高偉華（赤峰學(xué)院附屬醫(yī)院，內(nèi)蒙古 赤峰 024000）

?

關(guān)于計(jì)算機(jī)防火墻安全應(yīng)用的思考

高偉華
（赤峰學(xué)院附屬醫(yī)院，內(nèi)蒙古 赤峰 024000）

摘 要：世界一體化的進(jìn)程逐漸加快，我國的社會經(jīng)濟(jì)也在時(shí)代的變遷中迅速發(fā)展，信息技術(shù)的進(jìn)步日益發(fā)達(dá)，帶動了計(jì)算機(jī)與互聯(lián)網(wǎng)的普及，人們獲取信息的來源逐漸從紙質(zhì)媒介拓展到電子媒介中，但與紙質(zhì)媒介不同，計(jì)算機(jī)是連接互聯(lián)網(wǎng)的終端，處理著大量繁雜的信息，而互聯(lián)網(wǎng)實(shí)際上并不友好，常有一些威脅計(jì)算機(jī)本身安全的信息存在，計(jì)算機(jī)防火墻便是保護(hù)計(jì)算機(jī)系統(tǒng)的重要設(shè)置，因此，研究計(jì)算機(jī)防火墻的類型，找到影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素，再分析如何將計(jì)算機(jī)防火墻的安全性能發(fā)揮到最優(yōu)，是現(xiàn)代信息技術(shù)的重要內(nèi)容.

關(guān)鍵詞：計(jì)算機(jī)；防火墻；類型；因素；安全應(yīng)用

隨著計(jì)算機(jī)技術(shù)的日益進(jìn)步，網(wǎng)絡(luò)時(shí)代的飛速發(fā)展，二者對于人們的生活工作都起到了非常大的幫助，但與此同時(shí)，隨著黑客技術(shù)的發(fā)展壯大，也向大眾的計(jì)算機(jī)安全發(fā)出了挑戰(zhàn)，黑客技術(shù)發(fā)揮的能量甚至足以遠(yuǎn)程破壞一臺電腦的正常工作，此類的侵害已經(jīng)在一定程度上影響了單位、個(gè)人的計(jì)算機(jī)設(shè)備安全以及個(gè)人隱私的保護(hù).如若系統(tǒng)遭到了打擊破壞，其計(jì)算機(jī)更是需要進(jìn)行大量繁雜的恢復(fù)重置工作才能夠令其計(jì)算機(jī)回歸到原始狀態(tài)，因此，一個(gè)良好的防火墻程序?qū)τ?jì)算機(jī)軟硬件、個(gè)人資料、公司機(jī)密等等方面的保護(hù)是十分重要且必要的.

1 計(jì)算機(jī)防火墻的一般類型

防火墻實(shí)際上是一套對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)傳輸過程中，一個(gè)安全類別的組策略監(jiān)控器.它存在于網(wǎng)絡(luò)中的邊界，有軟件代碼及硬件承載，它經(jīng)過策略的編寫，來監(jiān)控途徑的數(shù)據(jù)訪問及交換，在有效的策略內(nèi)來阻止病毒及木馬程序的入侵，因此，從應(yīng)用技術(shù)角度，我們可以將防火墻大致分為三大類：

1.1 過濾防火墻

過濾類型的防火墻主要的作用是以最基本的工作形態(tài)，來逐個(gè)拆包讀取途經(jīng)的數(shù)據(jù)包，也可以成為“包過濾型技術(shù)”，這類防火墻的應(yīng)用原理完全是按照一個(gè)已經(jīng)建立好的一套策略來進(jìn)行過濾.在網(wǎng)絡(luò)層與傳輸層中，包過濾防火墻通過將兩端數(shù)據(jù)之間每個(gè)數(shù)據(jù)包的地址，目的地址以及端口、協(xié)議等全部進(jìn)行對比，從而判定其數(shù)據(jù)包的來源及應(yīng)用方式，之后決定是否令其通過，其中有一項(xiàng)數(shù)據(jù)不匹配，將直接把此數(shù)據(jù)包進(jìn)行丟棄處理，以防萬一.過濾性防火墻的原理也決定他的局限性，但因?yàn)槠鋬r(jià)格低廉且有效，許多設(shè)備都采用了此類技術(shù)的防火墻進(jìn)行基本防護(hù).

