摘要：在軟硬件處理能力不斷提升的背景下，防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的發(fā)揮了更加出色的作用。首先介紹了常見的幾種防火墻，如包過濾防火墻、代理防火墻和下一代防火墻等。其次從監(jiān)控網(wǎng)絡(luò)日志、加強安全配置、阻擋病毒入侵、設(shè)置訪問規(guī)則等方面，闡述了防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用策略，以期在保障內(nèi)部網(wǎng)絡(luò)安全和維護用戶數(shù)據(jù)隱私方面發(fā)揮作用。

關(guān)鍵詞：計算機網(wǎng)絡(luò)安全包過濾防火墻代理防火墻網(wǎng)絡(luò)日志

中圖分類號：TP393.0

TheApplicationofFirewallTechnologyinComputerNetworkSecurity

Sunjunde

ChangjiVocationalandTechnicalCollegeXinjiangChangji831100China

Abstract：Againstthebackdropofcontinuouslyimprovingsoftwareandhardwareprocessingcapabilities，firewalltechnologyhasplayedamoreoutstandingroleincomputernetworksecurity.Firstly，severalcommonfirewallswereintroduced，suchaspacketfilteringfirewalls，proxyfirewalls，andnext-generationfirewalls.Subsequently，theapplicationstrategiesoffirewalltechnologyincomputernetworksecuritywereelaboratedfromtheaspectsofmonitoringnetworklogs，strengtheningsecurityconfiguration，blockingvirusintrusion，andsettingaccessrules，inordertoplayaroleinensuringinternalnetworksecurityandmaintaininguserdataprivacy.

Keywords：Computernetworksecurity;Packetfilteringfirewall;Proxyfirewall;Networklogs

國務(wù)院于2023年發(fā)布的《數(shù)字中國建設(shè)整體布局規(guī)劃》中明確指出，切實維護網(wǎng)絡(luò)安全，增強數(shù)據(jù)安全保障能力，健全數(shù)據(jù)網(wǎng)絡(luò)監(jiān)測預(yù)警和應(yīng)急處置工作體系。在這一背景下，切實保障計算機網(wǎng)絡(luò)安全，為廣大網(wǎng)絡(luò)用戶營造安全網(wǎng)絡(luò)環(huán)境成為一項緊迫而又重要的任務(wù)?，F(xiàn)階段常用的計算機網(wǎng)絡(luò)安全技術(shù)有若干種，如區(qū)塊鏈加密、數(shù)字簽名認證、設(shè)置訪問權(quán)限以及防火墻等。其中，防火墻是一種最常用并且技術(shù)層面上最容易實現(xiàn)的計算機網(wǎng)絡(luò)安全技術(shù)。許多新的防火墻產(chǎn)品還融合了分布式計算、人工智能等前沿技術(shù)，不僅提高了安全防范能力，而且還具有自學(xué)習(xí)功能，可以準(zhǔn)確識別來自外部網(wǎng)絡(luò)的最新型攻擊，在提升計算機網(wǎng)絡(luò)安全水平方面發(fā)揮了重要價值。

1計算機網(wǎng)絡(luò)安全中常用的防火墻類型

1.1包過濾防火墻

包過濾防火墻按照既定過濾規(guī)則對所有經(jīng)過防火墻的數(shù)據(jù)包的包頭進行判定。如果與規(guī)則匹配，則允許該數(shù)據(jù)包繼續(xù)傳送、轉(zhuǎn)發(fā)，否則中斷傳送或粉碎數(shù)據(jù)。數(shù)據(jù)包的包頭中包含了源IP、目的IP、協(xié)議類型（如FTP協(xié)議、HTTP協(xié)議）、端口等重要信息，在提取包頭信息并使用過濾路由器進行數(shù)據(jù)處理后，即可完成安全判定。包過濾防火墻的功能實現(xiàn)步驟如下：第一，設(shè)定包過濾規(guī)則，并將其存儲到包過濾設(shè)備的端口中；第二，當(dāng)新的數(shù)據(jù)包到達端口時，提取數(shù)據(jù)包的包頭并展開語法分析，進行包過濾規(guī)則判定；第三，如果任意一條規(guī)則阻止數(shù)據(jù)包的傳輸或接收，將數(shù)據(jù)包判定為惡意，不允許繼續(xù)傳送；如果任意一條規(guī)則允許數(shù)據(jù)包的傳輸或接收，將數(shù)據(jù)包判定為善意，允許繼續(xù)傳送；如果數(shù)據(jù)包不滿足任何一條規(guī)則，將其封存[1]。包過濾防火墻適用于規(guī)模較小、只需要滿足基本安全功能的小型計算機網(wǎng)絡(luò)。

