楊海瀾

摘要：隨著科學(xué)技術(shù)不斷進(jìn)步，社會(huì)經(jīng)濟(jì)快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已被廣泛應(yīng)用于人們生產(chǎn)及生活中，使得信息的傳遞效率得以極大提高，但計(jì)算機(jī)信息安全問(wèn)題也隨之不斷增加。信息丟失、竊取、惡意修改等現(xiàn)象屢見(jiàn)不鮮。因此，強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全具有重要意義。該文就防火墻安全技術(shù)基本組成、主要功能及主要的安全防范技術(shù)進(jìn)行簡(jiǎn)要探討。

關(guān)鍵詞：計(jì)算機(jī)；防火墻屏障安全；網(wǎng)絡(luò)防范

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）02-0053-02

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)所具備的開(kāi)放性使其信息保密難度加大。據(jù)統(tǒng)計(jì)，在中國(guó)，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的違法犯罪行為以30%速度上升，大部分與互聯(lián)網(wǎng)連接的網(wǎng)關(guān)中心均受到過(guò)黑客攻擊，證券中心及銀行等則為黑客攻擊的重要對(duì)象。防火墻技術(shù)在計(jì)算機(jī)信息安全保護(hù)中發(fā)揮著重要作用，其常設(shè)置于內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間，對(duì)內(nèi)網(wǎng)資源加以保護(hù)并對(duì)外網(wǎng)部分信息進(jìn)行屏蔽，禁止未授權(quán)操作來(lái)確保信息安全。因此，對(duì)防火墻安全技術(shù)加以探討極為必要。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全簡(jiǎn)述

從本質(zhì)上講，計(jì)算機(jī)網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)的硬件安全、軟件安全與信息傳遞安全，其主要內(nèi)容包括安全協(xié)議、保密性與接入控制三方面[1]。若計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)未能達(dá)到保密要求，則無(wú)安全可言，可見(jiàn)安全協(xié)議在計(jì)算機(jī)網(wǎng)絡(luò)安全中極為重要；保密性指的是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為用戶提供可靠、安全、保密、真實(shí)的信息；接入控制則是指控制接入網(wǎng)絡(luò)權(quán)限與相關(guān)限制，實(shí)施過(guò)程中多采用加密技術(shù)來(lái)對(duì)信息安全加以保護(hù)。

2 防火墻安全技術(shù)基本組成與主要功能分析

2.1 防火墻安全技術(shù)基本組成

通常防火墻技術(shù)包括過(guò)濾器、安全操作系統(tǒng)、域名服務(wù)、網(wǎng)關(guān)及電子郵件處理5個(gè)方面。數(shù)據(jù)包過(guò)濾、代理服務(wù)及應(yīng)用網(wǎng)關(guān)為最主要技術(shù)。包過(guò)濾技術(shù)是指根據(jù)提前設(shè)定的原則在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包加以審查篩選，對(duì)其源地址、各個(gè)TCP端口的連接狀態(tài)及目的地址來(lái)對(duì)其符合安全原則與否加以判斷，以此來(lái)決定是否讓該數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)；應(yīng)用網(wǎng)關(guān)技術(shù)是指在應(yīng)用層根據(jù)特定服務(wù)協(xié)議來(lái)制定相應(yīng)的數(shù)據(jù)過(guò)濾邏輯，構(gòu)建轉(zhuǎn)發(fā)功能與協(xié)議過(guò)濾，以對(duì)數(shù)據(jù)包進(jìn)行分析、登記；代理服務(wù)是指在鏈路級(jí)通過(guò)防火墻來(lái)將網(wǎng)絡(luò)鏈路劃分成兩部分，內(nèi)外鏈路經(jīng)由代理服務(wù)器來(lái)進(jìn)行通信，如此，外部數(shù)據(jù)則無(wú)法直接進(jìn)入內(nèi)網(wǎng)。

2.2 防火墻安全技術(shù)主要功能

①過(guò)濾不安全服務(wù)，確保通過(guò)防火墻的協(xié)議與服務(wù)均為得到授權(quán)的安全服務(wù)；②對(duì)非法訪問(wèn)加以阻止，對(duì)特定站點(diǎn)訪問(wèn)進(jìn)行控制，并對(duì)非法用戶非法訪問(wèn)進(jìn)行過(guò)濾；③進(jìn)行集中化安全防護(hù)，從而使子網(wǎng)大多數(shù)安全軟件均集中于防火墻中，無(wú)需分配至各主機(jī)，實(shí)現(xiàn)集中管理；④加強(qiáng)保密性，防火墻通過(guò)對(duì)DNS與finger域名服務(wù)進(jìn)行有效組織來(lái)實(shí)現(xiàn)對(duì)特定站點(diǎn)相關(guān)服務(wù)的封鎖；⑤對(duì)所有訪問(wèn)信息進(jìn)行記錄，從而為網(wǎng)絡(luò)通信的科學(xué)分析提供數(shù)據(jù)來(lái)源[2]。

