防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用研究

徐暢

引言

信息時代下，誠然網(wǎng)絡(luò)技術(shù)的快速發(fā)展給企業(yè)帶來了一系列的發(fā)展。但是，網(wǎng)絡(luò)技術(shù)再怎么發(fā)達，它仍然有弊端，如果處理不好，將會對企業(yè)造成不必要的損失。尤其是近幾年隨著國際格局的變化，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)破壞、網(wǎng)絡(luò)安全等問題層出不窮，企業(yè)財務(wù)和私人信息被盜取的情況頻繁出現(xiàn)，黑客與病毒的入侵導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，嚴重影響企業(yè)的正常運轉(zhuǎn)。相關(guān)部門一直在研究先進的網(wǎng)絡(luò)安全防護技術(shù)，并且致力于將其科學(xué)合理地應(yīng)用到計算機網(wǎng)絡(luò)中。其中應(yīng)用防火墻技術(shù)可以阻止外來的非法用戶進入用戶自身的網(wǎng)絡(luò)，從而對計算機網(wǎng)絡(luò)和系統(tǒng)進行有效的保護[1]，在企業(yè)網(wǎng)絡(luò)安全保障中有著不可替代的地位。同時隨著網(wǎng)絡(luò)攻擊手段的不斷升級，防火墻扮演的角色也發(fā)生變化，對此必須提高重視，通過充分應(yīng)用防火墻技術(shù)真正做好企業(yè)網(wǎng)絡(luò)安全防護工作，為企業(yè)發(fā)展保駕護航。

一、防火墻技術(shù)概述

防火墻指的是設(shè)置在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的防御系統(tǒng)，可以有效增強計算機網(wǎng)絡(luò)的信息安全性。目前主要使用的防火墻技術(shù)有以下幾種類型：第一是系統(tǒng)自帶的防火墻，比如windows系統(tǒng)為用戶提供的防火墻服務(wù)，用戶可以選擇打開或者關(guān)閉，但多數(shù)用戶為了不影響計算網(wǎng)絡(luò)的性能都會選擇關(guān)閉防火墻，而這也是引發(fā)計算機網(wǎng)絡(luò)信息安全問題的原因之一。第二是各種安全防護軟件，比較有代表性的是360安全衛(wèi)士、騰訊安全衛(wèi)士等，在防止木馬病毒攻擊等方面具有較好的效果。第三是對信息安全要求較高的部門或者企業(yè)自行開發(fā)的防火墻，這類防火墻具有極其強大的防護能力，可以精準識別各種有害信息。計算機網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，影響信息安全的因素越來越多，相關(guān)攻擊手段在不斷變化，因此需要不斷更新和完善防火墻技術(shù)，這樣才能保證其具備最強大的防護能力。

雖然防火墻技術(shù)可以有效保障計算機網(wǎng)絡(luò)信息安全，但其本身也具有一定劣勢，比如防火墻不能完全抵擋所有電腦病毒的攻擊，一些較為復(fù)雜的電腦病毒還需要由專業(yè)人員使用專業(yè)工具進行解決，甚至需要重新安裝計算機系統(tǒng)才能將病毒完全排除。而且防火墻會對計算機網(wǎng)絡(luò)的性能產(chǎn)生一定影響，因此很多人為了保證計算機網(wǎng)絡(luò)的最優(yōu)性能會選擇關(guān)閉。

