，對進出網絡的數據包進行檢查和過濾，控制訪問、阻止未經授權的訪問、保護敏感信息和阻止惡意軟件傳播，有效維護其網絡安全，防止各種潛在威脅的影響。 以某企業內部網絡的包過濾防火墻為例，該企業內部網絡中，包過濾防火墻可以部署在網絡邊界處，監控進出流量。

通過設定訪問規則，只允許經過授權的數據包通過，同時阻止潛在的惡意或未經授權的訪問［3］。 例如，防火墻可以設定規則，只允許來自特定IP 地址或端口的合法數據包進入內部網絡，阻止外部惡意攻擊者的訪問。

包過濾防火墻還可以防止內部網絡中的敏感信息外泄，公司內部數據庫存儲著客戶的個人數據，如姓名、地址和信用卡信息。 通過防火墻規則，只有特定部門的員工可以訪問這些數據，其他員工或外部人員無法獲取。 即使有人試圖通過網絡攻擊獲取敏感數據，防火墻也會阻止其訪問行為。 比如，當目的IP 為43.225.211.133 時，對源IP、傳輸控制協議（transmission control protocol，TCP）控制位無任何要求，此時允許任何數據通過；當目的IP 為任意來源時，源IP 為43.225.211.133，TCP 控制位為SYN ＝1，ACK＝0，此時禁止任何數據通過，從而保護網絡安全［4］。

2.2 應用網關防火墻

應用網關防火墻通過位于網絡邊界的設備，控制進出流量、實施訪問控制和監控網絡活動，保護內部網絡的安全。 通過規則設置和流量檢測，可以有效地防范各種網絡威脅，確保網絡和數據的安全性。

以某企業內部網絡中的網關防火墻應用為例，該企業通過網關防火墻控制其內部網絡與外部網絡之間的通信。網關防火墻的規則設置可以限制進出流量，例如，只允許特定的端口和協議通過，降低網絡攻擊的風險。 網關防火墻可以實施訪問控制，限制哪些用戶或設備可以與外部網絡通信，防止未經授權的訪問［5］。 當員工試圖通過遠程桌面協議（remote desktop protocol，RDP）訪問公司內部的服務器時，通過網關防火墻的規則設置，只有特定IP 地址和授權的員工可以使用RDP 協議進行連接，其他非授權的IP 地址將被阻止［9］。 比如，配置華為網管防火墻時，配置接口IP 地址，并將接口加入安全區域；配置域間安全策略，允許互聯網密鑰交換（internet key exchange，IKE）協議協商報文、互聯網絡層安全協議（internet protocol security，IPsec）封裝前和解封裝后的原始報文能通過華為防火墻；配置華為防火墻到Internet 的缺省路由；配置IPsec 策略，包括定義需要保護的數據流、配置IPsec 安全提議、創建IKE 安全提議、配置IKE 對等體；在接口上應用IPsec策略［6］。

2.3 入侵檢測技術

入侵檢測技術通過監控網絡流量和系統活動，識別異常模式和行為，及早發現和應對潛在威脅。 通過入侵檢測系統和入侵防御系統的結合，可以有效提高對惡意攻擊和異常行為的檢測能力與響應能力，維護網絡和數據的安全。 以企業內部網絡中入侵檢測技術的應用為例，企業建立的內部服務器和數據庫存儲了大量客戶數據和機密信息，為了保護這些重要數據免受攻擊，企業在內部網絡中部署了IDS［7］。 IDS 還可以結合入侵防御系統（intrusion prevention system，IPS）實現實時響應，當入侵檢測系統檢測到異常行為時，IPS 可以采取有效的應對措施，例如封鎖IP 地址、終止連接、阻止惡意數據包，防止安全風險進一步擴散。 IDS 分為網絡入侵檢測系統（network intrusion detection system，NIDS）和主機入侵檢測系統（host-based intrusion detection system，HIDS），在不同的層次上監視和檢測異常活動。 NIDS 通過監控網絡流量，檢測異常的數據傳輸和連接行為。 例如，如果有大量的數據包發送到內部網絡，NIDS 可以識別出這種異常流量，并觸發警報，通知管理員可能存在的拒絕服務（denial of service，DoS）攻擊。 而HIDS 則監控服務器和主機上的活動，例如，如果某個服務器上的系統文件被篡改，HIDS 可以檢測這種變化，并警示管理員可能存在的入侵行為［8］。

2.4 訪問策略中防火墻技術

訪問策略中的防火墻技術通過制定和執行訪問規則，控制用戶、設備、應用程序對資源的訪問權限，實現安全的跨地點訪問，確保只有經過授權的用戶可以訪問內部資源，提高網絡的安全性、保護敏感數據的機密性。 以企業內部網絡中防火墻技術的應用為例，該公司擁有多個辦公地點，員工需要在不同地點之間訪問公司內部資源。 為了實現安全的跨地點訪問，公司在內部網絡中實施了訪問策略，利用防火墻技術進行控制［9］。 公司通過虛擬專用網絡（virtual private network，VPN）建立加密通道，員工在遠程訪問時，需要通過VPN 連接到公司內部網絡。 防火墻設定了訪問規則，只允許經過授權的VPN 連接訪問公司內部網絡，其他未經授權的連接將被阻止。 即使外部攻擊者試圖通過未經授權的手段訪問內部資源，防火墻也會攔截并阻止他們的訪問［10］。

2.5 計算機日志監控

計算機日志監控通過記錄和分析系統和網絡活動的日志信息，發現異常行為和潛在的安全事件。 借助實時監控和事件調查，企業可以提高對網絡威脅的感知能力，及早發現和應對潛在的風險，幫助企業維護網絡的安全性和穩定性。

以企業內部網絡中計算機日志監控的應用為例，該企業擁有多個分支機構和內部系統，為了確保這些系統的安全性，企業在內部網絡中建立了計算機日志監控系統，監控服務器、工作站和網絡設備的日志信息，識別異常活動［11］。 當企業使用計算機日志監控系統實時監測網絡和系統活動時，如果有多次失敗的登錄嘗試，日志監控系統會發現異常情況，并觸發警報，有助于防范惡意攻擊，如暴力破解密碼。

計算機日志監控還可以幫助企業進行事件響應和調查，當員工發現自己的電子郵件賬戶被非法訪問時，企業可以通過分析日志信息，追蹤此次入侵的來源和影響范圍，并采取適當的措施，防止類似事件再次發生。 如果員工賬戶在短時間內從不同地點登錄，日志監控系統也會識別這種異常行為，查看賬戶是否被盜用。

3 結語

綜上所述，防火墻通過過濾網絡流量、實施訪問控制政策和檢測異常行為來阻止潛在的威脅。 不同類型的防火墻，如網絡層、應用層和代理層防火墻，在不同層次上提供保護。 未來，應通過整合多種安全技術手段，建立更強大和靈活的網絡安全體系，更好地應對網絡安全挑戰。