1.2電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)是一種比包過濾防火墻更高級的計算機網(wǎng)絡(luò)安全技術(shù)，通常將電路級網(wǎng)關(guān)布置在受信任的客戶（服務(wù)器）與不受信任的主機之間，監(jiān)控兩者之間的TCP信息，根據(jù)信息內(nèi)容判斷當(dāng)前會話是否合法或傳送數(shù)據(jù)是否安全。電路級網(wǎng)關(guān)除了提供安全監(jiān)控功能外，還可以支持IP地址安全轉(zhuǎn)移，將企業(yè)內(nèi)部需要重點保護或者設(shè)計安全機密的IP地址映射到一個受防火墻信任的安全IP地址中。這樣一來，當(dāng)計算機網(wǎng)絡(luò)遭受攻擊時能夠具備更高的容錯能力，在保護內(nèi)網(wǎng)數(shù)據(jù)不受破壞的前提下使整個計算機網(wǎng)絡(luò)保持正常運行。從應(yīng)用效果來看，電路級網(wǎng)關(guān)的優(yōu)勢體現(xiàn)在兩方面：一是在OSI會話層上運行，幾乎不占用計算機資源，在保證用戶信息安全的同時又不會影響用戶的網(wǎng)絡(luò)使用體驗；二是提供詳細的日志記錄，網(wǎng)絡(luò)管理員可以通過查看日志的方式進行數(shù)字取證，方便對攻擊行為進行追溯追責(zé)。

1.3代理防火墻

代理防火墻應(yīng)用了Proxy代理服務(wù)器技術(shù)，從外部網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包在經(jīng)過代理技術(shù)處理后，使防火墻能夠?qū)崟r監(jiān)視數(shù)據(jù)包的流向，在防火墻認為該數(shù)據(jù)包可能對內(nèi)網(wǎng)安全或用戶隱私數(shù)據(jù)構(gòu)成威脅時，可以直接禁止該數(shù)據(jù)包的一些活動，避免造成實質(zhì)性的破壞，從而顯著提升了計算機網(wǎng)絡(luò)安全。根據(jù)代理技術(shù)參與過程的不同，代理防火墻又可分為應(yīng)用層代理和電路層代理兩種。以應(yīng)用層代理防火墻為例，它可以在用戶層和應(yīng)用協(xié)議層提供訪問控制。當(dāng)客戶端發(fā)出傳送數(shù)據(jù)包的請求后，代理防火墻首先核實該請求，確認請求后做出接收應(yīng)答并進行處理，在確認安全后將處理結(jié)果反饋至客戶端。常用的應(yīng)用層代理有HTTP代理、SMTP代理等[2]。

1.4下一代防火墻

為了應(yīng)對更大流量、更高風(fēng)險和更多業(yè)務(wù)的復(fù)雜網(wǎng)絡(luò)環(huán)境，下一代防火墻（Next-GenerationFirewall，NGFW）應(yīng)運而生。它不僅能多維度、立體化地識別網(wǎng)絡(luò)風(fēng)險，而且還能輔助用戶制定相應(yīng)的安全策略，從而實現(xiàn)了對計算機網(wǎng)絡(luò)的個性化維護，全方位保障了主機、網(wǎng)絡(luò)以及用戶數(shù)據(jù)的安全。面向計算機網(wǎng)絡(luò)安全的下一代防火墻，提供了一體化的引擎數(shù)據(jù)包處理流程，實現(xiàn)方式如下。

