潘 娜，王 蘭

(海南開放大學(xué)，海南 海口 570208)

1 網(wǎng)絡(luò)防火墻的基本概念和主要類型

1.1 網(wǎng)絡(luò)防火墻的基本概念

安裝防火墻是為了隔絕外界IP對(duì)本地網(wǎng)絡(luò)或主機(jī)的非法訪問，保障互聯(lián)網(wǎng)數(shù)據(jù)的安全性，通過系統(tǒng)軟件與設(shè)備硬件的組合分析，嚴(yán)格參考網(wǎng)絡(luò)安全防護(hù)準(zhǔn)則進(jìn)行訪問網(wǎng)址屏蔽與篩選。用戶在計(jì)算機(jī)使用階段需要嚴(yán)格設(shè)定內(nèi)部數(shù)據(jù)的訪問權(quán)限，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)用戶登錄情況，通過數(shù)據(jù)分析與管理防范非法攻擊手段。網(wǎng)絡(luò)設(shè)置的代理服務(wù)器發(fā)揮出防火墻的防護(hù)作用，將局域網(wǎng)與外網(wǎng)進(jìn)行有效隔離，根據(jù)網(wǎng)絡(luò)實(shí)際運(yùn)行情況記錄數(shù)據(jù)操作行為。防火墻技術(shù)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，能夠起到數(shù)據(jù)過濾、安全檢測(cè)、風(fēng)險(xiǎn)追蹤的作用，保障信息數(shù)據(jù)處理效率，提高網(wǎng)絡(luò)運(yùn)行安全性[1]。

1.2 網(wǎng)絡(luò)防火墻的主要類型

1.2.1 包過濾技術(shù)

“包”指的是網(wǎng)絡(luò)上的流動(dòng)信息，在數(shù)據(jù)傳輸中自動(dòng)將傳輸文件分解為多個(gè)包，加快傳輸速度。當(dāng)完成數(shù)據(jù)轉(zhuǎn)移后，包中的數(shù)據(jù)信息按照一定的組合排列規(guī)律重新構(gòu)成傳輸文件。防火墻包過濾技術(shù)是以過濾路由器為核心，按照儲(chǔ)存的包過濾規(guī)則，完成IP包過濾工作，分析數(shù)據(jù)文件的安全性，逐一審查數(shù)據(jù)包是否符合過濾規(guī)則。數(shù)據(jù)包過濾會(huì)在內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外部主機(jī)之間形成記憶，通過過濾規(guī)則設(shè)置進(jìn)行數(shù)據(jù)包篩選。包過濾技術(shù)的應(yīng)用，在網(wǎng)絡(luò)層和數(shù)據(jù)傳輸層建立安全機(jī)制，對(duì)數(shù)據(jù)源地址、數(shù)據(jù)傳輸協(xié)議和數(shù)據(jù)傳輸端口進(jìn)行全面篩查。包過濾技術(shù)的核心在于路由器，當(dāng)路由器被攻陷，內(nèi)部網(wǎng)絡(luò)將處于高風(fēng)險(xiǎn)運(yùn)行狀態(tài)，極易受到非法攻擊，在此基礎(chǔ)上提出了代理服務(wù)技術(shù)[2]。

1.2.2 代理服務(wù)技術(shù)

代理服務(wù)技術(shù)通常被設(shè)置在網(wǎng)絡(luò)應(yīng)用層，代理接收互聯(lián)網(wǎng)的服務(wù)請(qǐng)求，通過代替性連接的方式設(shè)立應(yīng)用級(jí)網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)用戶操作行為和互聯(lián)網(wǎng)環(huán)境的綜合管理。網(wǎng)絡(luò)用戶需要通過代理體系獲取互聯(lián)網(wǎng)數(shù)據(jù)，在防火墻系統(tǒng)上運(yùn)行代理服務(wù)器，通過網(wǎng)絡(luò)傳輸階段客戶程序分析進(jìn)行信息篩選。代理服務(wù)技術(shù)能夠自動(dòng)識(shí)別網(wǎng)絡(luò)協(xié)議，主要被應(yīng)用到家庭小流量網(wǎng)絡(luò)管控中。網(wǎng)絡(luò)流量較大的企業(yè)通常采用狀態(tài)檢測(cè)技術(shù)[3]。