二、防火墻特性及類型

（一）分組過濾型防火墻

在防火墻技術(shù)中，分組過濾型防火墻是基礎(chǔ)，其功能十分重要。在計算機網(wǎng)絡(luò)的安全性方面，采用包過濾式的防火墻技術(shù)，不但十分簡便，而且能夠?qū)崟r地處理網(wǎng)絡(luò)所接入的各種設(shè)備。另外，對于某些IP端口和TCP端口號，可以根據(jù)實際情況進行調(diào)整，如在采用防火墻技術(shù)時，允許或禁用消息。通過對數(shù)據(jù)包進行檢測和處理（過程如圖1所示），有效地控制在數(shù)據(jù)包周圍的所有網(wǎng)絡(luò)。一般說來，這種技術(shù)更多地被使用者所采用。與其他的技術(shù)相比，包過濾式的網(wǎng)絡(luò)防火墻具有快速、高效的數(shù)據(jù)傳遞能力。在采用包過濾式防火墻技術(shù)的過程中，對使用者具有高度的開放程度。另外，采用這種技術(shù)只能在電腦內(nèi)進行傳輸，如果沒有清晰的消息源，則無法透過包過濾式的防火墻。

圖1 包過濾防火墻數(shù)據(jù)包處理過程

（二）網(wǎng)關(guān)型防火墻

此類防火墻技術(shù)具有較強的防護能力，而且在使用過程中還可以不斷進行自我升級，能夠有效應(yīng)對大部分木馬病毒和黑客攻擊。使用這種防火墻技術(shù)過程中，會多次驗證正在傳輸?shù)臄?shù)據(jù)，只有數(shù)據(jù)通過驗證才能夠傳輸成功，如果出現(xiàn)了驗證不成功的情況，可以立即提示并阻止數(shù)據(jù)傳輸。通常情況下網(wǎng)絡(luò)級防火墻的默認規(guī)則是要求防護墻丟棄該IP包，以防止惡意非法信息入侵計算機系統(tǒng)。網(wǎng)關(guān)防火墻技術(shù)共有兩種，其一是直通式防火墻，其二是連接網(wǎng)關(guān)防火墻，后者擁有比較多的認證信息條款，前者的使用比較簡便，用戶可以根據(jù)需求隨意選擇。

（三）代理服務(wù)型防火墻

代理防火墻主要是在特定的技術(shù)支持下，防火墻通過參與另外一個TCP連接的過程，從而使得防火墻順利運行。其工作原理是如果要瀏覽網(wǎng)絡(luò)則讓代理服務(wù)器進行審查，對請求和設(shè)置的防火墻策略進行比較，如果符合就向地址信息發(fā)送請求，取回信息之后，由防火墻發(fā)給客戶的計算機，提高企業(yè)網(wǎng)絡(luò)整體的安全性。

（四）復(fù)合型防火墻

復(fù)合型防火墻不僅具備包過濾與代理技術(shù)的優(yōu)點，還具備二者不曾擁有的綜合性，大大保障了企業(yè)網(wǎng)絡(luò)的穩(wěn)定性與安全性，使單一種類防火墻技術(shù)的缺點得以彌補。其工作原理是數(shù)據(jù)包過濾性和代理服務(wù)相結(jié)合的防護墻，具有非常高的靈活性和安全性。此外復(fù)合型防火墻還可以對企業(yè)的計算機網(wǎng)絡(luò)實行多重防護，不僅可以實現(xiàn)對于重要信息的實時監(jiān)控，還能有效排除惡意信息。

三、企業(yè)網(wǎng)絡(luò)安全使用過程中存在的問題

（一）網(wǎng)絡(luò)軟件存在漏洞

為確保企業(yè)在競爭中保持優(yōu)勢，必然會依賴網(wǎng)絡(luò)軟件。然而即便網(wǎng)絡(luò)軟件歷經(jīng)數(shù)次版本更迭，網(wǎng)絡(luò)漏洞的產(chǎn)生始終不可避免，這就容易給黑客留下可乘之機。黑客利用軟件中的安全漏洞，去竊取企業(yè)的信息或是植入木馬等?；仡櫄v年來的黑客攻擊企業(yè)事件，網(wǎng)絡(luò)軟件漏洞的危害始終不容小覷。