第一，對數(shù)據(jù)包進行解析處理。對于從外網(wǎng)進入內(nèi)網(wǎng)的所有數(shù)據(jù)包，防火墻會根據(jù)既定的安全策略進行數(shù)據(jù)包的解析，并根據(jù)解析結(jié)果決定是丟棄還是允許傳送。第二，對于允許傳送的數(shù)據(jù)包，通過會話查找判斷是否存在相關(guān)會話，如果有直接匹配；如果沒有則需要創(chuàng)建新的會話。在創(chuàng)建會話信息后進行應(yīng)用識別和內(nèi)容檢測，包括協(xié)議解碼、內(nèi)容解析、模式匹配等一系列操作。第三，數(shù)據(jù)包出站。在通過內(nèi)容檢測后，允許數(shù)據(jù)包進入內(nèi)網(wǎng)。根據(jù)數(shù)據(jù)包的安全等級，如果有需要會對數(shù)據(jù)進行VNP加密后再進行轉(zhuǎn)發(fā)。

2防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用

防火墻在計算機內(nèi)網(wǎng)與外網(wǎng)之間建立一道相對隔絕的屏障，所有從外網(wǎng)進入內(nèi)網(wǎng)的流量，都必須經(jīng)過防火墻的安全檢測，凡是非授權(quán)的訪問或帶病毒的文件都會被阻擋在外，從而保證了內(nèi)網(wǎng)安全?；诜阑饓夹g(shù)實現(xiàn)計算機網(wǎng)絡(luò)安全的可行性策略有監(jiān)控網(wǎng)絡(luò)日志、加強安全配置、阻擋病毒入侵等。

2.1監(jiān)控網(wǎng)絡(luò)日志

防火墻能夠?qū)λ羞M出網(wǎng)絡(luò)的流量進行動態(tài)監(jiān)控，保證部署了防火墻的計算機網(wǎng)絡(luò)不會受到惡意流量的攻擊與破壞。在啟用防火墻后，一方面，利用預(yù)定義的規(guī)則監(jiān)控進入和傳出的流量；另一方面，又會以“日志”的形式記錄與流量相關(guān)的信息，如目標(biāo)IP地址、端口號、協(xié)議等。這些被記錄下來的信息即為網(wǎng)絡(luò)日志。防火墻在收集日志數(shù)據(jù)的同時，還能完成日志的篩選、分析、解讀，并根據(jù)解讀結(jié)果采取相應(yīng)的措施[3]?？紤]到計算機網(wǎng)絡(luò)運行中會產(chǎn)生海量的日志數(shù)據(jù)，防火墻需要通過篩選保留關(guān)鍵信息（如異常流量、異常連接等）。在此基礎(chǔ)上對分析，如訪問內(nèi)部網(wǎng)絡(luò)的IP地址、哪些端口被頻繁訪問等。防火墻根據(jù)分析結(jié)果對計算機網(wǎng)絡(luò)當(dāng)前的安裝狀態(tài)做出評估，包括有無安全漏洞、是否有潛在威脅等。最后根據(jù)分析結(jié)果采取更新防火墻規(guī)則、封鎖可疑IP地址等必要的行動。

防火墻日志除了監(jiān)控網(wǎng)絡(luò)流量、識別惡意活動外，還支持驗證和添加防火墻規(guī)則，以及建立威脅源黑名單功能。網(wǎng)絡(luò)管理員可以通過自定義的方式編輯防火墻規(guī)則，將新規(guī)則添加到防火墻系統(tǒng)后，防火墻能夠允許或拒絕來自特定IP地址的流量，從而實現(xiàn)了精準(zhǔn)定向的防控。同樣地，網(wǎng)絡(luò)管理員查詢防火墻日志，從中獲取已知惡意行為者的信息，然后將這些威脅源或惡意IP添加到黑名單中。在啟動防火墻后，當(dāng)防火墻再次檢測到與黑名單中同樣的IP地址后可以立即阻止，最大程度上保障計算機網(wǎng)絡(luò)的安全。

