計(jì)算機(jī)網(wǎng)絡(luò)安全隱患及防火墻技術(shù)應(yīng)用對(duì)策芻議

戴小將（中華人民共和國(guó)莆田邊防檢查站，福建 莆田 351100）

計(jì)算機(jī)網(wǎng)絡(luò)安全隱患及防火墻技術(shù)應(yīng)用對(duì)策芻議

戴小將
（中華人民共和國(guó)莆田邊防檢查站，福建 莆田 351100）

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是存在一定安全隱患的，一旦計(jì)算機(jī)技術(shù)的安全隱患被人利用盜取用戶(hù)的機(jī)密信息，將會(huì)給用戶(hù)造成非常嚴(yán)重的經(jīng)濟(jì)損失。本文對(duì)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)存在的主要安全隱患進(jìn)行了分析，并討論了防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；防火墻

在計(jì)算機(jī)技術(shù)不斷取得新的進(jìn)步背景下，保證網(wǎng)絡(luò)安全也越來(lái)越被人們所重視，每一次計(jì)算機(jī)技術(shù)與系統(tǒng)的更新都會(huì)衍生出大量新的網(wǎng)絡(luò)安全隱患，一旦這些網(wǎng)絡(luò)安全隱患被人主動(dòng)利用攻擊用戶(hù)、盜取用戶(hù)的私密信息，都會(huì)給用戶(hù)造成一系列難以挽回的損失。防火墻是當(dāng)前應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患及網(wǎng)絡(luò)攻擊的主要防范技術(shù)之一，應(yīng)用防火墻能夠?qū)Ξ?dāng)前計(jì)算網(wǎng)絡(luò)安全存在的多種隱患類(lèi)型采取相應(yīng)的防范措施。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的內(nèi)容及分類(lèi)

計(jì)算機(jī)網(wǎng)絡(luò)安全的含義是指利用相應(yīng)的網(wǎng)絡(luò)管理控制措施和技術(shù)措施，對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境中用戶(hù)數(shù)據(jù)的保密性、完整性及可使用性提供保護(hù)的一系列活動(dòng)。具體來(lái)講，計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括管理控制網(wǎng)絡(luò)的軟件、機(jī)內(nèi)儲(chǔ)存的資源信息、方便快捷的網(wǎng)絡(luò)瀏覽服務(wù)、計(jì)算機(jī)自身的硬件等。計(jì)算機(jī)網(wǎng)絡(luò)安全可以分為兩個(gè)方面，分別是物理安全和邏輯安全，物理安全指的是計(jì)算機(jī)系統(tǒng)設(shè)備及其相關(guān)設(shè)備的物理安全性，防止受到破損和丟失等；邏輯安全則指的是網(wǎng)絡(luò)范圍內(nèi)儲(chǔ)存信息的安全性、完整性、保密性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)安全隱患，就是指對(duì)以上網(wǎng)絡(luò)安全能夠造成一定安全風(fēng)險(xiǎn)的隱患。具體來(lái)講，能夠給計(jì)算機(jī)網(wǎng)絡(luò)造成安全隱患的因素主要包括以下兩個(gè)方面：

1.1 人為因素造成的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患

人為因素造成的計(jì)算機(jī)安全隱患是指由于人的自覺(jué)或者不自覺(jué)的行為造成的計(jì)算機(jī)安全問(wèn)題的發(fā)生，包括使用者在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)不小心對(duì)網(wǎng)絡(luò)中存儲(chǔ)的信息格式化或者刪除、對(duì)計(jì)算機(jī)的硬件線(xiàn)路不小心纏繞過(guò)深引起硬件損壞或線(xiàn)路燒毀等，這些都是不自覺(jué)的行為造成的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患類(lèi)型；自覺(jué)的行為造成的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患大多是由于違法分子依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的漏洞或非法進(jìn)入計(jì)算機(jī)機(jī)房盜取計(jì)算機(jī)網(wǎng)絡(luò)中存儲(chǔ)的信息資源或?qū)τ?jì)算機(jī)系統(tǒng)的安全防護(hù)機(jī)制進(jìn)行修改盜取控制，破壞計(jì)算機(jī)的硬件組成部分，編制計(jì)算機(jī)病毒散播出去，導(dǎo)致用戶(hù)無(wú)法完整使用計(jì)算機(jī)網(wǎng)絡(luò)功能或私密信息被竊取等。這種非法行為是造成計(jì)算機(jī)安全威脅的主要原因，在計(jì)算機(jī)網(wǎng)絡(luò)安全隱患因素中占據(jù)了相當(dāng)一大部分的比例。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用就是對(duì)人為因素造成的安全問(wèn)題的解決措施。

