陳蘭芳

（亳州工業(yè)學(xué)校 安徽 亳州 236800）

0 引言

本文通過對數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、狀態(tài)檢測型防火墻、分布式防火墻、代理服務(wù)型防火墻的技術(shù)特點與作用進行詳細分析，從包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、入侵檢測技術(shù)、訪問策略中防火墻技術(shù)、計算機日志監(jiān)控等層面入手，系統(tǒng)論述計算機防火墻技術(shù)在網(wǎng)絡(luò)信息安全中的實踐應(yīng)用。 具體實踐應(yīng)用如下：

第一，通過分析各種網(wǎng)絡(luò)攻擊類型，如分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊、惡意軟件、結(jié)構(gòu)化查詢語言（structured query language，SQL）注入等，研究如何利用防火墻技術(shù)來防范這些攻擊，保護網(wǎng)絡(luò)的完整性和可用性。

第二，探討如何使用防火墻技術(shù)防止敏感數(shù)據(jù)的意外泄露，包括數(shù)據(jù)包過濾、內(nèi)容檢測等方式，防止機密信息被竊取。

第三，研究如何結(jié)合防火墻與入侵檢測系統(tǒng)（intrusion detection system，IDS）來監(jiān)測和響應(yīng)潛在的網(wǎng)絡(luò)入侵，及時發(fā)現(xiàn)異常行為并采取措施。

第四，分析惡意軟件的傳播途徑和行為特點，研究如何通過防火墻技術(shù)來阻止惡意軟件的入侵和傳播。

第五，研究如何使用防火墻來管理網(wǎng)絡(luò)流量，確保網(wǎng)絡(luò)資源的合理分配，提高網(wǎng)絡(luò)的性能和效率。

第六，研究如何使用防火墻技術(shù)來保護用戶的隱私數(shù)據(jù)，確保網(wǎng)絡(luò)安全合規(guī)性，防止個人信息被濫用或泄露，防止違規(guī)行為。

第七，研究如何在企業(yè)內(nèi)部構(gòu)建安全網(wǎng)絡(luò)架構(gòu)，以保護企業(yè)敏感數(shù)據(jù)和業(yè)務(wù)流程。 探討如何通過防火墻技術(shù)來提升用戶的網(wǎng)絡(luò)安全意識，減少因用戶行為而造成的安全風險。

1 防火墻技術(shù)的分類

1.1 數(shù)據(jù)包過濾型防火墻

數(shù)據(jù)包過濾型防火墻是一種網(wǎng)絡(luò)安全設(shè)備或軟件，用于監(jiān)控和控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，基于預(yù)先設(shè)定的規(guī)則，判斷數(shù)據(jù)包是否被允許通過防火墻，實現(xiàn)對網(wǎng)絡(luò)流量的過濾和管理。 依據(jù)數(shù)據(jù)包的源IP 地址、目標IP 地址、端口號、協(xié)議類型等信息，決定是否允許數(shù)據(jù)包通過。 如果數(shù)據(jù)包符合設(shè)定的規(guī)則，防火墻允許其通過；否則，防火墻會阻止其進入或離開網(wǎng)絡(luò)。 這種防火墻技術(shù)旨在保護網(wǎng)絡(luò)免受惡意攻擊、未經(jīng)授權(quán)訪問、不必要的流量干擾，雖然可以有效阻止特定類型的攻擊，但無法檢測復(fù)雜的攻擊和隱藏在正常流量中的惡意活動。 因此，數(shù)據(jù)包過濾型防火墻通常與其他防火墻技術(shù)和安全措施結(jié)合使用，實現(xiàn)更全面的網(wǎng)絡(luò)安全保護。

1.2 應(yīng)用級網(wǎng)關(guān)型防火墻

應(yīng)用級網(wǎng)關(guān)型防火墻是一種高級的網(wǎng)絡(luò)安全設(shè)備，用于監(jiān)控、過濾和控制網(wǎng)絡(luò)數(shù)據(jù)包，同時深入分析和檢查數(shù)據(jù)包中的應(yīng)用層協(xié)議內(nèi)容，能夠更加精細地處理應(yīng)用層協(xié)議，具有更高的安全性和可定制性。 不僅能夠根據(jù)源IP、目標IP、端口和協(xié)議允許或阻止數(shù)據(jù)包傳輸，而且還能解析數(shù)據(jù)包中的應(yīng)用層信息，如超文本傳輸協(xié)議（hyper text transfer protocol，HTTP）請求、簡單郵件傳輸協(xié)議（simple mail transfer protocol，SMTP）命令等，并且檢測和阻止與特定應(yīng)用或協(xié)議相關(guān)的威脅，如惡意軟件傳播、應(yīng)用層攻擊等，對數(shù)據(jù)流進行審計、日志記錄和認證，提供更全面的網(wǎng)絡(luò)安全保護。 然而，應(yīng)用級網(wǎng)關(guān)型防火墻的深度檢查和處理功能，會增加延遲和資源消耗。 盡管能夠提供更高級的保護，但也需要更多的配置和管理。