（二）人為因素導(dǎo)致的失誤

人為因素導(dǎo)致的失誤在企業(yè)網(wǎng)絡(luò)工作中的影響也是較為廣泛的，按照當事人的主觀意圖可分為無意失誤與惡意失誤兩種。無意失誤系操作人員安全配置不當或企業(yè)用戶安全意識的匱乏，進而導(dǎo)致企業(yè)網(wǎng)絡(luò)安全漏洞的產(chǎn)生。而人為的惡意失誤也是危害企業(yè)網(wǎng)絡(luò)安全的重要因素之一。人為的惡意因素導(dǎo)致的網(wǎng)絡(luò)安全問題主要包括被動攻擊和主動攻擊兩個方面。所謂被動攻擊主要指的是不影響網(wǎng)絡(luò)工作為基礎(chǔ)進行的破譯、盜竊以及截獲信息等，進而造成機密核心數(shù)據(jù)信息的丟失。所謂主動攻擊指的是使用不同的方法對企業(yè)數(shù)據(jù)信息進行選擇性地破壞，使得信息的完整性和有效性遭到嚴重的破壞[2]。無論是哪一種攻擊都會導(dǎo)致企業(yè)的網(wǎng)絡(luò)安全受到威脅，進而導(dǎo)致企業(yè)的數(shù)據(jù)信息發(fā)生泄露，影響企業(yè)的發(fā)展。

（三）網(wǎng)絡(luò)大環(huán)境不固定

現(xiàn)階段網(wǎng)絡(luò)的使用已經(jīng)遍及全球，其面臨的社會大環(huán)境非常不固定，這也是企業(yè)網(wǎng)絡(luò)安全所面臨的問題之一。當前的網(wǎng)絡(luò)終端使用權(quán)限缺乏完善性，在應(yīng)用互聯(lián)網(wǎng)的過程中掌控權(quán)也相對不足，加之企業(yè)內(nèi)部的網(wǎng)絡(luò)維護較差，使得外部力量對企業(yè)網(wǎng)絡(luò)的攻擊時有發(fā)生，企業(yè)網(wǎng)絡(luò)面臨非常大的風(fēng)險。企業(yè)網(wǎng)絡(luò)安全面臨來自全球網(wǎng)絡(luò)的破壞性攻擊，進而嚴重影響到企業(yè)的發(fā)展。

（四）網(wǎng)絡(luò)終端過度開放

互聯(lián)網(wǎng)的迅速發(fā)展使得信息互通有無成為可能，資訊實現(xiàn)全球共享。如此龐大的資源互通性使得網(wǎng)絡(luò)的使用者對網(wǎng)絡(luò)開放性的要求十分之大。因此，企業(yè)網(wǎng)絡(luò)會受到外部攻擊的開放性也逐漸增大。另外，由于互聯(lián)網(wǎng)終端的過度開放，互聯(lián)網(wǎng)使用的廣度和深度無法得到保障，因此網(wǎng)絡(luò)安全管理難度逐漸增大，企業(yè)的網(wǎng)絡(luò)安全受到影響。

（五）網(wǎng)絡(luò)訪問相對不受限

由于近年來的網(wǎng)絡(luò)形勢非常迅猛，因此互聯(lián)網(wǎng)的弊端也不斷涌現(xiàn)。追溯網(wǎng)絡(luò)發(fā)展史，在網(wǎng)絡(luò)普及的最初階段網(wǎng)絡(luò)的使用者并沒有進行技術(shù)約定，因此網(wǎng)絡(luò)的訪問權(quán)限基本上處于完全開放的狀態(tài)。由于網(wǎng)絡(luò)訪問不受限制，因此各種題材的網(wǎng)絡(luò)信息都會出現(xiàn)，網(wǎng)絡(luò)市場良莠不齊，弊端不斷顯現(xiàn)。由于網(wǎng)絡(luò)訪問不受限，企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)無法得到充分的保障，進而影響企業(yè)的良性發(fā)展。