基礎(chǔ)性的過濾防火墻，其優(yōu)點(diǎn)就是只需通過一個(gè)硬件承載防火墻，通過設(shè)備進(jìn)行檢查的數(shù)據(jù)能夠得到完全觀察從而來確定安全與否，但缺點(diǎn)也是顯而易見的，由于技術(shù)的發(fā)展，地址欺騙、偽裝、黑客技術(shù)的強(qiáng)制規(guī)則都會讓正常的包過濾規(guī)則無從下手.

1.2 代理防火墻

代理防火墻顧名思義，它實(shí)施的是代理機(jī)制，此類防火墻是利用轉(zhuǎn)發(fā)通過在OSI網(wǎng)絡(luò)的應(yīng)用層中進(jìn)行建立過濾協(xié)議，從而達(dá)到過濾目的，主要針對網(wǎng)絡(luò)服務(wù)中的應(yīng)用協(xié)議，其使用與常規(guī)過濾型防火墻不同的數(shù)據(jù)邏輯，來進(jìn)行監(jiān)控與控制數(shù)據(jù)包的走向.能夠有效地阻隔不明來源及非法的數(shù)據(jù).也因?yàn)槠湓頌榇頇C(jī)制，因此模式屬于只讀應(yīng)用專門處理相關(guān)服務(wù).使外界計(jì)算機(jī)只能夠發(fā)現(xiàn)其防火墻數(shù)據(jù)，觀察不到被保護(hù)計(jì)算機(jī)的數(shù)據(jù).這樣能夠從根源阻斷外部計(jì)算機(jī)對防火墻發(fā)起的意外問題.在保護(hù)了網(wǎng)絡(luò)安全的同時(shí)，也能夠保證防火墻本身的策略邏輯不被推翻.

代理型的防火墻主要的優(yōu)點(diǎn)即是安全.其可以針對網(wǎng)絡(luò)中的任何層面進(jìn)行分層保護(hù).也因其保護(hù)面積過于廣泛，其缺點(diǎn)也是非常明顯的.由于通過代理機(jī)制頻繁過濾數(shù)據(jù)，因此在運(yùn)算處理過程中速度相對較慢，當(dāng)數(shù)據(jù)吞吐量達(dá)到一定程度，代理防火墻便成為了影響處理速度的罪魁禍?zhǔn)?，雖然能夠保證其安全，但會影響正常的訪問速度.

1.3 監(jiān)控防火墻

防火墻的主要工作即是保證計(jì)算機(jī)的運(yùn)行安全，監(jiān)控型防火墻的技術(shù)實(shí)際意義已經(jīng)是超越了單純的過濾型防火墻及代理型防火墻，它的原理是在運(yùn)行中將各層數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，微小的更改也能夠引起檢查，其次監(jiān)控型防火墻能夠不定時(shí)的進(jìn)行相關(guān)數(shù)據(jù)抽取檢查來實(shí)現(xiàn)整體布局的安全.監(jiān)控防火墻的過濾規(guī)則是根據(jù)抽取檢查的結(jié)果來進(jìn)行實(shí)時(shí)適應(yīng)修改安全策略，以保證在安全檢查的前提下而又不影響速度，其特有的分布式探測功能能夠有效地察覺并阻止外部來源的攻擊，且其規(guī)則對計(jì)算機(jī)內(nèi)部的惡意行為也擁有強(qiáng)大的預(yù)防作用.

監(jiān)控防火墻獨(dú)特的性能和安全策略，有效的避免了因端口問題所帶來的安全隱患，且占用率及處理速度都要優(yōu)于前兩者，因此監(jiān)控型防火墻的性能、技術(shù)都比較優(yōu)越.

2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

2.1 系統(tǒng)病毒

入侵計(jì)算機(jī)系統(tǒng)的病毒主要是由病毒編程人員將一段帶有破壞性的數(shù)據(jù)寫入了一個(gè)正常外表的可執(zhí)行文件中，此類文件普遍后戳為EXE或DLL，病毒程序能夠通過自我繁衍、復(fù)制，來感染其他計(jì)算機(jī)里的正常系統(tǒng)程序.系統(tǒng)病毒具有很強(qiáng)大的傳播性，感染性及破壞性，這段可執(zhí)行代碼類似醫(yī)學(xué)中的生物病毒，可以互相傳染，自我再生，通過向各種文件中復(fù)制病毒數(shù)據(jù)，在用戶之間互相訪問時(shí)又帶給了另一用戶，其獨(dú)特的復(fù)制能力往往讓感染后的計(jì)算機(jī)難以根除.

