計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究

趙彬

（1.平?jīng)鲂畔⒐こ虒W(xué)校 甘肅省平?jīng)鍪?744000 2.平?jīng)黾紟煂W(xué)院 甘肅省平?jīng)鍪?744000）

互聯(lián)網(wǎng)信息技術(shù)的發(fā)展給人們生活帶來了巨大的便利，促使人們之間的交流更加便捷，人們對(duì)于互聯(lián)網(wǎng)的依賴不斷加深。但是需要注意的是，由于計(jì)算機(jī)本身開放性特點(diǎn)，使得人們?cè)谑褂糜?jì)算機(jī)過程中容易遭受到一些安全威脅，比如自己的信息泄露、計(jì)算遭遇各種病毒的攻擊以及遭遇黑客攻擊等[1]。同時(shí)由于一些人本身安全意識(shí)不足，導(dǎo)致很多不法分子會(huì)通過互聯(lián)網(wǎng)來盜取個(gè)人信息甚至是個(gè)人財(cái)務(wù)。因此，網(wǎng)絡(luò)中的安全問題需要引起人們的重視，不斷加強(qiáng)自身的網(wǎng)絡(luò)安全意識(shí)。而防火墻技術(shù)能夠幫助人們抵御在使用計(jì)算機(jī)過程中出現(xiàn)的各種安全威脅，提升計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)程度。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的影響因素

1.1 人為因素

在計(jì)算機(jī)技術(shù)的使用過程中，對(duì)網(wǎng)絡(luò)安全造成影響的因素之一就是網(wǎng)絡(luò)黑客。通常來說，網(wǎng)絡(luò)黑客指的是利用網(wǎng)絡(luò)中出現(xiàn)的漏洞以及自身的網(wǎng)絡(luò)技術(shù)對(duì)他人電腦進(jìn)行攻擊的人。對(duì)于普通民眾來說，黑客的攻擊會(huì)促使計(jì)算機(jī)中存儲(chǔ)的個(gè)人信息或者是其他信息被黑客盜取或者是丟失[2]。從目前來看，經(jīng)過多年發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)有了一定突破，但是并沒有完全杜絕黑客攻擊，黑客依然是網(wǎng)絡(luò)完全的極大威脅。之所以會(huì)出現(xiàn)這樣的情況，是因?yàn)殡S著網(wǎng)絡(luò)安全技術(shù)的提升，黑客本身的技術(shù)也在提高。在這樣的情況下，人們對(duì)于網(wǎng)絡(luò)安全有了更高的要求。

1.2 網(wǎng)絡(luò)因素

互聯(lián)網(wǎng)本身具有虛擬性和開放性特點(diǎn)，而正是因?yàn)榛ヂ?lián)網(wǎng)這樣的特點(diǎn)，導(dǎo)致人們?cè)谑褂糜?jì)算機(jī)的過程中容易出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全問題。在互聯(lián)網(wǎng)中，無論是用戶本身所發(fā)布的信息，還是網(wǎng)絡(luò)媒體所發(fā)布的信息，這些信息的真實(shí)性用戶本身無法進(jìn)行分辨，容易進(jìn)入到這些信息中所隱藏網(wǎng)絡(luò)連接中，從而使自身受到損失。另外，互聯(lián)網(wǎng)本身的開放性和虛擬性使得對(duì)互聯(lián)網(wǎng)的監(jiān)管有著很高的難度，無法準(zhǔn)確識(shí)別出信息的真假。對(duì)于網(wǎng)絡(luò)安全來說，這也是一個(gè)十分嚴(yán)重的安全威脅，人們往往會(huì)在不經(jīng)意間就被各種病毒所攻擊。

1.3 計(jì)算機(jī)本身因素

人們?cè)谑褂糜?jì)算機(jī)過程中，如果自己的計(jì)算機(jī)硬件來源不明就有可能出現(xiàn)安全問題。比如，一些計(jì)算機(jī)硬件本身在生產(chǎn)時(shí)就存在技術(shù)不過關(guān)的問題，這就會(huì)導(dǎo)致計(jì)算機(jī)本身存在一定的缺陷，最終導(dǎo)致出現(xiàn)網(wǎng)絡(luò)安全問題。另外，如果計(jì)算機(jī)本身的配件性能較差，就會(huì)導(dǎo)致一些最新的網(wǎng)絡(luò)安全保護(hù)軟件無法在計(jì)算機(jī)上運(yùn)行，這樣就間接降低了計(jì)算機(jī)的安全防護(hù)程度。另外，人們?cè)谑褂糜?jì)算機(jī)過程中，有時(shí)會(huì)安裝一些沒有安全驗(yàn)證的軟件，從而導(dǎo)致這些軟件中隱藏的病毒攻擊人們的計(jì)算機(jī)，產(chǎn)生網(wǎng)絡(luò)安全問題。