1.3 狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻是一種網(wǎng)絡(luò)安全設(shè)備，用于監(jiān)控和控制網(wǎng)絡(luò)流量，并根據(jù)連接的狀態(tài)信息判斷是否允許數(shù)據(jù)包通過防火墻，能夠跟蹤和維護網(wǎng)絡(luò)連接狀態(tài)，精確判定數(shù)據(jù)包是否合法，不僅考慮單個數(shù)據(jù)包的特征，還考慮數(shù)據(jù)包在通信過程中的上下文關(guān)系。 狀態(tài)檢測型防火墻維護的是一個連接狀態(tài)表，記錄正在進行的連接信息，如源IP 地址、目標IP 地址、源端口、目標端口等。 當數(shù)據(jù)包通過防火墻時，會與連接狀態(tài)表中已有連接信息進行比對。如果數(shù)據(jù)包的特征與已有連接相符，防火墻會認定是合法的數(shù)據(jù)包，并允許通過，有效地防止偽裝和攻擊手法，如欺騙性的IP 地址或端口掃描。 狀態(tài)檢測型防火墻不僅能夠檢測基于單個數(shù)據(jù)包的攻擊，還能夠檢測依賴于多個數(shù)據(jù)包的攻擊，識別連接的開始、結(jié)束和狀態(tài)變化，提供更全面的安全性保護。

1.4 分布式防火墻

分布式防火墻是一種網(wǎng)絡(luò)安全架構(gòu)，通過將防火墻功能分布到不同的網(wǎng)絡(luò)節(jié)點或設(shè)備中，實現(xiàn)更高級安全性能，使網(wǎng)絡(luò)中的每個節(jié)點都能執(zhí)行防火墻功能。 在分布式防火墻架構(gòu)中，每一個網(wǎng)絡(luò)節(jié)點都可以擔任防火墻的角色，對流量進行檢查、過濾和控制。 這種架構(gòu)可以分散防火墻的負載，提高網(wǎng)絡(luò)的吞吐量和響應(yīng)速度，充分適應(yīng)復(fù)雜的網(wǎng)絡(luò)拓撲和流量分布，提供更精細的安全策略［1］。

1.5 代理服務(wù)型防火墻

代理服務(wù)型防火墻是一種網(wǎng)絡(luò)安全設(shè)備，充當客戶端和目標服務(wù)器之間的中間人，負責處理和管理網(wǎng)絡(luò)通信，不僅是單純檢查數(shù)據(jù)包，還能深入分析和處理通信內(nèi)容和應(yīng)用層協(xié)議。 代理服務(wù)型防火墻在客戶端和目標服務(wù)器之間建立連接，接收來自客戶端的請求，然后轉(zhuǎn)發(fā)這些請求并傳輸?shù)侥繕朔?wù)器，將服務(wù)器反饋的響應(yīng)再傳遞給客戶端。 在此過程中，代理服務(wù)器可以執(zhí)行多種安全功能，如訪問控制、內(nèi)容過濾、數(shù)據(jù)加密等。 通過代理服務(wù)型防火墻，可以實現(xiàn)更精細的訪問控制和安全審計，根據(jù)用戶的身份、角色或請求的性質(zhì)，限制對特定資源的訪問權(quán)，提高安全性［2］。

2 計算機防火墻技術(shù)在網(wǎng)絡(luò)信息安全中的實踐應(yīng)用

2.1 包過濾防火墻

包過濾防火墻通過設(shè)定規(guī)則，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行檢查和過濾，控制訪問、阻止未經(jīng)授權(quán)的訪問、保護敏感信息和阻止惡意軟件傳播，有效維護其網(wǎng)絡(luò)安全，防止各種潛在威脅的影響。 以某企業(yè)內(nèi)部網(wǎng)絡(luò)的包過濾防火墻為例，該企業(yè)內(nèi)部網(wǎng)絡(luò)中，包過濾防火墻可以部署在網(wǎng)絡(luò)邊界處，監(jiān)控進出流量。

通過設(shè)定訪問規(guī)則，只允許經(jīng)過授權(quán)的數(shù)據(jù)包通過，同時阻止?jié)撛诘膼阂饣蛭唇?jīng)授權(quán)的訪問［3］。 例如，防火墻可以設(shè)定規(guī)則，只允許來自特定IP 地址或端口的合法數(shù)據(jù)包進入內(nèi)部網(wǎng)絡(luò)，阻止外部惡意攻擊者的訪問。

