基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護

王妍

摘 要：隨著計算機網(wǎng)絡(luò)的普及，使得人們的信息接收以及交流方式發(fā)生了巨大的變化。但是，近年來在社會各領(lǐng)域中，涌現(xiàn)了各種各樣的網(wǎng)絡(luò)安全問題，得到了社會各界人士的關(guān)注，為了保證網(wǎng)絡(luò)的安全，相關(guān)技術(shù)人員對網(wǎng)絡(luò)安全技術(shù)進行了深入研究。其中，防火墻技術(shù)是一種較為有效的防護手段，受到了人們的推崇。本文探討了基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護策略。

關(guān)鍵詞：計算機網(wǎng)絡(luò);防火墻技術(shù);網(wǎng)絡(luò)安全

1 防火墻技術(shù)的作用及價值

現(xiàn)如今快速發(fā)展的互聯(lián)網(wǎng)時代要求網(wǎng)絡(luò)技術(shù)具備良好的安全性，打造安全性網(wǎng)絡(luò)體系的水平已然成為衡量該國家互聯(lián)網(wǎng)技術(shù)發(fā)展的重要標(biāo)準(zhǔn)。對于互聯(lián)網(wǎng)而言，其作為公共開放的平臺，任何人都可以利用互聯(lián)網(wǎng)進行信息的獲取和傳輸，而一些不法分子會借助互聯(lián)網(wǎng)中存在的一些漏洞來進行他人信息的竊取，威脅他人的財產(chǎn)和人身信息安全。在快速發(fā)展的網(wǎng)絡(luò)技術(shù)下，信息安全所面臨的挑戰(zhàn)越發(fā)嚴(yán)峻，如何在互聯(lián)網(wǎng)媒體下形成良好的安全管理體系，如何在保障互聯(lián)網(wǎng)高度自由化、開放化的空間建設(shè)下實現(xiàn)安全有效防護是網(wǎng)絡(luò)安全技術(shù)的重點任務(wù)。防火墻技術(shù)，正是基于目前的安全防護需求所構(gòu)建出來的，通過防火墻技術(shù)的運用能夠?qū)σ恍┲匾獢?shù)據(jù)和私人信息進行保護，降低和減少不法分子竊取信息的成功率，同時還能夠保障網(wǎng)絡(luò)運行的穩(wěn)定性，具象化來說，防火墻就如同在網(wǎng)絡(luò)端構(gòu)建了一堵高墻，來屏蔽和隔絕一些病毒等危險程序。

2 網(wǎng)絡(luò)信息安全中常見的黑客手段

2.1網(wǎng)絡(luò)通信攻擊手段

計算機網(wǎng)絡(luò)平臺為不同地區(qū)和空間的人們創(chuàng)建工具以共享通信。當(dāng)用戶通過網(wǎng)絡(luò)進行通信和通信時，如果沒有有效的安全保護措施，則也位于網(wǎng)絡(luò)中的其他人可能竊聽或獲取通信內(nèi)容。這種竊取信息內(nèi)容的攻擊方式主要是通過監(jiān)控計算機系統(tǒng)和網(wǎng)絡(luò)信息獲取相關(guān)的通信內(nèi)容。網(wǎng)絡(luò)黑客經(jīng)常使用這種監(jiān)控手段來攻擊他們想要獲取信息的對象，竊取用戶帳戶、URL或密碼，這可能會導(dǎo)致重要機密信息的泄露。例如，操作Principal類型、IP地址、特定開放TCP端口、密碼信息、系統(tǒng)用戶名等。黑客還將使用虛假身份手段偽造各類商業(yè)應(yīng)用，通過偽造各種金融業(yè)務(wù)信息，數(shù)據(jù)篡改，改變金融業(yè)務(wù)信息流的時間、順序和流向，破壞財務(wù)信息的全面完整性，偽造合法用戶身份以篡改信息并進行財務(wù)欺詐等。