2 常見的防火墻技術(shù)

2.1 包過濾型防火墻技術(shù)

圖1

圖2

包過濾型防火墻技術(shù)又稱為網(wǎng)絡(luò)級(jí)防火墻技術(shù)。這一類型的防火墻技術(shù)主要是以計(jì)算機(jī)的源地址、目的地址、應(yīng)用以及相關(guān)協(xié)議的端口為基礎(chǔ)來判定數(shù)據(jù)信息是否通過的技術(shù)。比如，生活中最常見的路由器就是一種包過濾型防火墻。在實(shí)際運(yùn)行過程中，包過濾型防火墻會(huì)對(duì)相關(guān)的數(shù)據(jù)信息進(jìn)行檢查，從而判斷是否對(duì)這些數(shù)據(jù)信息進(jìn)行轉(zhuǎn)發(fā)。

2.2 應(yīng)用級(jí)網(wǎng)關(guān)防火墻技術(shù)

這種防火墻技術(shù)主要是應(yīng)用在專用工作站系統(tǒng)之中，其主要是以特定的網(wǎng)絡(luò)服務(wù)協(xié)議為基礎(chǔ)，使用特定的數(shù)據(jù)過濾邏輯形式，對(duì)計(jì)算機(jī)中的數(shù)據(jù)進(jìn)行過濾，從而保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全[3]。同時(shí)，這一類型的防火墻技術(shù)在對(duì)數(shù)據(jù)信息進(jìn)行過濾的同時(shí)，還能夠?qū)Ω鞣N數(shù)據(jù)包進(jìn)行分析和統(tǒng)計(jì)，形成數(shù)據(jù)報(bào)告。相較于包過濾型防火墻技術(shù)來說，應(yīng)用級(jí)網(wǎng)關(guān)防火墻技術(shù)也能夠根據(jù)特定的邏輯來對(duì)數(shù)據(jù)包是否能夠通過進(jìn)行判定。如圖1所示。

2.3 狀態(tài)檢測(cè)型防火墻技術(shù)

狀態(tài)檢測(cè)型防火墻技術(shù)是一種對(duì)計(jì)算機(jī)連接狀態(tài)進(jìn)行檢測(cè)的防火墻技術(shù)。在實(shí)際工作中，這一類型的防火墻會(huì)將所有處于同一連接中的數(shù)據(jù)當(dāng)作是一個(gè)數(shù)據(jù)流，并以此為基礎(chǔ)來形成連接狀態(tài)表。通過連接狀態(tài)表用戶能夠?qū)σ酝男畔?、?yīng)用程序等進(jìn)行了解，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)。如圖2所示。

3 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的作用

3.1 對(duì)不安全因素進(jìn)行防護(hù)

防火墻技術(shù)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)中各種不安全因素進(jìn)行防護(hù)。在通常情況下，防火墻能夠?qū)ν鈦碛脩舻脑L問進(jìn)行阻擋，具體來說，如果外來用戶沒有得到用戶授權(quán)，其本身無法訪問用戶的計(jì)算機(jī)，這樣就將一些非法訪問用戶拒之門外。換言之，防火墻技術(shù)就是對(duì)外來沒有得到授權(quán)的用戶進(jìn)行隔離的一種技術(shù)。用戶的計(jì)算機(jī)有了防火墻，就能夠?qū)⒕W(wǎng)絡(luò)中存在的不安全因素?fù)踉谟?jì)算機(jī)之外，降低自身的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。另外需要指出的是，防火墻不會(huì)對(duì)得到授權(quán)的訪問用戶進(jìn)行主動(dòng)攔截，并且在進(jìn)行攔截時(shí)僅僅需要用戶本身進(jìn)行授權(quán)設(shè)置即可，這樣就會(huì)為用戶使用計(jì)算機(jī)帶來更多的便捷。

