基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)及實(shí)現(xiàn)

摘? 要：當(dāng)前，隨著信息技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用范圍越來越廣，各行各業(yè)都將信息化發(fā)展作為未來行業(yè)發(fā)展的必然趨勢(shì)，并且計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用為許多行業(yè)帶來了不可忽視的經(jīng)濟(jì)效益。然而在這一時(shí)代背景下，計(jì)算機(jī)網(wǎng)絡(luò)也處于危險(xiǎn)的環(huán)境之中，既要防止計(jì)算機(jī)網(wǎng)絡(luò)遭到入侵，同時(shí)也要保護(hù)個(gè)人信息、企業(yè)信息的安全性，該文將對(duì)基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)及實(shí)現(xiàn)進(jìn)行深入討論。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)? 防火墻技術(shù)? 實(shí)現(xiàn)

中圖分類號(hào)：TP39 ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2020）04（c）-0012-02

在信息技術(shù)的不斷發(fā)展下，人們逐漸進(jìn)入到了信息化時(shí)代，而在這一時(shí)代背景中，計(jì)算機(jī)網(wǎng)絡(luò)作為信息傳播的重要媒介，不僅要確保信息資源的時(shí)效性，同時(shí)還要保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性。其中防火墻技術(shù)作為當(dāng)前主要使用的網(wǎng)絡(luò)安全防護(hù)技術(shù)，它不僅價(jià)格低廉，同時(shí)還衍生出許多新式且高效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)手段。

1? 現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅及安全隱患

在分析基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)前，文章首先對(duì)現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅以及存在的安全隱患進(jìn)行概述，以此來尋找防火墻技術(shù)的實(shí)現(xiàn)方向。

所謂的計(jì)算機(jī)網(wǎng)絡(luò)就是指能夠隨時(shí)隨地通過一些計(jì)算機(jī)設(shè)備或者外部設(shè)備，通過互聯(lián)網(wǎng)連接到一起，從而實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)系統(tǒng)以及各種軟件的管理和操作，并且在有關(guān)于網(wǎng)絡(luò)通信使用的規(guī)范標(biāo)準(zhǔn)和管理下，實(shí)現(xiàn)信息資源傳播和共享的計(jì)算機(jī)系統(tǒng)。而計(jì)算機(jī)網(wǎng)絡(luò)安全則是指在上述計(jì)算機(jī)網(wǎng)絡(luò)工作過程中，確保網(wǎng)絡(luò)系統(tǒng)不會(huì)遭受到來自外界的惡意的系統(tǒng)破壞、入侵等問題的發(fā)送。而計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)一般分為兩個(gè)方面，分別是確保信息的時(shí)效性、完整性、保密性的信息安全防護(hù)以及避免計(jì)算機(jī)設(shè)備受到來自于外界的（火災(zāi)、水災(zāi)、爆炸等）破壞的物理安全防護(hù)[1]。

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)在升級(jí)換代的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)所面對(duì)的威脅也越來越多樣化，其中主要有黑客攻擊和病毒侵入這兩類。而這兩類威脅所攻擊的對(duì)象也越來越多，除了攻擊計(jì)算機(jī)設(shè)備外，還包括傳播信息的互聯(lián)網(wǎng)、所傳播的信息等。攻擊的原因也分為惡意攻擊、操作失誤、網(wǎng)絡(luò)軟件的漏洞等。

2? 對(duì)于防火墻技術(shù)的概述

防火墻技術(shù)就是指應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)，確保計(jì)算機(jī)網(wǎng)絡(luò)在使用過程中不會(huì)受到惡意侵犯的手段，防火墻通常由硬件和軟件，即服務(wù)訪問政策、檢測(cè)系統(tǒng)、包過濾、應(yīng)用網(wǎng)關(guān)組成。作用于計(jì)算機(jī)設(shè)備和外部網(wǎng)之間的防火墻被稱作計(jì)算機(jī)防火墻，而建立在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防火墻被稱為網(wǎng)絡(luò)防火墻（見圖1）。在工作時(shí)，防火墻會(huì)對(duì)從外界傳來的信息進(jìn)行監(jiān)管、隔離，當(dāng)被檢測(cè)信息不存在惡意信息時(shí)會(huì)被傳入到內(nèi)部網(wǎng)絡(luò)中，但如果信息存在入侵動(dòng)向，防火墻將會(huì)對(duì)信息進(jìn)行隔離，以確保計(jì)算機(jī)網(wǎng)絡(luò)的安全。