2.2網(wǎng)絡(luò)系統(tǒng)攻擊手段

除了通信的攻擊手段外，很多黑客會對網(wǎng)絡(luò)系統(tǒng)本身進行攻擊，例如病毒、木馬、蠕蟲等，都是常見的網(wǎng)絡(luò)系統(tǒng)本身攻擊，比較著名的就是曾經(jīng)暴行一時的“熊貓燒香”病毒。這些病毒能夠?qū)W(wǎng)絡(luò)系統(tǒng)服務(wù)器進行干擾，導(dǎo)致服務(wù)器癱瘓，甚至一些黑客會利用網(wǎng)絡(luò)系統(tǒng)攻擊來操作用戶的一些軟件，發(fā)布不良郵件、傳輸不良數(shù)據(jù)，導(dǎo)致網(wǎng)絡(luò)體系癱瘓，影響網(wǎng)絡(luò)正常使用和信息的真實性。

3 防火墻技術(shù)策略分析

3.1屏蔽路由技術(shù)

現(xiàn)如今，最簡單的防火墻技術(shù)為屏蔽路由器，該技術(shù)目前較為流行。屏蔽路由器主要在網(wǎng)絡(luò)層上工作，包括包過濾技術(shù)和虛電路技術(shù)。所謂包過濾技術(shù)，是通過對IP網(wǎng)絡(luò)包進行檢查，以獲得IP頭信息，然后以這些信息為依據(jù)，實現(xiàn)允許（禁止）方面的動作指令。與相關(guān)的信息過濾規(guī)則相比，該技術(shù)限制與內(nèi)部網(wǎng)絡(luò)進行通信，當(dāng)數(shù)據(jù)信息得到授權(quán)后方能通過，如果信息數(shù)據(jù)未獲得授權(quán)，則會阻止其通過。采用該技術(shù)的防火墻通過截取所有IP網(wǎng)絡(luò)包獲取以及過濾所需要的有關(guān)信息，并且會與訪問監(jiān)控規(guī)則進行比較，然后才執(zhí)行動作指令。

3.2基于代理防火墻技術(shù)

因為數(shù)據(jù)包過濾技術(shù)具有一定的缺陷，且其不能防范黑客攻擊，對于新的安全威脅，該技術(shù)難以進行處理。因此，人們需要一個更全面的防火墻保護技術(shù)，在這種背景下，“應(yīng)用代理”技術(shù)的防火墻就此出現(xiàn)。這種技術(shù)主要包括兩個網(wǎng)絡(luò)接口卡，而且能夠同時連接內(nèi)外網(wǎng)。由于網(wǎng)關(guān)的安裝位置較為特殊，從而使其可以與兩個網(wǎng)絡(luò)通信，而且是安裝數(shù)據(jù)交換軟件的最佳位置。代理服務(wù)規(guī)定，內(nèi)網(wǎng)與外網(wǎng)不能直接通信，但是通過代理服務(wù)器，就能實現(xiàn)數(shù)據(jù)交換。對于用戶與服務(wù)器之間的數(shù)據(jù)交流，代理服務(wù)能夠完成，而且可以對所有的數(shù)據(jù)流進行審計追蹤?，F(xiàn)如今，許多專家都認(rèn)為，基于代理的防火墻要更加安全，之所以會產(chǎn)生這種看法，主要因為代理軟件能夠根據(jù)內(nèi)部網(wǎng)絡(luò)中的主機性能制定監(jiān)控策略，這樣就可達到防御已知攻擊的效果。

3.3動態(tài)防火墻技術(shù)

動態(tài)防火墻技術(shù)，主要相對于靜態(tài)包過濾技術(shù)提出的，該技術(shù)能夠動態(tài)地創(chuàng)建相關(guān)規(guī)則，能夠適應(yīng)不斷變化的計算機網(wǎng)絡(luò)業(yè)務(wù)。動態(tài)防火墻有一個重要的特點，那就是對所有經(jīng)過防火墻數(shù)據(jù)流進行分析，并獲得相關(guān)狀態(tài)信息，此外根據(jù)這些信息區(qū)分每次連接，然后以此為基礎(chǔ)創(chuàng)建動態(tài)連接表。此外，動態(tài)防火墻還需要進行一項工作，需要完成后續(xù)通訊檢查工作，并需要對這些信息進行更新。

3.4狀態(tài)監(jiān)測技術(shù)