2.3 非法攻擊防火墻相關(guān)技術(shù)分析

①利用相關(guān)子網(wǎng)實(shí)施攻擊

攻擊者利用防火墻對(duì)某部分子網(wǎng)的信任來(lái)發(fā)動(dòng)攻擊。

②將干擾與攻擊相結(jié)合

此類(lèi)攻擊技術(shù)在攻擊時(shí)通過(guò)使防火墻處于繁忙狀態(tài)，使其由于未能及時(shí)實(shí)施安全防范而進(jìn)行非法攻擊。

③內(nèi)部攻擊

所謂內(nèi)部攻擊，是指因防火墻對(duì)隨意訪問(wèn)權(quán)限加以阻止使得內(nèi)部人員不能利用FTP進(jìn)行信息通信而進(jìn)行的惡意攻擊。此外，惡意攻擊還包括IP隧道攻擊、社會(huì)工程攻擊、數(shù)據(jù)驅(qū)動(dòng)攻擊、以附加信息或堡壘主機(jī)WEB服務(wù)器為基礎(chǔ)的攻擊。

3 防火墻安全網(wǎng)絡(luò)防范技術(shù)簡(jiǎn)述

防火墻安全防范技術(shù)已廣泛應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全的防范中，防火墻主要通過(guò)控制網(wǎng)絡(luò)環(huán)境進(jìn)出權(quán)、檢查相關(guān)鏈接等來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保證[3]。當(dāng)前，代理型、包過(guò)濾型、監(jiān)測(cè)型與網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)為應(yīng)用最為廣泛的防火墻技術(shù)。

3.1 包過(guò)濾型

該類(lèi)型防火墻安全技術(shù)為相對(duì)傳統(tǒng)的技術(shù)，網(wǎng)絡(luò)分包傳輸為該技術(shù)的關(guān)鍵技術(shù)點(diǎn)。即，傳遞信息時(shí)以包為單位，各個(gè)數(shù)據(jù)包含義均不相同，數(shù)據(jù)包的劃分可根據(jù)信息數(shù)據(jù)大小、來(lái)源及性質(zhì)來(lái)加以判斷。而該技術(shù)便是識(shí)別并判斷這些數(shù)據(jù)包合法與否，以此來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)。防火墻安全技術(shù)中，包過(guò)濾型通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)置過(guò)濾邏輯，讓相關(guān)軟件來(lái)控制進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)，實(shí)現(xiàn)安全防護(hù)。此類(lèi)防火墻安全技術(shù)實(shí)用性強(qiáng)、適應(yīng)性強(qiáng)、成本較低，但該技術(shù)無(wú)法識(shí)別惡意程序與數(shù)據(jù)，而非法人員便通過(guò)偽造地址并避開(kāi)防火墻來(lái)對(duì)計(jì)算機(jī)進(jìn)行直接攻擊。

3.2 代理型

防火墻安全技術(shù)中，代理型實(shí)質(zhì)為代理服務(wù)器，級(jí)別相對(duì)較高，該技術(shù)多被應(yīng)用于各用戶之間，通過(guò)攔截可能危害電腦信息的動(dòng)作來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效防護(hù)。用戶計(jì)算機(jī)在溝通與傳遞信息時(shí)所有信息均會(huì)經(jīng)過(guò)代理型服務(wù)器，而其則會(huì)對(duì)不利信息進(jìn)行過(guò)濾[4]。比如，對(duì)各類(lèi)信息攻擊行為進(jìn)行阻攔，將真正信息傳遞至用戶計(jì)算機(jī)。該類(lèi)型防火墻安全技術(shù)安全性能高且針對(duì)性較強(qiáng)，可將不利信息進(jìn)行直接過(guò)濾。

3.3 監(jiān)測(cè)型

監(jiān)測(cè)型防火墻安全技術(shù)通過(guò)檢測(cè)數(shù)據(jù)信息來(lái)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效提高。但該技術(shù)成本費(fèi)用較高且管理難度較大，因而應(yīng)用不及其他防火墻安全技術(shù)廣泛。