四、企業(yè)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用要點

（一）明確導(dǎo)致信息安全問題的主要原因

明確導(dǎo)致信息安全問題原因，具體有以下幾個方面。第一是黑客攻擊，這是引發(fā)計算機網(wǎng)絡(luò)信息安全問題中最常見的一種，通常黑客都會利用系統(tǒng)漏洞或者借助木馬病毒等入侵用戶的計算機，然后竊取信息，一部分黑客在竊取信息的同時不會留下任何痕跡，因此不會對計算機網(wǎng)絡(luò)造成任何影響，但有些黑客在竊取信息的同時還會破壞信息完整性，導(dǎo)致用戶無法正常使用。第二是用戶錯誤操作，有些用戶由于不懂得如何正確使用計算機網(wǎng)絡(luò)，比如在使用U盤等移動存儲設(shè)備過程中沒有使用防護軟件進行掃描，使用過程中感染了木馬病毒，進而導(dǎo)致信息安全問題。第三是大量的垃圾信息，雖然垃圾信息本身不會損害計算機網(wǎng)絡(luò)信息安全，但如果信息量過大會直接導(dǎo)致系統(tǒng)崩潰，甚至損壞，這樣儲存在計算機網(wǎng)絡(luò)當中的信息就無法再次使用。第四是系統(tǒng)的漏洞和防火墻漏洞，系統(tǒng)漏洞可能會導(dǎo)致計算機網(wǎng)絡(luò)無法正常運行，或者在使用過程中破壞信息的完整性，而防火墻出現(xiàn)漏洞會導(dǎo)致計算機網(wǎng)絡(luò)非常容易受到攻擊。

（二）對訪問形式進行科學(xué)的配置

在進行計算機設(shè)備應(yīng)用的過程中，要想保證操作形式更加安全，需要對訪問形式進行科學(xué)的配置，這也是防火墻技術(shù)應(yīng)用時，非常重要的一項內(nèi)容，可以提高信息數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性。一般情況下運營商首先要對計算機設(shè)備進行全面了解，并且對功能進行科學(xué)劃分，然后通過詳細的說明和指令的配置，提高訪問策略的科學(xué)性，使得計算機設(shè)備在運行時更加高效。在進行防火墻技術(shù)配置的過程中，可以提高計算機網(wǎng)絡(luò)運行的安全系數(shù)。運營商要對計算機設(shè)備的內(nèi)部應(yīng)用和外部環(huán)境進行全面分析，并且明確企業(yè)的原始地址，設(shè)置TCP端口和UDP端口以及IP地址，嚴格按照設(shè)置順序，對其進行科學(xué)的配置。在進行防火墻技術(shù)應(yīng)用時，要想提高配置的安全性，要根據(jù)計算機網(wǎng)絡(luò)的類型，對信息數(shù)據(jù)進行有效的分析，并且做好分類。要對不同類型的信息數(shù)據(jù)進行科學(xué)的儲存，并且根據(jù)不同部門的建設(shè)要求以及應(yīng)用的設(shè)置需求，采取針對性的防護措施[3]。不僅要做好外部環(huán)境的防護，還要加強內(nèi)部環(huán)境的管理，避免在進行信息數(shù)據(jù)傳輸時，出現(xiàn)安全性風(fēng)險問題。要制定針對性的措施，對網(wǎng)站的安全性進行自動檢測和調(diào)查。應(yīng)用不同網(wǎng)站時，需要對信息的安全因素進行充分考慮，并且制定針對性的防護措施，提高計算機網(wǎng)絡(luò)的運行效率。在應(yīng)用這項技術(shù)時，還可以對系統(tǒng)中的漏洞進行全面的檢查。在對計算機系統(tǒng)進行更新和升級之后，融合防火墻技術(shù)可以對系統(tǒng)運行過程中存在的一些漏洞和隱患問題進行自動檢測，并且發(fā)出相應(yīng)的警示信息。確保用戶在使用時，能夠?qū)ο嚓P(guān)問題進行及時的發(fā)現(xiàn)和解決。