狀態(tài)監(jiān)測技術(shù)較為特殊，其將應(yīng)用網(wǎng)關(guān)技術(shù)與包過濾技術(shù)兩者的優(yōu)勢結(jié)合起來，該防火墻在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包，并且對應(yīng)用層狀態(tài)有關(guān)的信息進行抽取，在核心部分建立了狀態(tài)連接表，并對網(wǎng)絡(luò)中流通的數(shù)據(jù)編成一個個地會話，而且利用狀態(tài)表跟蹤每個會話的狀態(tài)。其可以對各層數(shù)據(jù)進行實時監(jiān)測，并可以對這些監(jiān)測數(shù)據(jù)進行系統(tǒng)分析。這樣就能準(zhǔn)確發(fā)現(xiàn)各層中的非法入侵行為，而且可以防范內(nèi)部網(wǎng)絡(luò)的惡意破壞行為。

4 網(wǎng)絡(luò)安全防護技術(shù)機制構(gòu)建要點

4.1防火墻的科學(xué)配置與準(zhǔn)確選擇

在應(yīng)用環(huán)節(jié)，技術(shù)人員需要做好防火墻的設(shè)置工作。為保證設(shè)置的有效性，技術(shù)人員需要率先開展風(fēng)險評估，明確網(wǎng)絡(luò)用戶面臨的各類網(wǎng)絡(luò)風(fēng)險。同時獲取用戶的上網(wǎng)習(xí)慣，并制定相應(yīng)的安全防護規(guī)則，選擇恰當(dāng)?shù)姆雷o方案。通過這種方式，使得防火墻技術(shù)與網(wǎng)絡(luò)安全防護結(jié)合起來，切實發(fā)揮出防火墻技術(shù)的防護能力，最大程度減少網(wǎng)絡(luò)安全事件的發(fā)生。

4.2評估防火墻的運行狀態(tài)

在使用其進行網(wǎng)絡(luò)安全防護的過程中，可以將防火墻的運行狀態(tài)劃分為不同的等級。有三種情況：

（1）當(dāng)沒有網(wǎng)絡(luò)攻擊行為時，防火墻能夠正常運行。（2）當(dāng)受到網(wǎng)絡(luò)攻擊后，防火墻能夠發(fā)揮防御作用，再次運行需要對其進行重啟操作。（3）使用防火墻后，計算機內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)交互被關(guān)?；蛘呓?。從實用性與安全性的角度來看，第一、第二種情況防火墻實用性較高，基本能夠滿足網(wǎng)絡(luò)安全防護以及計算機使用需求;第三種防火墻無疑中斷了用戶與用戶之間的信息交互，導(dǎo)致網(wǎng)絡(luò)的局部癱瘓?；谶@種實際，在應(yīng)用防火墻之前，技術(shù)人員需要在科學(xué)性原則、實用性原則的基礎(chǔ)上，進行系列測試工作，檢查防火墻的失效狀態(tài)，并采取相應(yīng)的方式進行處理應(yīng)對。

4.3進行防火墻的動態(tài)維護

防火墻的動態(tài)維護需要根據(jù)推送的各類安全補丁，及時進行下載安裝，通過這種方式，不斷提升防火墻自身的防護能力，有效應(yīng)對新的安全風(fēng)險。除了采取定期更新、安裝補丁的方式之外，技術(shù)人員還應(yīng)當(dāng)制定必要的安全策略，例如做好數(shù)據(jù)訪問與交互的授權(quán)，通過身份識別，保證了數(shù)據(jù)交互的安全性，避免了非法訪問的發(fā)生，避免了數(shù)據(jù)的泄漏或者丟失。同時，在此基礎(chǔ)上，增加DNS，通過這種技術(shù)手段，進一步提升防火墻的安全性。

5 結(jié)語

防火墻技術(shù)是網(wǎng)絡(luò)安全防護體系的重要組成。為保證正常網(wǎng)絡(luò)交互活動的順利進行，避免網(wǎng)絡(luò)攻擊行為的發(fā)生，減少各類損失，需要對防火墻的運行狀態(tài)進行評估，根據(jù)評估結(jié)果，采取不同的處理手段進行應(yīng)對，定期下載安裝防火墻補丁，不斷提升防火墻自身的防護能力，有效應(yīng)對新的安全風(fēng)險。

參考文獻：

[1]齊輝.計算機網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用的探討[J].通訊世界，2017（24）：9-10.

[2]劉星.計算機網(wǎng)絡(luò)安全中防火墻技術(shù)應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（09）：28-29.