3.4 網(wǎng)址轉(zhuǎn)換

該技術(shù)通過(guò)將網(wǎng)絡(luò)地址轉(zhuǎn)換為外部地址或臨時(shí)地址，從而使得外部IP在訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)會(huì)首先轉(zhuǎn)至記錄與識(shí)別中對(duì)其身份進(jìn)行確認(rèn)，而系統(tǒng)源地址則會(huì)經(jīng)由非安全網(wǎng)卡與外部網(wǎng)絡(luò)將真正的IP轉(zhuǎn)換為虛擬IP，真正的IP則被隱藏。用戶進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，若其與相關(guān)準(zhǔn)則相符合防火墻便會(huì)允許其訪問(wèn)，若與相關(guān)準(zhǔn)則不符合防火墻則會(huì)對(duì)其進(jìn)行攔截，以此來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效防護(hù)。

4 防火墻安全防范技術(shù)發(fā)展方向簡(jiǎn)析

4.1 性能得以不斷升級(jí)與更新

隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富與擴(kuò)展，各行業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)雪球的快速增長(zhǎng)，其對(duì)防火墻技術(shù)的要求也不斷提高。因此，唯有對(duì)防火墻安全技術(shù)不斷進(jìn)行升級(jí)、更新，方可更好地滿足用戶的需求。

4.2 防火墻其應(yīng)用防護(hù)將不斷深入

科學(xué)技術(shù)若未能得以及時(shí)更新其價(jià)值則會(huì)不斷縮水，而網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展使得永華計(jì)算機(jī)網(wǎng)絡(luò)層與操作系統(tǒng)漏洞得以減少，但應(yīng)用層安全問(wèn)題則隨之突出。因此，防火墻未來(lái)發(fā)展更應(yīng)注重應(yīng)用層的深度防護(hù)，加大研究力度與深度，提高其生命力。

4.3 支持的應(yīng)用層協(xié)議增加

防火墻安全技術(shù)其對(duì)應(yīng)用協(xié)議的支持廣度應(yīng)有所增加，其所兼容的應(yīng)用程序軟件必然會(huì)不斷增多，這些兼容軟件將會(huì)與防火墻協(xié)同工作。

4.4 作為用戶安全管理平臺(tái)組件之一

通常情況下黑客技術(shù)發(fā)展速度快于病毒軟件，而網(wǎng)絡(luò)安全管理平臺(tái)的不斷優(yōu)化與完善將促進(jìn)電腦用戶通過(guò)安全管理平臺(tái)對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一安排與管理。如此，防火墻安全技術(shù)便需向計(jì)算機(jī)安全管理平臺(tái)提供安全審計(jì)、安全策略管理及安全事件管理接口，成為該平臺(tái)的組件之一[5]。

4.5 防火墻安全技術(shù)更為智能、可靠

產(chǎn)品需滿足用戶需求才有市場(chǎng)，而防火墻安全技術(shù)來(lái)更好地滿足用戶需求則需更趨于智能化，不斷其可靠性，為用戶的操作提供便捷。

5 總結(jié)

當(dāng)前我們正處于信息共享性高、網(wǎng)絡(luò)極具開(kāi)放性的時(shí)代，網(wǎng)絡(luò)技術(shù)在給人們?nèi)粘９ぷ魃顜?lái)便利的同時(shí)，信息威脅對(duì)信息安全的影響也日益嚴(yán)重。防火墻作為連接內(nèi)外網(wǎng)的橋梁，其在信息安全中極為重要，監(jiān)測(cè)型防火墻安全技術(shù)、包過(guò)濾型防火墻技術(shù)、代理型防火墻安全技術(shù)及網(wǎng)址轉(zhuǎn)換防火墻安全技術(shù)從各個(gè)層面對(duì)信息安全加以有效保障。

參考文獻(xiàn)：

[1]姜志高.計(jì)算機(jī)防火墻安全應(yīng)用的探索[J].才智，2011（25）：86-87.

[2]郭敏.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的思考[J].廣播電視信息，2012（5）：55-56.

[3]武雯.關(guān)于對(duì)防火墻與計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的探析[J].電子技術(shù)與軟件工程，2015（21）：206.

[4]閆大鵬.淺談?dòng)?jì)算機(jī)防火墻安全技術(shù)[J].中國(guó)新通信，2012（23）：76.

[5]陳克均.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中的防火墻安全防范技術(shù)[J].科技創(chuàng)新與應(yīng)用，2014（28）：85.