賀兵

摘要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，給人們?nèi)粘Ｉ詈凸ぷ鲙砹司薮蟮谋憷?，但在帶來諸多便利的同時(shí)，網(wǎng)絡(luò)安全事件也屢見不鮮。部分不法分子利用網(wǎng)絡(luò)安全漏洞牟取不當(dāng)利益，從事非法活動(dòng)，引發(fā)網(wǎng)絡(luò)安全問題。在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用防火墻技術(shù)，能夠有效預(yù)防計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全威脅，提高網(wǎng)絡(luò)安全性。本文從防火墻技術(shù)與網(wǎng)絡(luò)安全問題進(jìn)行闡述與說明，希望能為網(wǎng)絡(luò)安全問題的解決提供部分參考價(jià)值。

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò) 防火墻技術(shù) 信息安全

前言：

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)也得到了極大地改進(jìn)和完善，人們已經(jīng)進(jìn)入到信息時(shí)代。網(wǎng)絡(luò)技術(shù)在改變?nèi)藗兩a(chǎn)生活模式和社會(huì)行業(yè)發(fā)展方向的同時(shí)，網(wǎng)絡(luò)安全威脅也給社會(huì)的和諧發(fā)展造成巨大風(fēng)險(xiǎn)。防火墻技術(shù)作為一種網(wǎng)絡(luò)安全防護(hù)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中具有重要作用?？茖W(xué)運(yùn)用防火墻相關(guān)技術(shù)提高網(wǎng)絡(luò)對(duì)黑客入侵攻擊、網(wǎng)絡(luò)病毒等方面的抵御能力，為充分發(fā)揮網(wǎng)絡(luò)技術(shù)對(duì)社會(huì)經(jīng)濟(jì)和人們工作生活的促進(jìn)作用奠定了基礎(chǔ)。

1防火墻技術(shù)與網(wǎng)絡(luò)安全問題概述

1.1防火墻技術(shù)概述

防火墻技術(shù)一種網(wǎng)絡(luò)隔離防護(hù)技術(shù)，通過部署硬件設(shè)備和軟件系統(tǒng)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中基于會(huì)話、用戶、應(yīng)用和內(nèi)容進(jìn)行訪問控制，只允許經(jīng)過授權(quán)的數(shù)據(jù)通過，實(shí)現(xiàn)有效、精確的管控。并且動(dòng)態(tài)化檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)于監(jiān)測(cè)到存在安全隱患的網(wǎng)絡(luò)連接，主動(dòng)攔截及中斷網(wǎng)絡(luò)傳輸，及時(shí)發(fā)出警報(bào)提醒，有效避免外部惡意網(wǎng)絡(luò)攻擊，從根本上保護(hù)網(wǎng)絡(luò)的安全性。同時(shí)還能不間斷地對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行過濾，阻擋潛在的安全威脅，防止網(wǎng)絡(luò)病毒的入侵。此外，防火墻還會(huì)記錄訪問連接阻擋日志，幫助用戶了解潛在的安全問題，大大增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)能力。

