防火墻技術(shù)在計算機網(wǎng)絡安全中的實踐探索

賀兵

摘要：計算機網(wǎng)絡技術(shù)的不斷發(fā)展，給人們?nèi)粘Ｉ詈凸ぷ鲙砹司薮蟮谋憷?，但在帶來諸多便利的同時，網(wǎng)絡安全事件也屢見不鮮。部分不法分子利用網(wǎng)絡安全漏洞牟取不當利益，從事非法活動，引發(fā)網(wǎng)絡安全問題。在計算機網(wǎng)絡中應用防火墻技術(shù)，能夠有效預防計算機網(wǎng)絡中存在的安全威脅，提高網(wǎng)絡安全性。本文從防火墻技術(shù)與網(wǎng)絡安全問題進行闡述與說明，希望能為網(wǎng)絡安全問題的解決提供部分參考價值。

關(guān)鍵詞： 計算機網(wǎng)絡 防火墻技術(shù) 信息安全

前言：

隨著科學技術(shù)的不斷發(fā)展，網(wǎng)絡技術(shù)也得到了極大地改進和完善，人們已經(jīng)進入到信息時代。網(wǎng)絡技術(shù)在改變?nèi)藗兩a(chǎn)生活模式和社會行業(yè)發(fā)展方向的同時，網(wǎng)絡安全威脅也給社會的和諧發(fā)展造成巨大風險。防火墻技術(shù)作為一種網(wǎng)絡安全防護技術(shù)在網(wǎng)絡安全領(lǐng)域中具有重要作用?？茖W運用防火墻相關(guān)技術(shù)提高網(wǎng)絡對黑客入侵攻擊、網(wǎng)絡病毒等方面的抵御能力，為充分發(fā)揮網(wǎng)絡技術(shù)對社會經(jīng)濟和人們工作生活的促進作用奠定了基礎(chǔ)。

1防火墻技術(shù)與網(wǎng)絡安全問題概述

1.1防火墻技術(shù)概述

防火墻技術(shù)一種網(wǎng)絡隔離防護技術(shù)，通過部署硬件設(shè)備和軟件系統(tǒng)，對計算機網(wǎng)絡中基于會話、用戶、應用和內(nèi)容進行訪問控制，只允許經(jīng)過授權(quán)的數(shù)據(jù)通過，實現(xiàn)有效、精確的管控。并且動態(tài)化檢測網(wǎng)絡數(shù)據(jù)包，對于監(jiān)測到存在安全隱患的網(wǎng)絡連接，主動攔截及中斷網(wǎng)絡傳輸，及時發(fā)出警報提醒，有效避免外部惡意網(wǎng)絡攻擊，從根本上保護網(wǎng)絡的安全性。同時還能不間斷地對網(wǎng)絡系統(tǒng)進行過濾，阻擋潛在的安全威脅，防止網(wǎng)絡病毒的入侵。此外，防火墻還會記錄訪問連接阻擋日志，幫助用戶了解潛在的安全問題，大大增強計算機網(wǎng)絡的安全防護能力。

1.2防火墻技術(shù)分類

防火墻技術(shù)主要分為包過濾防火墻、應用網(wǎng)關(guān)防火墻、狀態(tài)包檢測防火墻以及復合型防火墻。其中包過濾防火墻工作在網(wǎng)絡層，應用網(wǎng)關(guān)防火墻工作在應用層。（1）包過濾防火墻是根據(jù)數(shù)據(jù)包的源目地址、源目端口號以及協(xié)議類型等標識確定是否允許數(shù)據(jù)包訪問通過，在網(wǎng)絡層提供較低級別的安全防護和控制。（2）應用網(wǎng)關(guān)防火墻，能夠在應用層中繼兩個連接之間的特定類型的流量。進出網(wǎng)絡的應用程序報文都必須通過應用網(wǎng)關(guān)。當某應用客戶進程向服務器發(fā)送一份請求報文時，首先發(fā)送給應用網(wǎng)關(guān)設(shè)備，由應用網(wǎng)關(guān)打開該數(shù)據(jù)報文，查看該請求是否合法（可根據(jù)應用層用戶標識ID或其他應用層信息來確定）。如果請求合法，應用網(wǎng)關(guān)以客戶進程的身份將請求報文轉(zhuǎn)發(fā)給原始服務器。如果不合法，報文則被丟棄。（3）狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待，在狀態(tài)檢測防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的，例如為數(shù)據(jù)流的第一個報文建立會話，數(shù)據(jù)流內(nèi)的后續(xù)報文就會直接匹配會話轉(zhuǎn)發(fā)，不再需要再進行規(guī)則的檢查，提高了轉(zhuǎn)發(fā)效率。（4）復合型防火墻基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中包括VPN、IDS等功能，多單元融為一體，是一種新的技術(shù)突破。