包過濾防火墻還可以防止內(nèi)部網(wǎng)絡(luò)中的敏感信息外泄，公司內(nèi)部數(shù)據(jù)庫存儲著客戶的個人數(shù)據(jù)，如姓名、地址和信用卡信息。 通過防火墻規(guī)則，只有特定部門的員工可以訪問這些數(shù)據(jù)，其他員工或外部人員無法獲取。 即使有人試圖通過網(wǎng)絡(luò)攻擊獲取敏感數(shù)據(jù)，防火墻也會阻止其訪問行為。 比如，當目的IP 為43.225.211.133 時，對源IP、傳輸控制協(xié)議（transmission control protocol，TCP）控制位無任何要求，此時允許任何數(shù)據(jù)通過；當目的IP 為任意來源時，源IP 為43.225.211.133，TCP 控制位為SYN ＝1，ACK＝0，此時禁止任何數(shù)據(jù)通過，從而保護網(wǎng)絡(luò)安全［4］。

2.2 應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻通過位于網(wǎng)絡(luò)邊界的設(shè)備，控制進出流量、實施訪問控制和監(jiān)控網(wǎng)絡(luò)活動，保護內(nèi)部網(wǎng)絡(luò)的安全。 通過規(guī)則設(shè)置和流量檢測，可以有效地防范各種網(wǎng)絡(luò)威脅，確保網(wǎng)絡(luò)和數(shù)據(jù)的安全性。

以某企業(yè)內(nèi)部網(wǎng)絡(luò)中的網(wǎng)關(guān)防火墻應(yīng)用為例，該企業(yè)通過網(wǎng)關(guān)防火墻控制其內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信。網(wǎng)關(guān)防火墻的規(guī)則設(shè)置可以限制進出流量，例如，只允許特定的端口和協(xié)議通過，降低網(wǎng)絡(luò)攻擊的風險。 網(wǎng)關(guān)防火墻可以實施訪問控制，限制哪些用戶或設(shè)備可以與外部網(wǎng)絡(luò)通信，防止未經(jīng)授權(quán)的訪問［5］。 當員工試圖通過遠程桌面協(xié)議（remote desktop protocol，RDP）訪問公司內(nèi)部的服務(wù)器時，通過網(wǎng)關(guān)防火墻的規(guī)則設(shè)置，只有特定IP 地址和授權(quán)的員工可以使用RDP 協(xié)議進行連接，其他非授權(quán)的IP 地址將被阻止［9］。 比如，配置華為網(wǎng)管防火墻時，配置接口IP 地址，并將接口加入安全區(qū)域；配置域間安全策略，允許互聯(lián)網(wǎng)密鑰交換（internet key exchange，IKE）協(xié)議協(xié)商報文、互聯(lián)網(wǎng)絡(luò)層安全協(xié)議（internet protocol security，IPsec）封裝前和解封裝后的原始報文能通過華為防火墻；配置華為防火墻到Internet 的缺省路由；配置IPsec 策略，包括定義需要保護的數(shù)據(jù)流、配置IPsec 安全提議、創(chuàng)建IKE 安全提議、配置IKE 對等體；在接口上應(yīng)用IPsec策略［6］。

2.3 入侵檢測技術(shù)

入侵檢測技術(shù)通過監(jiān)控網(wǎng)絡(luò)流量和系統(tǒng)活動，識別異常模式和行為，及早發(fā)現(xiàn)和應(yīng)對潛在威脅。 通過入侵檢測系統(tǒng)和入侵防御系統(tǒng)的結(jié)合，可以有效提高對惡意攻擊和異常行為的檢測能力與響應(yīng)能力，維護網(wǎng)絡(luò)和數(shù)據(jù)的安全。 以企業(yè)內(nèi)部網(wǎng)絡(luò)中入侵檢測技術(shù)的應(yīng)用為例，企業(yè)建立的內(nèi)部服務(wù)器和數(shù)據(jù)庫存儲了大量客戶數(shù)據(jù)和機密信息，為了保護這些重要數(shù)據(jù)免受攻擊，企業(yè)在內(nèi)部網(wǎng)絡(luò)中部署了IDS［7］。 IDS 還可以結(jié)合入侵防御系統(tǒng)（intrusion prevention system，IPS）實現(xiàn)實時響應(yīng)，當入侵檢測系統(tǒng)檢測到異常行為時，IPS 可以采取有效的應(yīng)對措施，例如封鎖IP 地址、終止連接、阻止惡意數(shù)據(jù)包，防止安全風險進一步擴散。 IDS 分為網(wǎng)絡(luò)入侵檢測系統(tǒng)（network intrusion detection system，NIDS）和主機入侵檢測系統(tǒng)（host-based intrusion detection system，HIDS），在不同的層次上監(jiān)視和檢測異常活動。 NIDS 通過監(jiān)控網(wǎng)絡(luò)流量，檢測異常的數(shù)據(jù)傳輸和連接行為。 例如，如果有大量的數(shù)據(jù)包發(fā)送到內(nèi)部網(wǎng)絡(luò)，NIDS 可以識別出這種異常流量，并觸發(fā)警報，通知管理員可能存在的拒絕服務(wù)（denial of service，DoS）攻擊。 而HIDS 則監(jiān)控服務(wù)器和主機上的活動，例如，如果某個服務(wù)器上的系統(tǒng)文件被篡改，HIDS 可以檢測這種變化，并警示管理員可能存在的入侵行為［8］。