1.2防火墻技術(shù)分類

防火墻技術(shù)主要分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、狀態(tài)包檢測(cè)防火墻以及復(fù)合型防火墻。其中包過濾防火墻工作在網(wǎng)絡(luò)層，應(yīng)用網(wǎng)關(guān)防火墻工作在應(yīng)用層。（1）包過濾防火墻是根據(jù)數(shù)據(jù)包的源目地址、源目端口號(hào)以及協(xié)議類型等標(biāo)識(shí)確定是否允許數(shù)據(jù)包訪問通過，在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。（2）應(yīng)用網(wǎng)關(guān)防火墻，能夠在應(yīng)用層中繼兩個(gè)連接之間的特定類型的流量。進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報(bào)文都必須通過應(yīng)用網(wǎng)關(guān)。當(dāng)某應(yīng)用客戶進(jìn)程向服務(wù)器發(fā)送一份請(qǐng)求報(bào)文時(shí)，首先發(fā)送給應(yīng)用網(wǎng)關(guān)設(shè)備，由應(yīng)用網(wǎng)關(guān)打開該數(shù)據(jù)報(bào)文，查看該請(qǐng)求是否合法（可根據(jù)應(yīng)用層用戶標(biāo)識(shí)ID或其他應(yīng)用層信息來確定）。如果請(qǐng)求合法，應(yīng)用網(wǎng)關(guān)以客戶進(jìn)程的身份將請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給原始服務(wù)器。如果不合法，報(bào)文則被丟棄。（3）狀態(tài)檢測(cè)防火墻使用基于連接狀態(tài)的檢測(cè)機(jī)制，將通信雙方之間交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來對(duì)待，在狀態(tài)檢測(cè)防火墻看來，同一個(gè)數(shù)據(jù)流內(nèi)的報(bào)文不再是孤立的個(gè)體，而是存在聯(lián)系的，例如為數(shù)據(jù)流的第一個(gè)報(bào)文建立會(huì)話，數(shù)據(jù)流內(nèi)的后續(xù)報(bào)文就會(huì)直接匹配會(huì)話轉(zhuǎn)發(fā)，不再需要再進(jìn)行規(guī)則的檢查，提高了轉(zhuǎn)發(fā)效率。（4）復(fù)合型防火墻基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中包括VPN、IDS等功能，多單元融為一體，是一種新的技術(shù)突破。

1.3 防火墻在網(wǎng)絡(luò)安全中重要性

網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們的網(wǎng)絡(luò)安全意識(shí)的不斷提升，防火墻技術(shù)是眾多網(wǎng)絡(luò)安全技術(shù)中的使用比較早、最為廣泛的技術(shù)之一，它不僅能夠在網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)受到威脅時(shí)主動(dòng)攔截并發(fā)出警報(bào)提醒，還能從網(wǎng)絡(luò)連接的端口進(jìn)行判斷來自外部的非法訪問，在網(wǎng)絡(luò)安全管理中起到了很大的促進(jìn)作用，可以有效的對(duì)網(wǎng)絡(luò)非法入侵提供預(yù)警功能，將不安全的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行處理，對(duì)網(wǎng)絡(luò)安全起到有效的防御監(jiān)控作用，防火墻技術(shù)是網(wǎng)絡(luò)安全防御體系中防護(hù)效果非常好的網(wǎng)絡(luò)安全技術(shù)之一。

2網(wǎng)絡(luò)安全問題

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人們的日常生活和工作已經(jīng)被計(jì)算機(jī)網(wǎng)絡(luò)覆蓋，在大數(shù)據(jù)環(huán)境下，計(jì)算機(jī)網(wǎng)絡(luò)的安全形勢(shì)愈發(fā)嚴(yán)峻。大部分計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng)，對(duì)個(gè)人信息的保護(hù)措施不到位、安全防護(hù)不及時(shí)，不經(jīng)意間會(huì)下載安裝帶有木馬病毒的軟件，使得個(gè)人的數(shù)據(jù)、信息等被盜取，嚴(yán)重情況下還會(huì)使得個(gè)人信息安全遭到侵害，給自身帶來極大的經(jīng)濟(jì)或是名譽(yù)損失。還有不法分子利用網(wǎng)絡(luò)漏洞攻擊政府機(jī)關(guān)、商業(yè)公司、企業(yè)等部門單位網(wǎng)絡(luò)系統(tǒng)，如果不加以防護(hù)的話，輕則干擾人們的日常生活，重則會(huì)造成巨大的經(jīng)濟(jì)損失，甚至威脅到國家的安全。維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全并且采取針對(duì)性的應(yīng)對(duì)策略，保證網(wǎng)絡(luò)中各類軟硬件、系統(tǒng)資源的安全，成了維護(hù)網(wǎng)絡(luò)安全的最終目的。