3? 防火墻的種類

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，防火墻的種類也呈現(xiàn)出多樣化，但是歸根結(jié)底，從它們的技術(shù)來看主要分為網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、規(guī)則檢查防火墻這4種，下面將對(duì)這4種防火墻逐一進(jìn)行討論。

3.1 網(wǎng)絡(luò)級(jí)防火墻

網(wǎng)絡(luò)級(jí)防火墻又可以稱為包過濾型防火墻，該類型的防火墻就是作用于信息發(fā)出地和信息接收地之間，對(duì)信息進(jìn)行檢測(cè)并下達(dá)隔離或者通過命令的防火墻?，F(xiàn)階段人們常用的路由器就是較為傳統(tǒng)的網(wǎng)絡(luò)級(jí)防火墻，當(dāng)信息通過路由器時(shí)，路由器可以通過對(duì)信息的檢測(cè)結(jié)果下達(dá)信息的接收與轉(zhuǎn)發(fā)指令，但是路由器存在的一個(gè)弊端就是不能對(duì)信息的來歷和去向進(jìn)行調(diào)查[2]。

3.2 應(yīng)用級(jí)網(wǎng)關(guān)

該種類的防火墻主要針對(duì)較為特殊的網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包檢查的同時(shí)還會(huì)進(jìn)行過濾，對(duì)于數(shù)據(jù)包中的內(nèi)容進(jìn)行分析并記錄，最終形成完整可靠的數(shù)據(jù)包報(bào)告。該類型的防火墻對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的防護(hù)程度較高，這要得益于應(yīng)用網(wǎng)關(guān)對(duì)于數(shù)據(jù)包處理、控制的嚴(yán)密性。但是，應(yīng)用級(jí)網(wǎng)關(guān)同樣存在一個(gè)弊端就是它的工作量較大，從而導(dǎo)致實(shí)現(xiàn)整個(gè)工作過程存在很大難度，并且會(huì)在用戶進(jìn)行使用時(shí)帶來許多和接收信息本身無關(guān)的問題。

3.3 電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)還有一個(gè)名稱，即線路級(jí)網(wǎng)關(guān)，電路級(jí)網(wǎng)關(guān)主要在兩個(gè)或者多個(gè)計(jì)算機(jī)設(shè)備初次建立TCP連接時(shí)就會(huì)建立一個(gè)防火墻屏障。電路級(jí)網(wǎng)關(guān)會(huì)對(duì)已經(jīng)建立連接的計(jì)算機(jī)設(shè)備之間的信息交流進(jìn)行監(jiān)控，通過對(duì)信息的監(jiān)控查看是否有非法信息的傳輸與接收，從而對(duì)計(jì)算機(jī)設(shè)備下達(dá)接收或者隔離的指令。電路級(jí)網(wǎng)關(guān)工作在會(huì)話層，也就是比網(wǎng)絡(luò)級(jí)防火墻高兩層[3]。

3.4 規(guī)則檢查防火墻

規(guī)則檢查防火墻集中了以上3種防火墻的特點(diǎn)，該防火墻既可以在網(wǎng)絡(luò)層上對(duì)接收的數(shù)據(jù)包進(jìn)行檢查和過濾，同時(shí)也能夠檢查數(shù)據(jù)包是否有序，還能夠?qū)?yīng)用層上對(duì)數(shù)據(jù)包中的內(nèi)容進(jìn)行監(jiān)控，可以說規(guī)則檢查防火墻不僅能夠?qū)崿F(xiàn)對(duì)層面檢查，同時(shí)還提高了防火墻安全等級(jí)。

4? 防火墻技術(shù)的實(shí)現(xiàn)過程

在對(duì)防火墻的種類進(jìn)行分析后，下面將談一談基于計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)實(shí)現(xiàn)過程。