1.2 自然原因造成的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患

自然原因造成的計(jì)算機(jī)安全隱患主要是指由于自然天氣因素及計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的自然老化等造成的計(jì)算機(jī)網(wǎng)絡(luò)安全存在一定的隱患。以雷雨天氣下發(fā)生的對(duì)計(jì)算機(jī)硬件的雷擊現(xiàn)象為例，雷擊造成計(jì)算機(jī)硬件發(fā)生破壞并且信息資源發(fā)生丟失的現(xiàn)象就是由于自然原因造成的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。除此之外，一般自然原因造成的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患都是間接性質(zhì)的，例如計(jì)算機(jī)硬盤(pán)的老化不可使用、溫度過(guò)高造成的計(jì)算機(jī)系統(tǒng)無(wú)法正常運(yùn)轉(zhuǎn)等。

2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用

防火墻技術(shù)，也可以稱(chēng)為防護(hù)墻技術(shù)，是一種位于用戶(hù)自身計(jì)算機(jī)內(nèi)部與外圍網(wǎng)絡(luò)連接之間的網(wǎng)絡(luò)安全系統(tǒng)，由計(jì)算機(jī)系統(tǒng)內(nèi)部軟件及相應(yīng)的硬件設(shè)備綜合組成，能夠在用戶(hù)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（私人網(wǎng)絡(luò)與公共網(wǎng)絡(luò)）之間構(gòu)建一種類(lèi)似于保護(hù)屏障的計(jì)算機(jī)安全保護(hù)系統(tǒng)，構(gòu)建目的是為了保護(hù)用戶(hù)的私人網(wǎng)絡(luò)免受外部非法用戶(hù)的入侵。防火墻系統(tǒng)主要組成部分包括服務(wù)訪(fǎng)問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)四個(gè)部分，在計(jì)算機(jī)網(wǎng)絡(luò)中安裝了防火墻系統(tǒng)之后，所有經(jīng)過(guò)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的通信和數(shù)據(jù)包都要經(jīng)過(guò)防火墻的檢查，對(duì)防范外來(lái)非法用戶(hù)夾雜在數(shù)據(jù)通信中的計(jì)算機(jī)病毒提供有力的技術(shù)保障。簡(jiǎn)單來(lái)講，就是無(wú)論是外來(lái)信息主動(dòng)連接用戶(hù)的私人網(wǎng)絡(luò)還是用戶(hù)的私人網(wǎng)絡(luò)主動(dòng)訪(fǎng)問(wèn)外界信息，這期間兩者信息的交換都必須通過(guò)防火墻信息通訊和數(shù)據(jù)包的鑒別，如果防火墻發(fā)現(xiàn)外界信息有任何不符合防火墻技術(shù)要求的地方，那么兩者之間的連接都是無(wú)法建立的，即外界信息無(wú)法連接到用戶(hù)的私人計(jì)算機(jī)，用戶(hù)的私人計(jì)算機(jī)也無(wú)法連接到外界信息。

2.1 防火墻技術(shù)的種類(lèi)