1.2.3 狀態(tài)檢測(cè)技術(shù)

狀態(tài)分析技術(shù)是在數(shù)據(jù)包過濾技術(shù)的基礎(chǔ)上，創(chuàng)新研發(fā)出的一種動(dòng)態(tài)化數(shù)據(jù)包過濾技術(shù)，借助狀態(tài)分析功能生成防火墻狀態(tài)表，根據(jù)用戶定義的過濾規(guī)則進(jìn)行數(shù)據(jù)包篩選。與數(shù)據(jù)包過濾技術(shù)的最大區(qū)別在于身份認(rèn)證和數(shù)據(jù)應(yīng)用階段，狀態(tài)檢測(cè)技術(shù)能夠自動(dòng)完成狀態(tài)分析，由防火墻對(duì)網(wǎng)絡(luò)層截取的數(shù)據(jù)包進(jìn)行統(tǒng)一處理，將數(shù)據(jù)內(nèi)容整理到動(dòng)態(tài)狀態(tài)列表，保證網(wǎng)絡(luò)傳輸、網(wǎng)絡(luò)訪問的安全性[4-5]。

2 防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的重要作用

2.1 預(yù)防信息泄露

信息技術(shù)高速發(fā)展。數(shù)據(jù)傳輸途徑變得多元化。在使用網(wǎng)絡(luò)的過程中，人們將更多的個(gè)人信息、企業(yè)信息和數(shù)據(jù)信息儲(chǔ)存到網(wǎng)絡(luò)云空間，為企業(yè)工作和人們?nèi)粘Ｉ钐峁┍憷?。但在?shù)據(jù)時(shí)代發(fā)展背景下，計(jì)算機(jī)面臨嚴(yán)峻的網(wǎng)絡(luò)安全問題。防火墻技術(shù)作為網(wǎng)絡(luò)安全管理的重要手段，能夠?yàn)閿?shù)據(jù)傳輸、移動(dòng)通信提供有效保障。防火墻技術(shù)在互聯(lián)網(wǎng)應(yīng)用層和用戶層的使用，有效避免隱秘信息泄露，預(yù)防不法分子的網(wǎng)絡(luò)攻擊行為。

2.2 凈化網(wǎng)絡(luò)環(huán)境

移動(dòng)設(shè)備和互聯(lián)網(wǎng)技術(shù)的使用規(guī)模不斷擴(kuò)大。不法分子通過惡意攻擊網(wǎng)站盜取網(wǎng)絡(luò)用戶個(gè)人信息，更改企業(yè)項(xiàng)目經(jīng)營(yíng)數(shù)據(jù)，以此來獲得經(jīng)濟(jì)利益。一些高級(jí)別黑客會(huì)惡意制造誘導(dǎo)性網(wǎng)站，在計(jì)算機(jī)網(wǎng)絡(luò)中滲透木馬病毒。大多數(shù)的用戶難以直觀地辨別惡意攻擊行為，在網(wǎng)絡(luò)操作階段面臨極高的風(fēng)險(xiǎn)問題。網(wǎng)絡(luò)防火墻的建立能夠幫助用戶識(shí)別誘導(dǎo)性網(wǎng)站，采用針對(duì)性過濾裝置凈化計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)使用情況，對(duì)重要數(shù)據(jù)和隱私信息進(jìn)行加密處理，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)行為和網(wǎng)絡(luò)事件，主動(dòng)進(jìn)行系統(tǒng)防御，提高計(jì)算機(jī)網(wǎng)絡(luò)安全等級(jí)。