3.2 對(duì)存在的安全隱患進(jìn)行預(yù)警

在人們使用計(jì)算機(jī)的過程中，如果有外來信息試圖進(jìn)入到計(jì)算機(jī)中，此時(shí)防火墻就會(huì)對(duì)用戶進(jìn)行報(bào)警，提示用戶有外來信息進(jìn)入。用戶接收到防火墻的提示信息之后，就可以根據(jù)自身的實(shí)際情況來進(jìn)行選擇，即允許該信息進(jìn)入到自己的計(jì)算機(jī)中的拒絕該信息進(jìn)入到自己的計(jì)算機(jī)中。同時(shí)，用戶在選擇拒絕該信息進(jìn)入到自己計(jì)算機(jī)中時(shí)，還可以對(duì)該信息進(jìn)行阻斷，永久拒絕該信息進(jìn)入自己的計(jì)算機(jī)中，這樣就能夠更好地保障自身的信息安全[4]。另外，用戶可以根據(jù)自身的實(shí)際需求，對(duì)防護(hù)墻進(jìn)行設(shè)置，這樣不僅能夠保障自身計(jì)算機(jī)的信息安全還能夠促使用戶更加方便地使用計(jì)算機(jī)。

3.3 幫助用戶掌握計(jì)算機(jī)內(nèi)部情況

在計(jì)算機(jī)中安裝防火墻，用戶就可以通過防火墻更加便捷地查看到自己計(jì)算機(jī)的網(wǎng)絡(luò)速度、數(shù)據(jù)信息等。同時(shí)，防火墻本身還能夠根據(jù)用戶使用計(jì)算機(jī)的實(shí)際情況生成計(jì)算機(jī)日志，這樣用戶就能夠根據(jù)這樣的日志來查看自身計(jì)算機(jī)使用情況，對(duì)計(jì)算機(jī)以及防火墻設(shè)置進(jìn)行調(diào)整或者是對(duì)計(jì)算機(jī)進(jìn)行維護(hù)和維修。

3.4 監(jiān)控計(jì)算機(jī)的數(shù)據(jù)信息

在安裝防火墻之后，防火墻能夠?qū)τ?jì)算機(jī)中所有數(shù)據(jù)進(jìn)行全方位監(jiān)控，比如計(jì)算機(jī)上傳數(shù)據(jù)、下載數(shù)據(jù)、瀏覽痕跡、網(wǎng)絡(luò)支付信息等。同時(shí)，防火墻在進(jìn)行監(jiān)控的過程中還能夠?qū)W(wǎng)絡(luò)信息之中的病毒進(jìn)行過濾，保護(hù)計(jì)算機(jī)的網(wǎng)絡(luò)安全。另外，防火墻能夠?qū)τ?jì)算機(jī)的信息端口進(jìn)行標(biāo)記和封鎖，保障其中的特定信息只能夠被用戶本身查看，防止他人查看，同時(shí)還能夠禁止特定的IP 地址進(jìn)行訪問。

4 防火墻技術(shù)在計(jì)算網(wǎng)絡(luò)安全中的應(yīng)用

4.1 在訪問策略中的應(yīng)用

在防火墻中，訪問策略的實(shí)施主要是以防火墻的配置為主，同時(shí)需要經(jīng)過合理的安排，對(duì)計(jì)算機(jī)內(nèi)部的運(yùn)行過程進(jìn)行優(yōu)化，最終形成完善的防護(hù)系統(tǒng)[5]。防火墻技術(shù)針對(duì)的是計(jì)算網(wǎng)絡(luò)的運(yùn)行，是通過對(duì)訪問策略進(jìn)行規(guī)劃，最終形成安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。一般來說，在訪問策略方面，防火墻技術(shù)的保護(hù)過程為：首先，防火墻技術(shù)會(huì)將計(jì)算機(jī)中的所有運(yùn)行信息進(jìn)行劃分，分出的不同的部分，然后對(duì)不同部分再進(jìn)行內(nèi)外劃分，以此來形成內(nèi)外保護(hù)，保障訪問的安全性；其次，防火墻技術(shù)會(huì)主動(dòng)了解計(jì)算機(jī)網(wǎng)絡(luò)中的所有運(yùn)行地址，從而掌握計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行特征，進(jìn)而形成完善的保護(hù)方式；再次，在計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)中，不同的訪問策略對(duì)應(yīng)著不同的保護(hù)方式，防火墻技術(shù)能夠根據(jù)計(jì)算機(jī)本身的安全需求實(shí)際以及訪問策略實(shí)際來對(duì)訪問策略進(jìn)行調(diào)整，形成保護(hù)，同時(shí)訪問策略在進(jìn)行保護(hù)的時(shí)候能夠形成相應(yīng)的策略表，以此來記錄所有活動(dòng)；最后，在訪問策略運(yùn)行完成之后，就可以對(duì)其中出現(xiàn)的漏洞進(jìn)行排除，將其作為防火墻技術(shù)的配置，最終形成對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)。

