劉繼

摘 要：隨著計算機網(wǎng)絡(luò)化的不斷向前推進，計算機聯(lián)網(wǎng)使用已經(jīng)是一種現(xiàn)象。但是在使用過程中，會發(fā)生個人信息、公司信息、內(nèi)部信息和個人隱私等信息的泄露與“被盜”，各種病毒和安全因素影響到了網(wǎng)絡(luò)的正常使用。面對日益強大的網(wǎng)絡(luò)威脅，防火墻技術(shù)在網(wǎng)絡(luò)安全結(jié)構(gòu)體系中的關(guān)鍵作用是不容忽視的，本文通過研究對防火墻技術(shù)的應(yīng)用，提出了網(wǎng)絡(luò)安全的防護措施與對策建議。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)；安全；應(yīng)用

中圖分類號：TP393.08

防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，其主要作用是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境， 目前已經(jīng)被證明，以防火墻為代表的被動防衛(wèi)型安全保障技術(shù)是一種較有效的防止病毒入侵的措施。隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，人們逐漸意識到網(wǎng)絡(luò)安全的重要性，防火墻已經(jīng)成為維護網(wǎng)絡(luò)安全至關(guān)重要的一種安全設(shè)備。本文通過以下幾個方面分別對防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用進行論述。

1 相關(guān)理論概述

1.1 防火墻概念簡述。在邏輯上，防火墻是過濾器 限制器和分析器；防火墻主要由驗證工具、包過濾、服務(wù)訪問規(guī)則和應(yīng)用網(wǎng)關(guān)等幾個部分構(gòu)成，它是在各種網(wǎng)路之間的一種由軟件、硬件設(shè)備組合的安全網(wǎng)關(guān)，防火墻可以是一種硬件、固件或者軟件，保護內(nèi)部網(wǎng)免受非法用戶的侵入。按照作用區(qū)域不同，可以分為應(yīng)用層防火墻、網(wǎng)絡(luò)層防火墻、數(shù)據(jù)庫防火墻等類型。

1.2 網(wǎng)絡(luò)安全簡述。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。網(wǎng)絡(luò)安全是一門涉及多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全具有數(shù)據(jù)的完整性和保密性，承載信息的可用性和可控性，出現(xiàn)的安全問題的可審查性等特點。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客的攻擊、計算機病毒和拒絕服務(wù)攻擊三個方面。

1.3 防火墻的功能概述。防火墻的核心功能主要是包過濾。主體功能主要包括以下幾點。一是防火墻可以實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動；二是防火墻根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進行過濾；三是防火墻對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能；四是防火墻被攔阻時能通過聲音或閃爍圖標(biāo)給用戶報警提示。通常情況下，網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻共同作用并保護計算機不受外界的干擾與影響。

2 防火墻體系結(jié)構(gòu)與常用應(yīng)用技術(shù)分析

2.1 防火墻體系結(jié)構(gòu)分析。其主要組成可以分為以下幾個方面。一是屏蔽主機防火墻體系結(jié)構(gòu)。這種結(jié)構(gòu)是雙宿主堡壘主機防火墻和屏蔽路由器防火墻這兩種模式的結(jié)合，這種結(jié)構(gòu)既可用網(wǎng)絡(luò)層也可用應(yīng)用來進行檢測，加大了安全性能。二是屏蔽路由器防火墻體系結(jié)構(gòu)。這種結(jié)構(gòu)在原有路由器上進行包過濾配置，但是被攻陷后很難被用戶發(fā)現(xiàn)。三是屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)。這種結(jié)構(gòu)是目前被應(yīng)用最廣泛的防火墻，其安全性能非常好。

2.2 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用技術(shù)分析。防火墻體技術(shù)主要分為以下幾種。一是狀態(tài)包過濾技術(shù)。這種技術(shù)是對過去包過濾技術(shù)的一種升級模式，是最近幾年才應(yīng)用的新技術(shù)。過濾規(guī)則不僅決定是否接受數(shù)據(jù)包，還使數(shù)據(jù)包偽裝攻擊的機會大大減少，這種技術(shù)更安全更靈活。二是代理技術(shù)。這種技術(shù)與包過濾技術(shù)原理完全不同，它是利用代理服務(wù)器來屏蔽雙方網(wǎng)絡(luò)，代理服務(wù)器檢查其身份和數(shù)據(jù)安全合法后，再由代理服務(wù)器與目標(biāo)服務(wù)器連接。該技術(shù)能夠解釋應(yīng)用協(xié)議，能夠隱藏內(nèi)網(wǎng)的IP地址，支持用戶認(rèn)證，優(yōu)化了性能。三是包過濾技術(shù)。這種技術(shù)是一門最早的防火墻技術(shù)，包過濾優(yōu)點是效率高速度快，邏輯簡單，成本低；但是在使用過程中的缺點也非常明顯，比如，不能進行身份驗證、不適合于數(shù)據(jù)包過濾和不能有效過濾等問題非常多。四是NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。這種技術(shù)可分為靜態(tài)NAT和動態(tài)NAT技術(shù)，是一種在數(shù)據(jù)包通過防火墻時轉(zhuǎn)換源IP地址或者目的IP地址的技術(shù)。該技術(shù)具有.實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡、隱藏內(nèi)部主機地址、處理網(wǎng)絡(luò)地址交迭等作用。五是VPN虛擬專用網(wǎng)技術(shù)。這種技術(shù)是一種網(wǎng)絡(luò)互連方式和將遠程用戶連接到網(wǎng)絡(luò)的方法。