3防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)現(xiàn)

3.1防火墻技術(shù)在訪問策略方面的應(yīng)用

在網(wǎng)絡(luò)安全中最常見的防火墻技術(shù)應(yīng)用是訪問策略。在創(chuàng)建訪問策略時(shí)，需要梳理網(wǎng)絡(luò)中各種訪問服務(wù)信息、網(wǎng)絡(luò)連接訪問要求，定義防火墻區(qū)域，根據(jù)網(wǎng)絡(luò)的運(yùn)行實(shí)際情況，規(guī)劃詳細(xì)的訪問策略，一般訪問策略要求細(xì)化到IP地址、具體服務(wù)端口號(hào)，網(wǎng)絡(luò)數(shù)據(jù)訪問流向，而且訪問策略名稱可讀性要強(qiáng)。在實(shí)際應(yīng)用過程中，結(jié)合網(wǎng)絡(luò)安全的需求以及訪問策略的應(yīng)用場(chǎng)景，進(jìn)行適當(dāng)?shù)牟呗哉{(diào)整，體現(xiàn)最小化原則和最優(yōu)保護(hù)。防火墻訪問策略應(yīng)用時(shí)，防火墻將對(duì)訪問策略所有活動(dòng)進(jìn)行詳細(xì)記錄，根據(jù)訪問策略表作為執(zhí)行匹配順序，提高網(wǎng)絡(luò)安全防護(hù)的效率，有效提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

3.2防火墻技術(shù)在安全部署方面的應(yīng)用

防火墻技術(shù)在實(shí)際應(yīng)用場(chǎng)景中，為了更好的防止外部網(wǎng)絡(luò)攻擊，防火墻一般部署于內(nèi)部網(wǎng)絡(luò)出口處，有效阻止來自外部網(wǎng)絡(luò)的攻擊。特別要說的是對(duì)于一些大規(guī)模的企業(yè)和單位，最好在各個(gè)網(wǎng)絡(luò)區(qū)域邊界部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)各個(gè)區(qū)域間的訪問控制。在具體部署上，要求確定內(nèi)部區(qū)域防火墻和出口防火墻的功能需求和防護(hù)控制策略，按照要求配置關(guān)鍵區(qū)域防火墻和邊界防火墻設(shè)備，讓內(nèi)部關(guān)鍵區(qū)域防火墻實(shí)現(xiàn)細(xì)粒度訪問控制和提供深層次的檢測(cè)與告警，在出口邊界防火墻上劃分DMZ區(qū)域，區(qū)域內(nèi)連接業(yè)務(wù)服務(wù)器，對(duì)外提供相關(guān)業(yè)務(wù)訪問服務(wù)，充分發(fā)揮出防火墻的防御和設(shè)備功能。還可以通過防火墻NAT轉(zhuǎn)換技術(shù)，對(duì)外映射內(nèi)部網(wǎng)絡(luò)中特定的主機(jī)地址，隱藏內(nèi)網(wǎng)結(jié)構(gòu)以及計(jì)算機(jī)的真實(shí) IP 地址，從而有效的提高內(nèi)部網(wǎng)絡(luò)的安全性，還能在一定程度上減少公網(wǎng) IP 地址的使用情況以及數(shù)量。