3 常見的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患

3.1 木馬病毒

常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為木馬病毒入侵，木馬病毒具有極強(qiáng)的傳染性。它能夠伴隨系統(tǒng)軟件入侵網(wǎng)絡(luò)后臺(tái)，伴隨著數(shù)據(jù)傳輸和數(shù)據(jù)共享行為進(jìn)入關(guān)聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)。木馬病毒具有隱蔽性。木馬病毒會(huì)隱藏在計(jì)算機(jī)系統(tǒng)中，與外界的網(wǎng)絡(luò)傳輸為木馬病毒的傳播提供了途徑。木馬病毒具有極強(qiáng)的破壞性，會(huì)直接造成網(wǎng)絡(luò)癱瘓，導(dǎo)致數(shù)據(jù)丟失，影響企業(yè)系統(tǒng)的穩(wěn)定運(yùn)行。防火墻技術(shù)的應(yīng)用與創(chuàng)新，需要提高系統(tǒng)運(yùn)行階段木馬病毒的檢測(cè)效果，優(yōu)化網(wǎng)絡(luò)防火墻的病毒查殺功能。

3.2 惡意攻擊

大多數(shù)網(wǎng)絡(luò)用戶的安全防范意識(shí)較低，網(wǎng)絡(luò)操作行為不規(guī)范，讓網(wǎng)絡(luò)黑客有機(jī)可乘。黑客利用軟件漏洞攻擊計(jì)算機(jī)系統(tǒng)盜取重要數(shù)據(jù)，威脅企業(yè)的經(jīng)濟(jì)安全。隨著云技術(shù)的普及應(yīng)用，許多網(wǎng)絡(luò)用戶將重要的數(shù)據(jù)信息儲(chǔ)存到云空間。云程序成為黑客非法獲取的主要目標(biāo)。職業(yè)黑客具有較強(qiáng)的反偵查、反監(jiān)控手段，在網(wǎng)絡(luò)入侵過程中具有極強(qiáng)的隱蔽性，難以第一時(shí)間被防火墻察覺。當(dāng)出現(xiàn)數(shù)據(jù)丟失或惡意篡改現(xiàn)象時(shí)，用戶面臨較高的經(jīng)濟(jì)損失。一些黑客存在嚴(yán)重的網(wǎng)絡(luò)破壞性行為，在計(jì)算機(jī)攻擊階段會(huì)植入木馬病毒，造成網(wǎng)絡(luò)硬盤失效，系統(tǒng)運(yùn)行的穩(wěn)定性受到威脅。

3.3 系統(tǒng)漏洞

在計(jì)算機(jī)使用過程中，用戶會(huì)根據(jù)個(gè)人的操作需求下載應(yīng)用軟件。在軟件登錄與使用階段，用戶易泄露重要的信息。軟件開發(fā)商在軟件功能設(shè)計(jì)中，十分注重軟件的執(zhí)行效率，盲目地降低軟件占用內(nèi)存，忽視了軟件運(yùn)行存在的數(shù)據(jù)安全隱患，缺乏對(duì)用戶信息保密制度的考量。系統(tǒng)運(yùn)行階段面臨較多的軟件漏洞，為木馬病毒提供了入侵渠道，不法分子利用誘導(dǎo)性手段獲取用戶的使用授權(quán)，肆意地盜取隱秘?cái)?shù)據(jù)。為了預(yù)防軟件漏洞，提高用戶的防火墻級(jí)別，以保護(hù)計(jì)算機(jī)硬件與軟件系統(tǒng)。

4 防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的具體應(yīng)用

4.1 安全配置技術(shù)

通過防火墻技術(shù)建立網(wǎng)絡(luò)安全防護(hù)體系，通過防火墻配置嚴(yán)格劃分內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)絡(luò)信息需要經(jīng)過包過濾功能的檢驗(yàn)和代理服務(wù)功能的防護(hù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的動(dòng)態(tài)化監(jiān)測(cè)。防火墻攔截垃圾信息，刪除惡意入侵信息，設(shè)置虛擬IP地址，對(duì)黑客攻擊行為進(jìn)行錯(cuò)誤引導(dǎo)，控制黑客的攻擊方向，起到保護(hù)用戶網(wǎng)絡(luò)數(shù)據(jù)安全的作用。內(nèi)網(wǎng)與外網(wǎng)隔離，能夠在網(wǎng)絡(luò)被訪問的過程中提供充足的反應(yīng)時(shí)間，保障信息甄別效率。對(duì)系統(tǒng)功能模塊進(jìn)行嚴(yán)格劃分，單獨(dú)設(shè)置保護(hù)區(qū)域，如圖1和圖2所示。調(diào)整主機(jī)與子網(wǎng)的被屏蔽體系結(jié)構(gòu)，與防火墻安全配置進(jìn)行有效配合，在數(shù)據(jù)傳遞過程中隱藏內(nèi)部網(wǎng)址。