3 防火墻技術(shù)在現(xiàn)實中的典型應(yīng)用以及面臨攻擊的應(yīng)對策略

3.1 防火墻技術(shù)實例應(yīng)用分析。第一、局域網(wǎng)地址設(shè)置，防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET的IP來源。第二、管理權(quán)限設(shè)置，它有效地防止未授權(quán)用戶隨意改動設(shè)置、退出防火墻等。第三、入侵檢測設(shè)置，開啟此功能，當(dāng)防火墻檢測到可疑的數(shù)據(jù)包時防火墻會彈出入侵檢測提示窗口，并將遠端主機IP顯示于列表中。第四、安全級別設(shè)置，其中共有低、中、高、擴展和自定義五個選項。第五、IP規(guī)劃，其是針對整個系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的，其中有幾個重要的設(shè)置。一是防御ICMP攻擊，二是防御IGMP攻擊，三是TCP數(shù)據(jù)包監(jiān)視，四是禁止互聯(lián)網(wǎng)上的機器使用我的共享資源，五是禁止所有人連接低端端口，五是允許已經(jīng)授權(quán)程序打開的端口。

3.2 防火墻技術(shù)面臨攻擊形式與不足之處。防火墻面臨的攻擊可能存在探測攻擊和穿透攻擊。一是探測攻擊可分為防火墻類型探測、防火墻規(guī)則探測、防火墻存在性探測、防火墻后的主機探測等形式。二是穿透攻擊技術(shù)。這種攻擊主要包括協(xié)議隧道（常見的穿透防火墻隧道技術(shù)是ICMP和HTTP）、IP欺騙、報文分片等。常見的攻擊方式為IP地址的攻擊、口令字攻擊、郵件攻擊和各種形式的病毒攻擊。

3.3 防火墻技術(shù)對于攻擊的應(yīng)對策略分析。一是結(jié)構(gòu)透明，是指防火墻對于用戶是透明的。二是方案選擇，防火墻大致有軟件防火墻和硬件防火墻兩大類，用戶在使用過程中要根據(jù)個人的需要選擇好使用的防火墻種類。三是各種病毒的應(yīng)對策略分析。對于郵件的攻擊可以采用在內(nèi)網(wǎng)主機上采取相應(yīng)阻止措施進行攔截；對于口令字的攻擊可以采用通過專用服務(wù)器端口、禁止直接登錄防火墻或者采用一次性口令的方式進行避免；對于IP地址的欺騙可以采用丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包的方式進行攔截；在應(yīng)對各種病毒的攻擊方式方法上可以設(shè)定嚴(yán)格的安全等級同時禁止執(zhí)行未經(jīng)用戶允許的程序或軟件來避免。

4 防火墻技術(shù)的發(fā)展趨勢分析

防火墻技術(shù)方向分析。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴展，防火墻技術(shù)的發(fā)展也呈現(xiàn)出新的趨勢，主要體現(xiàn)在以下幾個方面。一是IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。二是防火墻將向遠程上網(wǎng)集中管理的方式發(fā)展。三是對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。四是防火墻需要向多功能化、高速智能、更安全的方向發(fā)展。五是人們選擇防火墻的標(biāo)準(zhǔn)將呈現(xiàn)出便捷性、高效性、操作簡單性、自主性和環(huán)境要求的隨意性與隱私性相結(jié)合的多元化方向發(fā)展。

5 結(jié)束語

信息化和網(wǎng)絡(luò)化是未來社會工作與生活的主要媒介，它不僅僅能夠為人們提供一個豐富多彩的世界，還能夠豐富人們的各種生活方式，但是信息化與網(wǎng)絡(luò)化給人們帶來的隱私公開化、個人信息大眾化、賬戶安全與工作等信息的隱憂化也在困擾著人們。在這種情況下，只有解決好在使用網(wǎng)絡(luò)過程中的各種憂患與存在的問題，只有將防火墻技術(shù)的研發(fā)與應(yīng)用穩(wěn)步推進，才能更好的將信息化和網(wǎng)絡(luò)化社會發(fā)展步入到正規(guī)的渠道，并得到更多人的認(rèn)可。

參考文獻：

[1]王秀翠，王彬.防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用[J].軟件導(dǎo)刊，2011（05）.

[2]李淑紅.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].才智，2011（28）.

[3]張紅艷.淺析在維護計算機網(wǎng)絡(luò)安全中所采用的技術(shù)[J].新課程（教育學(xué)術(shù)），2011（06）.

作者單位：貴陽護理職業(yè)學(xué)院，貴陽 550081