2.4 訪問策略中防火墻技術(shù)

訪問策略中的防火墻技術(shù)通過制定和執(zhí)行訪問規(guī)則，控制用戶、設(shè)備、應(yīng)用程序?qū)Y源的訪問權(quán)限，實現(xiàn)安全的跨地點訪問，確保只有經(jīng)過授權(quán)的用戶可以訪問內(nèi)部資源，提高網(wǎng)絡(luò)的安全性、保護敏感數(shù)據(jù)的機密性。 以企業(yè)內(nèi)部網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用為例，該公司擁有多個辦公地點，員工需要在不同地點之間訪問公司內(nèi)部資源。 為了實現(xiàn)安全的跨地點訪問，公司在內(nèi)部網(wǎng)絡(luò)中實施了訪問策略，利用防火墻技術(shù)進行控制［9］。 公司通過虛擬專用網(wǎng)絡(luò)（virtual private network，VPN）建立加密通道，員工在遠程訪問時，需要通過VPN 連接到公司內(nèi)部網(wǎng)絡(luò)。 防火墻設(shè)定了訪問規(guī)則，只允許經(jīng)過授權(quán)的VPN 連接訪問公司內(nèi)部網(wǎng)絡(luò)，其他未經(jīng)授權(quán)的連接將被阻止。 即使外部攻擊者試圖通過未經(jīng)授權(quán)的手段訪問內(nèi)部資源，防火墻也會攔截并阻止他們的訪問［10］。

2.5 計算機日志監(jiān)控

計算機日志監(jiān)控通過記錄和分析系統(tǒng)和網(wǎng)絡(luò)活動的日志信息，發(fā)現(xiàn)異常行為和潛在的安全事件。 借助實時監(jiān)控和事件調(diào)查，企業(yè)可以提高對網(wǎng)絡(luò)威脅的感知能力，及早發(fā)現(xiàn)和應(yīng)對潛在的風險，幫助企業(yè)維護網(wǎng)絡(luò)的安全性和穩(wěn)定性。

以企業(yè)內(nèi)部網(wǎng)絡(luò)中計算機日志監(jiān)控的應(yīng)用為例，該企業(yè)擁有多個分支機構(gòu)和內(nèi)部系統(tǒng)，為了確保這些系統(tǒng)的安全性，企業(yè)在內(nèi)部網(wǎng)絡(luò)中建立了計算機日志監(jiān)控系統(tǒng)，監(jiān)控服務(wù)器、工作站和網(wǎng)絡(luò)設(shè)備的日志信息，識別異?；顒樱?1］。 當企業(yè)使用計算機日志監(jiān)控系統(tǒng)實時監(jiān)測網(wǎng)絡(luò)和系統(tǒng)活動時，如果有多次失敗的登錄嘗試，日志監(jiān)控系統(tǒng)會發(fā)現(xiàn)異常情況，并觸發(fā)警報，有助于防范惡意攻擊，如暴力破解密碼。

計算機日志監(jiān)控還可以幫助企業(yè)進行事件響應(yīng)和調(diào)查，當員工發(fā)現(xiàn)自己的電子郵件賬戶被非法訪問時，企業(yè)可以通過分析日志信息，追蹤此次入侵的來源和影響范圍，并采取適當?shù)拇胧?，防止類似事件再次發(fā)生。 如果員工賬戶在短時間內(nèi)從不同地點登錄，日志監(jiān)控系統(tǒng)也會識別這種異常行為，查看賬戶是否被盜用。

3 結(jié)語

綜上所述，防火墻通過過濾網(wǎng)絡(luò)流量、實施訪問控制政策和檢測異常行為來阻止?jié)撛诘耐{。 不同類型的防火墻，如網(wǎng)絡(luò)層、應(yīng)用層和代理層防火墻，在不同層次上提供保護。 未來，應(yīng)通過整合多種安全技術(shù)手段，建立更強大和靈活的網(wǎng)絡(luò)安全體系，更好地應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。