圖1 被屏蔽主機(jī)體系結(jié)構(gòu)

圖2 被屏蔽子網(wǎng)體系結(jié)構(gòu)

4.2 安全協(xié)議技術(shù)

防火墻協(xié)議技術(shù)是在可變?nèi)萜骺刂评碚摶A(chǔ)上形成的一種網(wǎng)絡(luò)保護(hù)手段，調(diào)節(jié)網(wǎng)絡(luò)數(shù)據(jù)傳輸大小，在數(shù)據(jù)傳輸階段將控制內(nèi)容精確到字節(jié)數(shù)。防火墻協(xié)議技術(shù)的運(yùn)行，需要提前設(shè)定好數(shù)據(jù)大小標(biāo)準(zhǔn)值，與傳輸過程中的數(shù)據(jù)大小進(jìn)行對(duì)比。當(dāng)傳輸數(shù)據(jù)中含有垃圾信息和惡意攻擊程序時(shí)，將會(huì)超出防火墻設(shè)置的數(shù)據(jù)大小限額，觸發(fā)防火墻設(shè)置的自動(dòng)防御系統(tǒng)，第一時(shí)間終止數(shù)據(jù)傳輸，保護(hù)系統(tǒng)運(yùn)行安全。將收到的異常信息轉(zhuǎn)化為系統(tǒng)日志，上傳到預(yù)警中心。當(dāng)用戶接收到系統(tǒng)警告后，采取針對(duì)性的信息處理措施，確保網(wǎng)絡(luò)運(yùn)行環(huán)境的穩(wěn)定性。

4.3 安全防護(hù)技術(shù)

安全防護(hù)技術(shù)主要負(fù)責(zé)檢測(cè)與查殺木馬病毒風(fēng)險(xiǎn)。木馬病毒作為一種網(wǎng)絡(luò)侵害手段，通常來自用戶網(wǎng)頁瀏覽和網(wǎng)絡(luò)數(shù)據(jù)獲取，由于具有極強(qiáng)的隱蔽性，會(huì)隱藏在非法網(wǎng)站，隨著用戶數(shù)據(jù)操作與獲取進(jìn)入網(wǎng)絡(luò)系統(tǒng)。木馬病毒具有極強(qiáng)的破壞性，不僅影響到系統(tǒng)應(yīng)用程序的穩(wěn)定運(yùn)行，嚴(yán)重的還會(huì)造成網(wǎng)絡(luò)癱瘓，清除系統(tǒng)內(nèi)部的重要數(shù)據(jù)。防火墻防護(hù)技術(shù)能夠?qū)梢蓴?shù)據(jù)進(jìn)行有效辨別，當(dāng)檢測(cè)到數(shù)據(jù)存在惡意侵害行為時(shí)，將迅速進(jìn)行攔截處理，并拒絕非法訪問。用戶在系統(tǒng)操作階段，通過防火墻保障數(shù)據(jù)的安全性，過濾掉數(shù)據(jù)獲取階段下載的無效垃圾信息，優(yōu)化用戶的網(wǎng)絡(luò)使用體驗(yàn)。在網(wǎng)絡(luò)防護(hù)中，采用網(wǎng)絡(luò)代理，按照設(shè)置的包過濾規(guī)則進(jìn)行數(shù)據(jù)校驗(yàn)與IP過濾，提高計(jì)算機(jī)網(wǎng)絡(luò)使用的安全性，為了保障數(shù)據(jù)信息儲(chǔ)存與共享的安全性，避免個(gè)人隱私泄露，需要定期進(jìn)行防護(hù)系統(tǒng)升級(jí)，更新病毒庫，當(dāng)發(fā)現(xiàn)系統(tǒng)軟件存在潛在病毒時(shí)，及時(shí)進(jìn)行查殺處理，保障信息數(shù)據(jù)的安全性。

4.4 安全修復(fù)技術(shù)