4.1 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

當(dāng)前防火墻最為重要的技術(shù)便是網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)顧名思義就是通過防火墻將網(wǎng)絡(luò)的IP地址進(jìn)行更改，這樣一來就可以在很大程度上隱蔽信息接收的地址，從而對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用。除此之外，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)還分為兩種類型，即SNAT和DNAT，這兩種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)對(duì)于地址的轉(zhuǎn)換對(duì)象不同。SNAT是不改變接收地址的情況下，轉(zhuǎn)變數(shù)據(jù)發(fā)送的源地址，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的轉(zhuǎn)換，而對(duì)外部網(wǎng)絡(luò)屏蔽，這樣便可以在很大程度上增加黑客攻擊的難度。而DNAT恰好與SNAT相反，DNAT是不改變數(shù)據(jù)包源地址的情況下，對(duì)數(shù)據(jù)包的接收地址進(jìn)行改變，并且地址轉(zhuǎn)換過程中不會(huì)對(duì)數(shù)據(jù)包發(fā)送和接收的原本地址進(jìn)行更改[4]。

4.2 加密技術(shù)

防火墻加密技術(shù)也可以分為兩種，分別是對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。其中，對(duì)稱加密技術(shù)較為常用，它是指對(duì)所要傳輸?shù)男畔⒃趥鬏斍斑M(jìn)行加密，在接收信息后使用相同的密碼進(jìn)行解密，通過對(duì)信息加密從而保證信息傳輸過程中不會(huì)被其他人所竊取，并且對(duì)稱加密用相同的密碼進(jìn)行加密、解密處理起來較為簡(jiǎn)單。而非對(duì)稱加密技術(shù)較為復(fù)雜，但是保密性更高，非對(duì)稱加密是指對(duì)所要傳輸?shù)男畔⑦M(jìn)行加密后，密碼可以向他人進(jìn)行公開，將改密碼稱之為公開密鑰，而要想解除密碼獲取信息則還需要另一套密碼，即解密密鑰。通過以上兩種加密技術(shù)，能夠有效地阻止其他人員在信息傳輸過程中獲取信息造成一定的損失。

4.3 多級(jí)過濾技術(shù)

在上文中對(duì)防火墻技術(shù)進(jìn)行了簡(jiǎn)單的介紹，其中應(yīng)用網(wǎng)關(guān)和電路網(wǎng)關(guān)都采取了過濾技術(shù)，而這2種防火墻所選擇的過濾等級(jí)同樣為三級(jí)過濾。其中一級(jí)過濾是對(duì)數(shù)據(jù)信息的源地址以及假冒的接收地址進(jìn)行過濾，確保數(shù)據(jù)信息的傳輸和接受地址正確;而應(yīng)用網(wǎng)關(guān)一級(jí)則是對(duì)互聯(lián)網(wǎng)所提供的信息交流、共享服務(wù)進(jìn)行監(jiān)控過濾;電路網(wǎng)關(guān)一級(jí)過濾則是對(duì)主機(jī)與外部站點(diǎn)的透明連接進(jìn)行監(jiān)控。

5? 結(jié)語

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，應(yīng)用互聯(lián)網(wǎng)實(shí)現(xiàn)信息資源的交流、共享已經(jīng)成為當(dāng)今社會(huì)的一大發(fā)展趨勢(shì)。而防火墻技術(shù)不僅要對(duì)計(jì)算機(jī)主機(jī)進(jìn)行保護(hù)，還要對(duì)數(shù)據(jù)的傳輸進(jìn)行加密，從而確保信息資源交流、共享的安全性，并且還要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展不斷升級(jí)和完善。

參考文獻(xiàn)

[1] 馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014，10（16）：3743-3745.

[2] 滕鑫鵬.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的探索與運(yùn)用[J].福建電腦，2018，34（12）：151-152.

[3] 汪淼.基于NDIS防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2014.

[4] 張健.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用[J].現(xiàn)代信息科技，2018，2（5）：159-160，162.

作者簡(jiǎn)介：高岳（1981—），男，漢族，山東煙臺(tái)人，本科，講師，研究方向：電子信息科學(xué)與技術(shù)。