防火墻技術(shù)的種類(lèi)根據(jù)不同的劃分方法也有不同的類(lèi)型。根據(jù)建立結(jié)構(gòu)來(lái)區(qū)別，防火墻技術(shù)可以分為代理主機(jī)結(jié)構(gòu)和路由器加上過(guò)濾器綜合組成的結(jié)構(gòu)兩種類(lèi)型。根據(jù)系統(tǒng)建立時(shí)使用技術(shù)的原理不同，防火墻系統(tǒng)又可以分為特殊設(shè)計(jì)的硬件防火墻系統(tǒng)、以數(shù)據(jù)包過(guò)濾為主要內(nèi)容的防火墻系統(tǒng)、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)四種。用戶(hù)可以對(duì)這四種類(lèi)型綜合選擇，運(yùn)用多種技術(shù)類(lèi)型綜合構(gòu)建防火墻系統(tǒng)，保證自己計(jì)算機(jī)網(wǎng)絡(luò)的信息安全。網(wǎng)絡(luò)層防火墻系統(tǒng)主要是報(bào)文過(guò)濾技術(shù)的運(yùn)用和構(gòu)建，主要原理是通過(guò)網(wǎng)絡(luò)協(xié)議上的IP地址設(shè)定，只允許擁有安全I(xiàn)P地址和網(wǎng)絡(luò)協(xié)議的外來(lái)用戶(hù)連接或信息通過(guò)，其余的網(wǎng)絡(luò)連接一概拒絕，被統(tǒng)一關(guān)在防火墻門(mén)外。值得注意的是，這種防火墻技術(shù)無(wú)法做到對(duì)外來(lái)用戶(hù)網(wǎng)絡(luò)協(xié)議及IP地址的有效識(shí)別，如果非法入侵者盜取別的用戶(hù)的健康地址和網(wǎng)絡(luò)協(xié)議，那么也是可以進(jìn)入到用戶(hù)私人計(jì)算機(jī)網(wǎng)絡(luò)中的，同時(shí)這種技術(shù)無(wú)法對(duì)外來(lái)病毒進(jìn)行有效的抵擋；應(yīng)用層防火墻是借由計(jì)算機(jī)中的TCP/IP堆棧應(yīng)用層構(gòu)建而成，能夠?qū)νㄟ^(guò)某些應(yīng)用程序的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)封鎖，從而封鎖該應(yīng)用程序所有的數(shù)據(jù)流進(jìn)入到用戶(hù)私人計(jì)算機(jī)網(wǎng)絡(luò)中。這種防火墻技術(shù)能夠有效防范電腦蠕蟲(chóng)以及木馬程序的快速蔓延并對(duì)其做到有效識(shí)別，但是由于外來(lái)程序的復(fù)雜性及繁多的特點(diǎn)，防火墻需要防備的軟件太多，工作量十分巨大；數(shù)據(jù)包防火墻技術(shù)則是以數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)為基礎(chǔ)的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)用戶(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)的主動(dòng)防御，對(duì)外來(lái)用戶(hù)的訪(fǎng)問(wèn)、危險(xiǎn)操作及可疑行為進(jìn)行分辨和控制。

2.2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用和實(shí)施可以從以下方面具體分析，首先，防火墻技術(shù)能夠?qū)τ脩?hù)計(jì)算機(jī)的路由器進(jìn)行屏蔽，也就是對(duì)用戶(hù)計(jì)算機(jī)與外界網(wǎng)絡(luò)連接的唯一方式進(jìn)行關(guān)閉與否的控制行為。當(dāng)前計(jì)算機(jī)技術(shù)中，路由器作為計(jì)算機(jī)與外界網(wǎng)絡(luò)連接的必經(jīng)通道，用戶(hù)與外界網(wǎng)絡(luò)的所有連接信息與交換數(shù)據(jù)包都會(huì)經(jīng)過(guò)路由器通道來(lái)實(shí)現(xiàn)，而防火墻系統(tǒng)能夠通過(guò)在路由器上設(shè)立的報(bào)文過(guò)濾技術(shù)來(lái)對(duì)數(shù)據(jù)包及外界信息的IP地址進(jìn)行分辨和過(guò)濾，對(duì)那些不健康或有一定危險(xiǎn)程度的IP地址進(jìn)行封鎖，從而有效保護(hù)用戶(hù)私人計(jì)算機(jī)網(wǎng)絡(luò)的安全。當(dāng)前很多計(jì)算機(jī)中的路由器都會(huì)裝有報(bào)文過(guò)濾的配置選項(xiàng)，以便用戶(hù)對(duì)外來(lái)用戶(hù)的IP進(jìn)行過(guò)濾。