1.3 防火墻在網(wǎng)絡安全中重要性

網(wǎng)絡技術(shù)的不斷發(fā)展，人們的網(wǎng)絡安全意識的不斷提升，防火墻技術(shù)是眾多網(wǎng)絡安全技術(shù)中的使用比較早、最為廣泛的技術(shù)之一，它不僅能夠在網(wǎng)絡和計算機系統(tǒng)受到威脅時主動攔截并發(fā)出警報提醒，還能從網(wǎng)絡連接的端口進行判斷來自外部的非法訪問，在網(wǎng)絡安全管理中起到了很大的促進作用，可以有效的對網(wǎng)絡非法入侵提供預警功能，將不安全的網(wǎng)絡數(shù)據(jù)包進行處理，對網(wǎng)絡安全起到有效的防御監(jiān)控作用，防火墻技術(shù)是網(wǎng)絡安全防御體系中防護效果非常好的網(wǎng)絡安全技術(shù)之一。

2網(wǎng)絡安全問題

網(wǎng)絡技術(shù)的飛速發(fā)展，人們的日常生活和工作已經(jīng)被計算機網(wǎng)絡覆蓋，在大數(shù)據(jù)環(huán)境下，計算機網(wǎng)絡的安全形勢愈發(fā)嚴峻。大部分計算機用戶的網(wǎng)絡安全防范意識不強，對個人信息的保護措施不到位、安全防護不及時，不經(jīng)意間會下載安裝帶有木馬病毒的軟件，使得個人的數(shù)據(jù)、信息等被盜取，嚴重情況下還會使得個人信息安全遭到侵害，給自身帶來極大的經(jīng)濟或是名譽損失。還有不法分子利用網(wǎng)絡漏洞攻擊政府機關(guān)、商業(yè)公司、企業(yè)等部門單位網(wǎng)絡系統(tǒng)，如果不加以防護的話，輕則干擾人們的日常生活，重則會造成巨大的經(jīng)濟損失，甚至威脅到國家的安全。維護計算機網(wǎng)絡安全并且采取針對性的應對策略，保證網(wǎng)絡中各類軟硬件、系統(tǒng)資源的安全，成了維護網(wǎng)絡安全的最終目的。

3防火墻技術(shù)在網(wǎng)絡安全中的實現(xiàn)

3.1防火墻技術(shù)在訪問策略方面的應用

在網(wǎng)絡安全中最常見的防火墻技術(shù)應用是訪問策略。在創(chuàng)建訪問策略時，需要梳理網(wǎng)絡中各種訪問服務信息、網(wǎng)絡連接訪問要求，定義防火墻區(qū)域，根據(jù)網(wǎng)絡的運行實際情況，規(guī)劃詳細的訪問策略，一般訪問策略要求細化到IP地址、具體服務端口號，網(wǎng)絡數(shù)據(jù)訪問流向，而且訪問策略名稱可讀性要強。在實際應用過程中，結(jié)合網(wǎng)絡安全的需求以及訪問策略的應用場景，進行適當?shù)牟呗哉{(diào)整，體現(xiàn)最小化原則和最優(yōu)保護。防火墻訪問策略應用時，防火墻將對訪問策略所有活動進行詳細記錄，根據(jù)訪問策略表作為執(zhí)行匹配順序，提高網(wǎng)絡安全防護的效率，有效提升計算機網(wǎng)絡的安全性。

3.2防火墻技術(shù)在安全部署方面的應用

防火墻技術(shù)在實際應用場景中，為了更好的防止外部網(wǎng)絡攻擊，防火墻一般部署于內(nèi)部網(wǎng)絡出口處，有效阻止來自外部網(wǎng)絡的攻擊。特別要說的是對于一些大規(guī)模的企業(yè)和單位，最好在各個網(wǎng)絡區(qū)域邊界部署防火墻，實現(xiàn)網(wǎng)絡各個區(qū)域間的訪問控制。在具體部署上，要求確定內(nèi)部區(qū)域防火墻和出口防火墻的功能需求和防護控制策略，按照要求配置關(guān)鍵區(qū)域防火墻和邊界防火墻設(shè)備，讓內(nèi)部關(guān)鍵區(qū)域防火墻實現(xiàn)細粒度訪問控制和提供深層次的檢測與告警，在出口邊界防火墻上劃分DMZ區(qū)域，區(qū)域內(nèi)連接業(yè)務服務器，對外提供相關(guān)業(yè)務訪問服務，充分發(fā)揮出防火墻的防御和設(shè)備功能。還可以通過防火墻NAT轉(zhuǎn)換技術(shù)，對外映射內(nèi)部網(wǎng)絡中特定的主機地址，隱藏內(nèi)網(wǎng)結(jié)構(gòu)以及計算機的真實 IP 地址，從而有效的提高內(nèi)部網(wǎng)絡的安全性，還能在一定程度上減少公網(wǎng) IP 地址的使用情況以及數(shù)量。