2.2加強安全配置

防火墻的絕大多數(shù)安全策略都是基于安全區(qū)域（SecurityZone）實施的，這里的安全區(qū)域可以看作是防火墻全部接口所連網(wǎng)絡(luò)的集合。除了防火墻默認的安全區(qū)域外，網(wǎng)絡(luò)管理員也可以根據(jù)實際需求創(chuàng)建新的安全區(qū)域。在計算機網(wǎng)絡(luò)安全中，基于防火墻的安全配置包括以下要點。

2.2.1劃分安全區(qū)域

通常將防火墻的安全區(qū)域劃分為4類，按照安全優(yōu)先級從高到低依次是本地區(qū)域（Local）、授信區(qū)域（Trust）、非軍事化區(qū)域（Dmz）和非授信區(qū)域（Untrust）。對于相同安全區(qū)域之間的流量，防火墻默認放行；對于跨區(qū)域的流量，防火墻會利用預(yù)定義的規(guī)則進行安全驗證，驗證通過后放行[4]。這樣就能避免病毒、木馬等在計算機網(wǎng)絡(luò)中大范圍地擴散。

2.2.2配置安全策略

基于防火墻的安全策略由3個部分組成，即匹配條件、動作、安全配置文件。匹配條件包括源IP、目標(biāo)IP以及端口號等，配合動作（允許或禁止）可以允許特定IP訪問外網(wǎng)或者禁止特定流量。防火墻默認的基礎(chǔ)網(wǎng)絡(luò)配置有端口屬性、工作模式等，保證防火墻可以順利接入計算機網(wǎng)絡(luò)；管理員可根據(jù)需要啟用高可用性配置（如雙機熱備），進一步提升防火墻的容錯能力。

2.3阻擋病毒入侵

防病毒是防火墻最基本的功能，面向計算機網(wǎng)絡(luò)安全的防火墻防病毒技術(shù)可以做到病毒的預(yù)防、檢測和清除。病毒本質(zhì)上是一種惡意代碼，利用計算機網(wǎng)絡(luò)安全漏洞或者是隱藏在正常文件中進入內(nèi)部網(wǎng)絡(luò)，然后感染應(yīng)用程序并通過文件共享協(xié)議實現(xiàn)擴散，達到接管主機權(quán)限、竊取用戶數(shù)據(jù)等目的，對主機與網(wǎng)絡(luò)的安全構(gòu)成嚴重威脅?；诜阑饓Φ姆床《驹砣缦拢寒?dāng)攜帶病毒的文件通過網(wǎng)絡(luò)流量經(jīng)過防火墻時，防火墻分3步進行病毒檢測。第一步是應(yīng)用協(xié)議識別，判斷該文件“是否支持協(xié)議”。如果不支持應(yīng)用協(xié)議不做病毒檢測，如果支持應(yīng)用協(xié)議則繼續(xù)第二步判斷“是否在白名單內(nèi)”。如果在白名單內(nèi)不做病毒檢測，如果不在白名單內(nèi)則繼續(xù)第三步病毒檢測，利用反病毒特征庫與文件進行特征匹配。如果匹配不成功，說明文件安全；如果匹配成功可以檢測出文件攜帶的病毒，進行阻斷、告警、刪除文件等病毒處理，防止攜帶病毒的文件進入內(nèi)部網(wǎng)絡(luò)中，從而保護了主機與網(wǎng)絡(luò)的安全[5]。在防火墻反病毒過程中，基于特征庫的病毒檢測是關(guān)鍵環(huán)節(jié)，可選擇基于FTP協(xié)議的檢測、基于HTTP協(xié)議的檢測。