3.3防火墻技術(shù)在日志監(jiān)控方面的應(yīng)用

網(wǎng)絡(luò)管理人員對(duì)日志信息進(jìn)行采集的時(shí)候，大多數(shù)要對(duì)所有日志信息進(jìn)行收集，操作起來費(fèi)時(shí)費(fèi)力，經(jīng)過防火墻的數(shù)據(jù)信息量又十分的龐大，收集的信息一旦出現(xiàn)差錯(cuò)，可能就會(huì)漏掉非常重要信息。防火墻技術(shù)，能夠以訪問日志方式來詳細(xì)準(zhǔn)確記錄用戶網(wǎng)絡(luò)訪問信息，以及網(wǎng)絡(luò)之間連接信息，幫助網(wǎng)絡(luò)管理人員溯源各種網(wǎng)絡(luò)安全問題。比如，在運(yùn)用防火墻的信息記錄與統(tǒng)計(jì)功能來確保自身網(wǎng)絡(luò)的安全時(shí)，可以根據(jù)用戶的網(wǎng)絡(luò)使用情況生成具有針對(duì)性與準(zhǔn)確性的日志，管理人員可以根據(jù)自身需求對(duì)不同日志信息進(jìn)行匯總與分析，根據(jù)不同類型信息特征和用途來調(diào)整監(jiān)管方式，提高日志監(jiān)控信息的全面性與實(shí)用性，有效降低網(wǎng)絡(luò)遭受入侵和攻擊的可能性。

3.4防火墻技術(shù)與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)防御

一套成熟的網(wǎng)絡(luò)安全防御系統(tǒng)，要能夠?qū)W(wǎng)絡(luò)非法入侵者身份進(jìn)行檢測(cè)、篩選、分析，如果確定為非法入侵行為，將會(huì)及時(shí)作出報(bào)警提示，以便于網(wǎng)絡(luò)管理者及時(shí)解決網(wǎng)絡(luò)安全威脅問題。雖然這種被動(dòng)防御方式不能實(shí)現(xiàn)完全防御，但是其檢測(cè)速度快，報(bào)警提示及時(shí)，便于網(wǎng)絡(luò)管理人員及時(shí)做出應(yīng)對(duì)措施去抵御網(wǎng)絡(luò)攻擊。將防火墻技術(shù)與入侵檢測(cè)系統(tǒng)有效融合，入侵檢測(cè)系統(tǒng)可以有效彌補(bǔ)防火墻的靜態(tài)防御方面的不足。當(dāng)網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)檢測(cè)到有攻擊者入侵時(shí)，入侵檢測(cè)系統(tǒng)立即將非法操作、入侵行為信息傳遞至防火墻，由防火墻系統(tǒng)自動(dòng)或網(wǎng)絡(luò)管理員手動(dòng)方式針對(duì)入侵行為作出有效的阻斷和防御。在網(wǎng)絡(luò)整體防御上起到很好的設(shè)備聯(lián)動(dòng)防御效果，由入侵檢測(cè)系統(tǒng)配合防火墻系統(tǒng)共同防護(hù)網(wǎng)絡(luò)，使防火墻系統(tǒng)能夠更好的抵御內(nèi)外部網(wǎng)絡(luò)的攻擊。

4總結(jié)

防火墻是網(wǎng)絡(luò)安全最為常用的防御技術(shù)，在當(dāng)前網(wǎng)絡(luò)安全防護(hù)方面也是最有效的技術(shù)手段，隨著新技術(shù)、新需求不斷涌現(xiàn)，防火墻會(huì)變得更加高級(jí)和智能，在網(wǎng)絡(luò)安全中的使用領(lǐng)域也會(huì)變得越來越廣泛。但是，單靠防火墻技術(shù)很難應(yīng)付復(fù)雜多變的網(wǎng)絡(luò)攻擊，不僅需要加強(qiáng)防火墻技術(shù)的研究與改革創(chuàng)新，從而使其能夠在網(wǎng)絡(luò)安全防御體系中發(fā)揮出更大的作用。并且通過完善、健全網(wǎng)絡(luò)安全管理工作制度，提高網(wǎng)絡(luò)管理人員安全防護(hù)意識(shí)，更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]郭斯夢(mèng).網(wǎng)絡(luò)時(shí)代的云安全技術(shù)分析[J].中國新通信，2018，0（11）：23-24.

[2]韓戴鴻，鄔顯豪，徐彬凌，胡大川，錢誠.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的研究與應(yīng)用分析[J].電子世界，2018，0（12）：76-76.

[3]吳青.云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].中國新通信，2019，0（18）：87-87.