3.3防火墻技術(shù)在日志監(jiān)控方面的應用

網(wǎng)絡管理人員對日志信息進行采集的時候，大多數(shù)要對所有日志信息進行收集，操作起來費時費力，經(jīng)過防火墻的數(shù)據(jù)信息量又十分的龐大，收集的信息一旦出現(xiàn)差錯，可能就會漏掉非常重要信息。防火墻技術(shù)，能夠以訪問日志方式來詳細準確記錄用戶網(wǎng)絡訪問信息，以及網(wǎng)絡之間連接信息，幫助網(wǎng)絡管理人員溯源各種網(wǎng)絡安全問題。比如，在運用防火墻的信息記錄與統(tǒng)計功能來確保自身網(wǎng)絡的安全時，可以根據(jù)用戶的網(wǎng)絡使用情況生成具有針對性與準確性的日志，管理人員可以根據(jù)自身需求對不同日志信息進行匯總與分析，根據(jù)不同類型信息特征和用途來調(diào)整監(jiān)管方式，提高日志監(jiān)控信息的全面性與實用性，有效降低網(wǎng)絡遭受入侵和攻擊的可能性。

3.4防火墻技術(shù)與入侵檢測系統(tǒng)聯(lián)動防御

一套成熟的網(wǎng)絡安全防御系統(tǒng)，要能夠?qū)W(wǎng)絡非法入侵者身份進行檢測、篩選、分析，如果確定為非法入侵行為，將會及時作出報警提示，以便于網(wǎng)絡管理者及時解決網(wǎng)絡安全威脅問題。雖然這種被動防御方式不能實現(xiàn)完全防御，但是其檢測速度快，報警提示及時，便于網(wǎng)絡管理人員及時做出應對措施去抵御網(wǎng)絡攻擊。將防火墻技術(shù)與入侵檢測系統(tǒng)有效融合，入侵檢測系統(tǒng)可以有效彌補防火墻的靜態(tài)防御方面的不足。當網(wǎng)絡中入侵檢測系統(tǒng)檢測到有攻擊者入侵時，入侵檢測系統(tǒng)立即將非法操作、入侵行為信息傳遞至防火墻，由防火墻系統(tǒng)自動或網(wǎng)絡管理員手動方式針對入侵行為作出有效的阻斷和防御。在網(wǎng)絡整體防御上起到很好的設(shè)備聯(lián)動防御效果，由入侵檢測系統(tǒng)配合防火墻系統(tǒng)共同防護網(wǎng)絡，使防火墻系統(tǒng)能夠更好的抵御內(nèi)外部網(wǎng)絡的攻擊。

4總結(jié)

防火墻是網(wǎng)絡安全最為常用的防御技術(shù)，在當前網(wǎng)絡安全防護方面也是最有效的技術(shù)手段，隨著新技術(shù)、新需求不斷涌現(xiàn)，防火墻會變得更加高級和智能，在網(wǎng)絡安全中的使用領(lǐng)域也會變得越來越廣泛。但是，單靠防火墻技術(shù)很難應付復雜多變的網(wǎng)絡攻擊，不僅需要加強防火墻技術(shù)的研究與改革創(chuàng)新，從而使其能夠在網(wǎng)絡安全防御體系中發(fā)揮出更大的作用。并且通過完善、健全網(wǎng)絡安全管理工作制度，提高網(wǎng)絡管理人員安全防護意識，更好地保護計算機網(wǎng)絡安全。

參考文獻

[1]郭斯夢.網(wǎng)絡時代的云安全技術(shù)分析[J].中國新通信，2018，0（11）：23-24.

[2]韓戴鴻，鄔顯豪，徐彬凌，胡大川，錢誠.電子政務系統(tǒng)網(wǎng)絡安全的研究與應用分析[J].電子世界，2018，0（12）：76-76.

[3]吳青.云安全技術(shù)在企業(yè)網(wǎng)絡安全中的應用[J].中國新通信，2019，0（18）：87-87.