2.4設(shè)置訪問規(guī)則

面向計算機網(wǎng)絡(luò)安全的防火墻技術(shù)，能夠有效阻擋未經(jīng)授權(quán)的訪問或者惡意攻擊。但是防火墻設(shè)置不當(dāng)，可能會導(dǎo)致用戶無法進行正常訪問，反而會影響用戶正常使用計算機網(wǎng)絡(luò)。為了避免此類情況，在應(yīng)用防火墻技術(shù)時必須要科學(xué)設(shè)置網(wǎng)絡(luò)訪問規(guī)則。正常情況下，防火墻默認允許執(zhí)行FTP或HTTP這類常用協(xié)議的流量通過。對于執(zhí)行其他非常規(guī)協(xié)議，或者是訪問其他端口的流量，必須要設(shè)置相應(yīng)的訪問規(guī)則。例如：在進行遠程訪問時會用到SSH協(xié)議（安全外殼協(xié)議），此時必須要在防火墻中配置基于SSH端口的訪問規(guī)則，才能確保遠程訪問被允許。需要注意的是，網(wǎng)絡(luò)管理員在設(shè)置訪問規(guī)則時必須考慮實際應(yīng)用場景。假設(shè)內(nèi)網(wǎng)用戶想要訪問外部的Web服務(wù)器，這種情況下必須配置執(zhí)行HTTP協(xié)議的流量通過防火墻；假設(shè)內(nèi)網(wǎng)用戶想要訪問外部的郵件服務(wù)器，這種情況下則需要配置執(zhí)行in9pDyZCeiYrrBBtZttiJAqBdAK3qcJwOpGcGW7QR3s=SMTP或者POP3協(xié)議的流量通過防火墻[6]。基于“流量+訪問控制”的防火墻技術(shù)，可以做到不依賴防火墻日志、監(jiān)測結(jié)果更加準(zhǔn)確，成為計算機網(wǎng)絡(luò)安全防護的新模式。

3結(jié)語

防火墻將本地局域網(wǎng)與外部互聯(lián)網(wǎng)隔絕開來，通過訪問控制保證內(nèi)部網(wǎng)絡(luò)安全和用戶數(shù)據(jù)隱私。將防火墻技術(shù)應(yīng)用到計算機網(wǎng)絡(luò)安全中，在不影響用戶正常使用計算機網(wǎng)絡(luò)的前提下，準(zhǔn)確檢測出非法訪問和惡意攻擊，并采取阻斷、清除等措施來維護計算機網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)安全技術(shù)的成熟發(fā)展，現(xiàn)階段常用的防火墻有若干類型，除了常規(guī)的包過濾防火墻、狀態(tài)檢測防火墻外，還有融合了人工智能技術(shù)的智能防火墻以及分布式防火墻等。在計算機網(wǎng)絡(luò)安全配置中，應(yīng)綜合考慮網(wǎng)絡(luò)結(jié)構(gòu)、安全要求、應(yīng)用場景等因素合理選擇防火墻類型，在此基礎(chǔ)上發(fā)揮防火墻在監(jiān)控網(wǎng)絡(luò)日志、阻擋病毒入侵、加強訪問控制等方面的應(yīng)用優(yōu)勢，切實保障計算機網(wǎng)絡(luò)安全。

參考文獻

[1] 李之玲，朱德新.基于防火墻技術(shù)的網(wǎng)絡(luò)認證協(xié)議密鑰交換算法[J].計算機仿真，2022（6）：39-40.

[2] 朱晨迪.防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用：以上海計算機軟件技術(shù)開發(fā)中心為例[J].華東科技，2023（7）：48-50.

[3] 李健，江昊，羅威.基于可編程數(shù)據(jù)平面的狀態(tài)防火墻技術(shù)[J].武漢大學(xué)學(xué)報：工學(xué)版，2022（14）：55-57.

[4] 吳紅.新環(huán)境下的計算機網(wǎng)絡(luò)信息安全及其防火墻技術(shù)應(yīng)用分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（7）：14-16.

[5] 倪震.電力工控網(wǎng)絡(luò)安全風(fēng)險分析與預(yù)測關(guān)鍵技術(shù)研究[D].南京：南京理工大學(xué)，2019.

[6] 陳博.基于下一代防火墻技術(shù)在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（8）：100-102.