計(jì)算機(jī)使用過程中會(huì)產(chǎn)生大量的數(shù)據(jù)信息。企業(yè)在項(xiàng)目運(yùn)營(yíng)階段會(huì)產(chǎn)生財(cái)務(wù)數(shù)據(jù)、內(nèi)部管理數(shù)據(jù)、項(xiàng)目經(jīng)營(yíng)數(shù)據(jù)等重要的數(shù)據(jù)類別。為了保證企業(yè)經(jīng)營(yíng)項(xiàng)目的穩(wěn)定開展，各部門之間進(jìn)行數(shù)據(jù)共享。不規(guī)范的數(shù)據(jù)操作行為會(huì)引發(fā)一系列風(fēng)險(xiǎn)問題。從開放式網(wǎng)絡(luò)環(huán)境下獲取的數(shù)據(jù)內(nèi)容存在許多無效垃圾信息。操作人員缺乏對(duì)信息數(shù)據(jù)的統(tǒng)一管理，只是盲目地進(jìn)行數(shù)據(jù)獲取與自動(dòng)化處理，導(dǎo)致木馬病毒隨著垃圾信息入侵內(nèi)部系統(tǒng)。防火墻修復(fù)技術(shù)能夠在數(shù)據(jù)信息進(jìn)入系統(tǒng)時(shí)形成網(wǎng)絡(luò)監(jiān)控體系，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行分類處理，根據(jù)用戶制定的過濾規(guī)則，有效攔截與處理垃圾信息，降低計(jì)算機(jī)網(wǎng)絡(luò)入侵危險(xiǎn)，節(jié)省計(jì)算機(jī)內(nèi)部?jī)?chǔ)存空間。防火墻修復(fù)技術(shù)能夠提高網(wǎng)絡(luò)訪問速度，通過網(wǎng)絡(luò)監(jiān)控處理，營(yíng)造安全的計(jì)算機(jī)運(yùn)行環(huán)境。

4.5 安全加密技術(shù)

想要全面提高防火墻技術(shù)的防護(hù)效果，當(dāng)計(jì)算機(jī)程序在面臨數(shù)據(jù)包侵害時(shí)，防火墻加密技術(shù)驗(yàn)證用戶登錄信息，保證網(wǎng)絡(luò)數(shù)據(jù)儲(chǔ)存、數(shù)據(jù)信息傳輸?shù)陌踩?。非法網(wǎng)絡(luò)入侵主要以IP登錄的形式存在，防火墻加密技術(shù)能夠在接收到IP登錄請(qǐng)求時(shí)，向?qū)Ψ剿饕矸蒡?yàn)證信息，驗(yàn)證成功后才能登錄網(wǎng)絡(luò)系統(tǒng)。將登錄后的信息內(nèi)容發(fā)送到網(wǎng)絡(luò)管理員，當(dāng)驗(yàn)證失敗時(shí)自動(dòng)拒絕登陸請(qǐng)求，第一時(shí)間發(fā)送安全預(yù)警，向網(wǎng)絡(luò)系統(tǒng)上級(jí)報(bào)告非法入侵行為，對(duì)用戶的網(wǎng)絡(luò)操作進(jìn)行跟蹤防護(hù)。防火墻加密技術(shù)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，有效避免數(shù)據(jù)入侵，提高網(wǎng)絡(luò)信息安全系數(shù)。登錄用戶身份驗(yàn)證作為防火墻的初級(jí)功能。在使用網(wǎng)頁與軟件的過程中，用戶須設(shè)置高等級(jí)的驗(yàn)證密碼，建立第一層安全保護(hù)屏障。

5 結(jié)語

防火墻技術(shù)通過對(duì)系統(tǒng)安全內(nèi)核的加固處理，做好服務(wù)器與子系統(tǒng)的安全保護(hù)工作，面對(duì)網(wǎng)絡(luò)入侵和惡意系統(tǒng)攻擊，分別采用分組過濾、代理服務(wù)、加密處理、系統(tǒng)鑒別等功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的集中化管理。文章從加密技術(shù)、修復(fù)技術(shù)、防護(hù)技術(shù)、配置技術(shù)和安全協(xié)議技術(shù)等多個(gè)方面，分析防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的實(shí)際應(yīng)用，全面提高網(wǎng)絡(luò)安全等級(jí)。