基于計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的實踐研究

王子華

（吉林省肝膽病醫(yī)院，吉林長春 130000）

防火墻技術(shù)作為一項計算機網(wǎng)絡(luò)保護技術(shù)，可以提升計算機網(wǎng)絡(luò)安全防護等級，避免網(wǎng)絡(luò)惡意攻擊，為用戶的正常使用提供重要保障。對此相關(guān)工作者應(yīng)加強計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)的深入分析探討，不斷提高計算機網(wǎng)絡(luò)安全保護水平。

1.防火墻技術(shù)概述

防火墻技術(shù)作為計算機網(wǎng)絡(luò)的重要部分，其主要由兩部分組成，即計算機硬件和軟件。防火墻主要用于連接計算機內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，將其設(shè)置網(wǎng)絡(luò)便捷，以保護網(wǎng)絡(luò)數(shù)據(jù)的安全，避免信息數(shù)據(jù)泄露、惡意攻擊等問題的發(fā)生。按照不同的使用場景，防火墻主要分為過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、服務(wù)防火墻以及監(jiān)控防火墻四種，不同類型防火墻在計算機網(wǎng)絡(luò)中發(fā)揮著不同的作用。防火墻的功能主要包括4個方面：（1）網(wǎng)絡(luò)安全屏障。防火墻可以過濾潛在危險，進入計算機網(wǎng)絡(luò)中的信息，都需要通過防火墻的過濾，保證信息安全后，才能進入計算機網(wǎng)絡(luò)中。（2）網(wǎng)絡(luò)安全策略。在計算機安全網(wǎng)絡(luò)中，如果采取的安全策略，是以防火墻為中心的網(wǎng)絡(luò)安全策略，那么就可以配置相關(guān)的安全軟件，如加密、審計、身份認(rèn)證等，可以將其配置在防火墻上。（3）監(jiān)控審計。防火墻具有日志記錄功能，將記錄以及匯總的信息數(shù)據(jù)進行分析，一旦發(fā)現(xiàn)隱藏的風(fēng)險，防火墻就會及時報警。（4）防止內(nèi)部信息外泄。防火墻針對內(nèi)部全局網(wǎng)絡(luò)，可以區(qū)分出重點網(wǎng)絡(luò)或者敏感網(wǎng)絡(luò)，對此采取安全監(jiān)控措施，如果其他局部網(wǎng)絡(luò)出現(xiàn)問題，重點網(wǎng)絡(luò)或者敏感網(wǎng)絡(luò)則不會受到影響[1]。

2.計算機網(wǎng)絡(luò)安全問題產(chǎn)生的原因

2.1 人為因素

計算機本身系統(tǒng)具有較強的安全性，在一定程度上，可以防止網(wǎng)絡(luò)安全的入侵。但是不同的用戶，安全意識、操作能力存在一定的差異，安全意識或者操作能力不足，用戶就會違規(guī)點擊一些惡意網(wǎng)站，就會給計算機網(wǎng)絡(luò)帶來安全風(fēng)險，造成用戶隱私的泄露、信息數(shù)據(jù)的泄露，會給用戶個人以及企業(yè)都會帶來較大的不利影響。

2.2 環(huán)境因素

環(huán)境因素也是造成計算機網(wǎng)絡(luò)安全問題的主要原因之一。環(huán)境因素主要分為兩個方面，一方面是自然因素。這方面是指由于計算機的硬件設(shè)備念舊失修造成的設(shè)備老化問題，技術(shù)人員沒有及時的進行更新，就會影響計算機網(wǎng)絡(luò)的運行性能，進而造成計算機網(wǎng)絡(luò)安全問題；另一方面是運行因素?；谟嬎銠C網(wǎng)絡(luò)開放性和共享性的特點，在一定程度上，提高了計算機網(wǎng)絡(luò)管理難度，容易用戶不注意網(wǎng)絡(luò)信息數(shù)據(jù)的發(fā)布，很容易造成計算機網(wǎng)絡(luò)安全問題。

2.3 病毒因素

計算機網(wǎng)絡(luò)出現(xiàn)安全問題很有可能是病毒因素，計算機網(wǎng)絡(luò)中，可能會潛藏一些計算機病毒，這些潛藏的病毒不宜被發(fā)現(xiàn)，還可能與其他文件進行融合，會給計算機網(wǎng)絡(luò)的運行造成嚴(yán)重的不利影響。計算機病毒有很多種類型，不同的計算機病毒會給網(wǎng)絡(luò)造成不利影響，嚴(yán)重的會造成計算機癱瘓。