其次，防火墻技術(shù)能夠?qū)χ鳈C(jī)網(wǎng)關(guān)進(jìn)行屏蔽。技術(shù)原理是在計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)中建立類(lèi)似的內(nèi)部堡壘主機(jī)，內(nèi)部堡壘主機(jī)通過(guò)路由器與外部網(wǎng)絡(luò)進(jìn)行連接并對(duì)外部網(wǎng)絡(luò)發(fā)送過(guò)來(lái)的信息和數(shù)據(jù)包進(jìn)行分辨和審查，將內(nèi)部堡壘主機(jī)作為用戶(hù)私人計(jì)算機(jī)與外界網(wǎng)絡(luò)連接的唯一連接點(diǎn)，從而保護(hù)用戶(hù)私人計(jì)算機(jī)的網(wǎng)絡(luò)安全，保證即使受到外部信息的攻擊也只是內(nèi)部堡壘主機(jī)遭受攻擊，用戶(hù)內(nèi)部網(wǎng)絡(luò)的安全性依然良好。同時(shí)，如果用戶(hù)的私人計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬擴(kuò)展的本地局域網(wǎng)，并沒(méi)有子網(wǎng)和路由器等有關(guān)網(wǎng)絡(luò)連接的配置，那么內(nèi)網(wǎng)的變化就無(wú)法影響到用戶(hù)計(jì)算機(jī)中內(nèi)部堡壘主機(jī)和屏蔽路由器的配置。屏蔽主機(jī)網(wǎng)關(guān)在保護(hù)網(wǎng)絡(luò)時(shí)具有相關(guān)的控制和保護(hù)策略，主要由安裝在網(wǎng)關(guān)中的軟件決定，一旦外來(lái)入侵者登陸到用戶(hù)網(wǎng)關(guān)上，將會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)中的主機(jī)造成非常嚴(yán)重的安全威脅。

另外，防火墻技術(shù)還能對(duì)用戶(hù)的子網(wǎng)進(jìn)行屏蔽。技術(shù)原理是在用戶(hù)內(nèi)部網(wǎng)絡(luò)和外接網(wǎng)絡(luò)之間建立一個(gè)完全隔離的子網(wǎng)，用戶(hù)可以使用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)與內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)完全隔離。在屏蔽子網(wǎng)的體系結(jié)構(gòu)中，有一臺(tái)主機(jī)專(zhuān)門(mén)與內(nèi)部網(wǎng)絡(luò)的主機(jī)連接，使用其與內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行網(wǎng)絡(luò)連接及相關(guān)信息的交換，而另外一臺(tái)主機(jī)則與外部網(wǎng)絡(luò)連接，外來(lái)網(wǎng)絡(luò)與用戶(hù)計(jì)算機(jī)網(wǎng)絡(luò)之間的信息交換則通過(guò)已經(jīng)設(shè)置好的子網(wǎng)空間進(jìn)行交流，通過(guò)兩個(gè)主機(jī)對(duì)信息的分別過(guò)濾和子網(wǎng)空間的建立來(lái)保證外來(lái)信息不會(huì)對(duì)用戶(hù)私人計(jì)算機(jī)網(wǎng)絡(luò)造成任何信息交換過(guò)程中的安全問(wèn)題。

最后，防火墻技術(shù)還能夠解決用戶(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的其它安全隱患，包括對(duì)用戶(hù)計(jì)算機(jī)儲(chǔ)存信息的即時(shí)備份和鏡像技術(shù)來(lái)保證用戶(hù)信息數(shù)據(jù)的完整性、安全性，防止信息突然丟失給用戶(hù)造成的相關(guān)損失；同時(shí)，防火墻技術(shù)還能夠通過(guò)自身對(duì)外來(lái)病毒信息的不斷記錄和補(bǔ)丁安裝及自身技術(shù)系統(tǒng)的升級(jí)，從而有效防范非法入侵者通過(guò)網(wǎng)絡(luò)病毒對(duì)用戶(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全造成威脅；防火墻技術(shù)還能夠幫助用戶(hù)對(duì)機(jī)密信息進(jìn)行加密以提高用戶(hù)信息的安全性，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。

結(jié)語(yǔ)

防火墻技術(shù)是目前應(yīng)對(duì)網(wǎng)絡(luò)非法攻擊，保護(hù)用戶(hù)私人計(jì)算機(jī)網(wǎng)絡(luò)安全的主要技術(shù)手段，然而計(jì)算機(jī)網(wǎng)絡(luò)除了會(huì)遭受到外來(lái)網(wǎng)絡(luò)的非法入侵以外，還會(huì)遭受到其它不同因素造成的安全威脅，用戶(hù)應(yīng)該積極應(yīng)用防火墻技術(shù)，綜合運(yùn)用多種防火墻技術(shù)類(lèi)型構(gòu)建計(jì)算機(jī)防火墻系統(tǒng)，同時(shí)做好對(duì)計(jì)算機(jī)硬件、軟件、信息交流、工作生活使用中的相關(guān)保護(hù)工作，做好對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的全面保護(hù)，保證用戶(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全不會(huì)受到影響。

參考文獻(xiàn)

[1]顧永仁.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（04）：148+151.

[2]馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014（16）.

[3]付建民.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)探討[J].信息系統(tǒng)工程，2014（07）：63.

中圖分類(lèi)號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A