2.2 系統(tǒng)漏洞

系統(tǒng)漏洞是指在軟件開發(fā)和系統(tǒng)創(chuàng)建發(fā)展過程中在程序邏輯中所產(chǎn)生的錯誤和先天缺陷.這些缺陷和錯誤統(tǒng)稱為漏洞.漏洞通常會被不法分子所利用，通過網(wǎng)絡(luò)系統(tǒng)漏洞，將病毒木馬送到系統(tǒng)中來，攻擊并破壞計(jì)算機(jī)，盜取資料及個(gè)人信息，系統(tǒng)漏洞的存在是不可避免的，軟件與軟件在互相喚醒中的特權(quán)漏洞，硬件與軟件在使用過程中產(chǎn)生的BUG等很多種情況下都會產(chǎn)生不懂種類及危害程度的漏洞.

2.3 非法入侵

網(wǎng)絡(luò)安全中最大的安全隱患當(dāng)屬黑客的非法入侵.他會利用操作系統(tǒng)及網(wǎng)站的各類漏洞及特權(quán)進(jìn)行分析，找出突破口對目標(biāo)計(jì)算機(jī)進(jìn)行入侵，在后臺放置隱藏程序，在windows啟動時(shí)悄悄的隨之而運(yùn)行，并且向黑客發(fā)出信號.告知黑客計(jì)算機(jī)已經(jīng)連接互聯(lián)網(wǎng)，并將計(jì)算機(jī)的IP地址，端口等等暴露.黑客利用得到的信息，運(yùn)行木馬，奪取超級權(quán)限后完全控制計(jì)算機(jī)，一旦被控制，危害性極大，輕者計(jì)算機(jī)由于木馬的影響而陷入癱瘓，重者丟失機(jī)密、銀行信息等重大財(cái)產(chǎn)資料.

3 計(jì)算機(jī)防火墻的安全應(yīng)用

防火墻的基本功能全在兩端或多端網(wǎng)絡(luò)之間，通過不同的信任程度進(jìn)行放行或組織書數(shù)據(jù)的傳輸.在防火墻的保護(hù)下，入侵者就必須穿過防火墻這一道防線，而后才能見到計(jì)算機(jī)本來面目，因此在計(jì)算機(jī)防火墻的安全應(yīng)用方法上，應(yīng)做到以下兩點(diǎn).

3.1 監(jiān)控防火墻日志

通過監(jiān)控防火墻的日志，能夠有效調(diào)整運(yùn)行規(guī)則以及當(dāng)前形勢下的規(guī)則是否適用等情況.計(jì)算機(jī)防火墻在工作的時(shí)候會保留一塊區(qū)域，用來記錄發(fā)現(xiàn)問題時(shí)的具體詳細(xì)信息，以供計(jì)算機(jī)恢復(fù)之后來查看原因.因此計(jì)算機(jī)防火墻的日志監(jiān)控是工作中是必不可少的，通過監(jiān)控日志，可以深入的解決問題并且不易找到問題.

3.2 安全策略的應(yīng)用

日志的監(jiān)控只能夠發(fā)現(xiàn)正常行為表現(xiàn)，當(dāng)進(jìn)行下一步的時(shí)候首先要有一個(gè)堅(jiān)固的防火墻作一名個(gè)后盾，后將配置好的防火墻應(yīng)用到相關(guān)網(wǎng)絡(luò)中去.需要注意的是，防火墻的安全配置將決定了防火墻的用處，在配置方面可以將網(wǎng)絡(luò)服務(wù)器的服務(wù)進(jìn)行激活，如今當(dāng)下的網(wǎng)絡(luò)服務(wù)大致有以下幾種：DNS、FTP、web、SSH等等，在配置時(shí)就將每種服務(wù)器里的各類服務(wù)器程序分散給各個(gè)端口，這樣一來，兩端的網(wǎng)絡(luò)在結(jié)合過程中的安全情況將大大增加.

在制定防火墻的過程中，安全策略是防火墻誕生的第一步.要明確哪些數(shù)據(jù)是讓過的，哪些則需要直接丟包的.這便擁有了防火墻的基本雛形，接下來才可以進(jìn)行安全策略的細(xì)致策略.例如，通過以防火墻的安全方案配置，將所有軟件的可執(zhí)行程序放在防火墻上，等待程序運(yùn)行時(shí)將數(shù)據(jù)進(jìn)行直接檢查，這樣的做法要比等待數(shù)據(jù)執(zhí)行后再進(jìn)行攔截要安全得多.類似的集中處理也更加經(jīng)濟(jì)省時(shí)，從而提高計(jì)算機(jī)與數(shù)據(jù)之間的傳輸效率.