4.2 在安全配置中的應(yīng)用

在防火墻技術(shù)中，安全配置主要是通過將計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的模塊劃分來保障計(jì)算機(jī)網(wǎng)絡(luò)安全。具體來說，安全配置能夠?qū)⒂?jì)算機(jī)網(wǎng)絡(luò)模塊進(jìn)行不同設(shè)置，將其中需要進(jìn)行安全防護(hù)的模塊進(jìn)行獨(dú)立設(shè)置，將這樣的模塊轉(zhuǎn)化為隔離模塊，作為安全保護(hù)的中心。防火墻技術(shù)中的隔離模塊，屬于一種獨(dú)立的局域網(wǎng)絡(luò)，但是能夠轉(zhuǎn)變?yōu)橛?jì)算網(wǎng)絡(luò)中的一部分。同時(shí)，這一隔離模塊能夠保護(hù)網(wǎng)絡(luò)服務(wù)器內(nèi)部的信息安全，促使計(jì)算能夠處于一個(gè)穩(wěn)定的運(yùn)行環(huán)境中，從而得到安全防護(hù)。一般來說，防火墻本身對(duì)于安全配置有著更高的要求，主要體現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的防護(hù)效率上。同時(shí)在這樣的安全配置隔離模塊方面，具有十分明顯的特點(diǎn)，相較于其他類型的防護(hù)技術(shù)來說，防火墻技術(shù)的效率更高，具體為：防火墻技術(shù)會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的隔離模塊信息流通進(jìn)行監(jiān)控，再通過地址的轉(zhuǎn)換促使從內(nèi)部向外部流出的信息IP 地址轉(zhuǎn)化為公共IP 地址，這樣就可以避免外部的安全攻擊者通過對(duì)真實(shí)IP 地址進(jìn)行解析，從而追蹤到IP 地址[6]。

4.3 在日志監(jiān)控中的應(yīng)用

相較于安全配置和訪問策略來說，日志監(jiān)控在計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)中也占據(jù)著重要位置，屬于防火墻技術(shù)保護(hù)中的重點(diǎn)內(nèi)容。在用戶對(duì)防火墻保護(hù)日志進(jìn)行分析時(shí)，并不需要對(duì)所有日志信息進(jìn)行分析，避免忽視其中的關(guān)鍵信息。比如，在用戶對(duì)防火墻技術(shù)生成的保護(hù)日志進(jìn)行查看，并且收集其中一方面的信息時(shí)就可以通過防火墻技術(shù)來進(jìn)行快速收集，從而掌握其中的關(guān)鍵信息。同時(shí)，正是因?yàn)榉阑饓ι傻谋Ｗo(hù)日志中存在有計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過程中的各種信息，因此能夠幫助用戶及時(shí)發(fā)現(xiàn)存在的安全隱患，及時(shí)采取相應(yīng)措施，提升計(jì)算機(jī)網(wǎng)絡(luò)安全的安全系數(shù)。另外，防火墻技術(shù)中防病毒程序能夠幫助用戶設(shè)置事先預(yù)防、事中調(diào)控以及事后清理的設(shè)置，并且能夠根據(jù)日志中的內(nèi)容來設(shè)置不同的編碼，從而更加有效的對(duì)網(wǎng)絡(luò)日志進(jìn)行監(jiān)控。此外，防火墻在計(jì)算網(wǎng)絡(luò)運(yùn)行中會(huì)收集各種信息，而這些信息會(huì)在數(shù)據(jù)庫中被儲(chǔ)存，對(duì)其中關(guān)鍵信息進(jìn)行提取和屏蔽就能夠避免這類信息再次遭到攻擊，從而降低防火墻技術(shù)對(duì)日志監(jiān)控之中的難度，提升整體監(jiān)控效率。