3.基于計算機網(wǎng)絡(luò)安全中防火墻技術(shù)實踐應(yīng)用措施

3.1 篩選路由器

篩選路由器作為防火墻的主要構(gòu)件之一，也是一種強有力的機制。具體表現(xiàn)對于任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型，篩選路由器都可以實現(xiàn)良好的控制，這樣就可以篩選對網(wǎng)絡(luò)安全產(chǎn)生有害的服務(wù)。在篩選路由器應(yīng)用過程中，主要應(yīng)考慮以下兩個方面：（1）識別危險區(qū)域。針對計算機網(wǎng)絡(luò)中的安全問題，通過篩選路由器，可以對它們進行有效識別。由于在計算機網(wǎng)絡(luò)中的危險有很多，所以對外來攻擊進行有效的防范至關(guān)重要。篩選路由器不僅可以識別風(fēng)險，還可以消除中網(wǎng)絡(luò)中的危險因素，避免滲透到網(wǎng)絡(luò)安全防線之內(nèi)。（2）要考慮篩選路由器和OSI模型的關(guān)系。在計算機網(wǎng)絡(luò)中，建立安全放線，還應(yīng)充分篩選路由器和OSI模型之間的關(guān)系，按照與OSI模型的關(guān)系，對比篩選路由器與網(wǎng)絡(luò)層和傳輸層，所起到的功能。對于防火墻，則在OSI模型中常被描述網(wǎng)關(guān)，并且在第七層執(zhí)行處理功能[2]。

3.2 分組過濾技術(shù)

篩選路由器想要提升網(wǎng)絡(luò)的安全性，可以通過分組過濾功能來實現(xiàn)。目前許多商業(yè)防火墻產(chǎn)品，可以實現(xiàn)篩選功能。但是許多商業(yè)路由器，主要起到的是分組過濾功能，該功能主要是通過編程來實現(xiàn)的。在分組過濾技術(shù)應(yīng)用過程中，主要考慮的是以下幾個方面：（1）分組過濾和網(wǎng)絡(luò)安全策略。通過分組過濾，可以加強計算機網(wǎng)絡(luò)中資源和服務(wù)的保護，以便于落實許多網(wǎng)絡(luò)安全策略，達到網(wǎng)絡(luò)安全的目的。網(wǎng)絡(luò)安全策略不具備監(jiān)控內(nèi)部用戶的功能，在計算機網(wǎng)絡(luò)中，主要起到的是防止外來入侵的作用。與此同時與防火墻產(chǎn)品相比，網(wǎng)絡(luò)安全策略更具體透明性，這主要取決于分組過濾，它不執(zhí)行于應(yīng)用層，而是執(zhí)行在OSI模型的網(wǎng)絡(luò)層和傳輸層[3]。（2）分組過濾簡單模型。計算機網(wǎng)絡(luò)中的分組過濾裝置，對于每一個端口，都可以實現(xiàn)落網(wǎng)安全策略。（3）分組過濾掉操作。在分組過濾裝置操作過程中，還應(yīng)遵循一定的操作原則，這樣才能充分發(fā)揮分組過濾器的功能。例如在配置分組過濾規(guī)則時，需要將其設(shè)置在分組過濾裝置的有關(guān)端口中，并且必須做到按照正確的順利排列，否則某種合法訪問可能就會被拒絕，影響用戶的使用。

3.3 雙宿主機

多宿主機主要是指主機中有多個網(wǎng)絡(luò)接口。連接主機的多個網(wǎng)絡(luò)接口，其中每個接口還與一個網(wǎng)絡(luò)相連接。多宿主機可以起到尋徑功能，如果該功能被禁止，則主機與網(wǎng)絡(luò)之間，通信流量被隔離，但是對于主機提供的網(wǎng)絡(luò)應(yīng)用，與它相連的網(wǎng)絡(luò)，都可以執(zhí)行。在雙宿主機運行過程中，主要考慮的是以下幾個方面：（1）禁止尋徑。對于雙宿主機防火墻，需要充分了解如何禁止其尋徑功能。想要實現(xiàn)這一目的，可以進行重新配置并且編譯內(nèi)核。（2）保護雙宿主機的安全。想要保證雙宿主機的安全性，必須了解如何能夠?qū)﹄p宿主機的防火墻安全產(chǎn)生破壞。針對具體的破壞原因，采取針對性的安全防護措施。雙宿主機的權(quán)限被破壞者掌握，攻擊者獲得雙宿主機的權(quán)限，可以通過登陸雙宿主機的方式，對內(nèi)核變量的值進行改變，使得IP轉(zhuǎn)發(fā)，進而屏蔽掉防火墻機制。（3）服務(wù)功能。在雙宿主機防火墻中，還存在一些風(fēng)險程序、工具以及服務(wù)，如果不移走，可能會計算機網(wǎng)絡(luò)產(chǎn)生不利影響。因此為了保護計算機網(wǎng)絡(luò)安全，需要將這些影響風(fēng)險程序、工具以及服務(wù)移走，例如需要用戶移走自己不了解程序、移走鏈接器等程序開發(fā)工具、刪除不需要網(wǎng)絡(luò)服務(wù)以及專門賬號[4]。

4.總結(jié)

防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中發(fā)揮了至關(guān)重要的作用。為了保護計算機網(wǎng)絡(luò)安全，需要加強對防火墻技術(shù)的分析探討，明確防火墻技術(shù)所起到的功能作用，與此同時還應(yīng)充分分析造成計算機網(wǎng)絡(luò)安全問題的主要影響因素，通過防火墻技術(shù)，提高計算機網(wǎng)絡(luò)的安全性能，避免外界攻擊對計算機網(wǎng)絡(luò)產(chǎn)生的不利影響，不斷加強用戶的安全意識，保證計算機網(wǎng)絡(luò)安全運行。