其次要對網(wǎng)絡(luò)數(shù)據(jù)的存儲讀取進(jìn)行監(jiān)控.由于指定的規(guī)則決定了所有的數(shù)據(jù)都應(yīng)經(jīng)過防火墻才能夠到達(dá)目的地，這樣的情況表明了防火墻本身就可以記錄下來完整的數(shù)據(jù)日志，并且還能夠統(tǒng)計(jì)流量，記錄數(shù)據(jù)發(fā)生.當(dāng)訪問過程中發(fā)現(xiàn)可疑數(shù)據(jù)運(yùn)行時(shí)，防火墻可以直接對照已經(jīng)定制的策略進(jìn)行適當(dāng)?shù)木瘓?bào)，并且提供當(dāng)前計(jì)算機(jī)是否被黑客所監(jiān)控，必要時(shí)直接丟包.

收集網(wǎng)絡(luò)中其他有利因素進(jìn)行學(xué)習(xí)性補(bǔ)充也是防火墻可做的重要工作之一.這不僅僅能夠令防火墻提前預(yù)知所發(fā)現(xiàn)的數(shù)據(jù)是否能夠有能力阻擋，也能夠令防火墻對未知的文件發(fā)出警告，通知用戶手動進(jìn)行查看排除，有助于問題的分析及防火墻能力的提升并且降低用戶計(jì)算機(jī)受到新型病毒的攻擊風(fēng)險(xiǎn).

通過策略的應(yīng)用，利用防火墻本身的特性，將內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，將一整條網(wǎng)段分成多個(gè)，劃分出主要和次要監(jiān)控區(qū)，且兩部分進(jìn)行根本隔離，限制局域網(wǎng)之間數(shù)據(jù)傳輸，防止互相訪問數(shù)據(jù)時(shí)所發(fā)生的安全問題，從而保證了內(nèi)部網(wǎng)絡(luò)訪問過程中的數(shù)據(jù)安全.并且可以通過防火墻的策略設(shè)定，將內(nèi)部網(wǎng)絡(luò)隱私化，例如將敏感詞匯從內(nèi)部就進(jìn)行隱藏，內(nèi)部網(wǎng)絡(luò)互相傳輸過程中就不會引起外部攻擊者的注意，降低被入侵的風(fēng)險(xiǎn).例如，將公共賬戶關(guān)閉，利用防火墻將finger所顯示的消息進(jìn)行阻塞，同理將DNS的有關(guān)信息也進(jìn)行隱藏.這樣內(nèi)部網(wǎng)絡(luò)之間的用戶名，數(shù)據(jù)真名，登錄時(shí)間以及個(gè)人隱私記錄都會被防火墻所監(jiān)控并阻塞外泄，不被外界所了解.從根本上保護(hù)了用戶的數(shù)據(jù)安全.

4 結(jié)論

通過以上討論我們可以看出，在實(shí)際應(yīng)用過程中，防火墻的很多技術(shù)及功能都沒有被完全地利用，針對防火墻安全應(yīng)用方面的有關(guān)研究仍然任重而道遠(yuǎn)，針對不同環(huán)境及不同的設(shè)備基礎(chǔ)，防火墻的種類也擁有著不同之處，優(yōu)缺點(diǎn)相對來說也是不同的，合理應(yīng)用非常必要.

參考文獻(xiàn)：

〔1〕郭飛軍.對計(jì)算機(jī)防火墻安全應(yīng)用的探討［J］.數(shù)字技術(shù)與應(yīng)用，2012（01）.

〔2〕郭靜博,宮蕾.關(guān)于計(jì)算機(jī)防火墻安全應(yīng)用的思考［J］.長春教育學(xué)院學(xué)報(bào)，2014（02）.

〔3〕滿德日娃.淺議計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)［J］.民營科技，2012（03）.

〔4〕曹錚.淺議計(jì)算機(jī)防火墻的安全應(yīng)用［J］.科教文匯（下旬刊），2015（06）.

中圖分類號：TP393.08

文獻(xiàn)標(biāo)識碼：A

文章編號：1673-260X（2016）05-0024-02

收稿日期：2016-03-18