（三）加強網(wǎng)絡(luò)日志的監(jiān)控

現(xiàn)階段，部分計算機用戶在對計算網(wǎng)絡(luò)應(yīng)用期間，會習(xí)慣使用防火墻防護的記錄來解析儲存在電腦內(nèi)的資料，確保使用者能夠獲得較多的資訊。因此，為了提高計算機的安全性能，必須加強對網(wǎng)絡(luò)的記錄能力的監(jiān)測。當使用防火墻技術(shù)進行日志解析時，使用者無需擔心任何影響，也無需擔心整個過程的繁瑣，只需專注于最重要的情報即可。

在日常電腦網(wǎng)絡(luò)的安全保護過程中，由于需要進行較多的工作，因此，在保護過程中，會產(chǎn)生許多工作記錄。因此，在監(jiān)測系統(tǒng)的運行中，必須根據(jù)當前的實際情況，對不同類型的數(shù)據(jù)進行適當?shù)姆指?，使?shù)據(jù)收集更為方便，同時也能完全杜絕惡意入侵行為，確保網(wǎng)絡(luò)的安全性。另外，準確地錄入防火墻的告警，加強對其的管理，使企業(yè)對防火墻的性能有進一步的認識，了解電腦的網(wǎng)絡(luò)安全性，提高對網(wǎng)絡(luò)的有效防護。

（四）網(wǎng)絡(luò)安全策略中應(yīng)用防火墻技術(shù)

在網(wǎng)絡(luò)安全策略中應(yīng)用防火墻技術(shù)就是要求加強以防火墻為核心的一系列安全策略，將一些安全信息配置到防火墻上，例如，將口令、運行身份、認證、審查、加密等重要安全信息配置到防火墻上，與過去安全信息分散在其他主機或部位的策略相比較，集中配置在防火墻上的策略使其管理更加方便，安全性能也大大提高，實現(xiàn)了投入少、獲益高的目的。首先，在控制面板上設(shè)置防火墻的基礎(chǔ)信息；然后，將動態(tài)IP地址轉(zhuǎn)換成靜態(tài)IP，借助于映射的方式構(gòu)建虛擬網(wǎng)絡(luò)IP，從而生成安全防護策略；最后，再將整個網(wǎng)絡(luò)系統(tǒng)的安全策略添加至防火墻的安全策略中，保證每一個安全策略都可以持續(xù)平穩(wěn)的運行，發(fā)揮防火墻的最大防護功能[4]。

（五）定時更新病毒庫

對那些聯(lián)網(wǎng)的計算機來說，計算機中不但存在著大量的數(shù)據(jù)和信息，而且和不聯(lián)網(wǎng)的計算機相比較也很容易遭到各種類型病毒的入侵，這會嚴重威脅用戶的個人財產(chǎn)數(shù)據(jù)及信息。另外，在企業(yè)中，當一臺設(shè)備的計算機受到病毒的入侵，就很可能會導(dǎo)致整個企業(yè)的計算機和網(wǎng)絡(luò)安全都遭受病毒的入侵，嚴重的可能會造成網(wǎng)絡(luò)癱瘓等，進而影響企業(yè)的正常運行[5]。雖然防火墻可以對一些病毒起到一定的防護作用，但是由于病毒更新?lián)Q代得比較快，致使防火墻不能完全地防護網(wǎng)絡(luò)病毒。所以，防火墻技術(shù)要定期更新病毒庫，以提升計算機網(wǎng)絡(luò)安全性。

結(jié)束語

綜上所述，企業(yè)網(wǎng)絡(luò)安全管理工作是一個長期的過程，并逐漸與企業(yè)今后的發(fā)展形成緊密的聯(lián)系。因此，必須加強防火墻等技術(shù)手段的應(yīng)用，以提高網(wǎng)絡(luò)安全，確保信息數(shù)據(jù)的安全。防火墻技術(shù)屬于基礎(chǔ)性的防護措施，雖然為網(wǎng)絡(luò)安全問題掃除了一部分問題，一定程度上確保了企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運行，但是仍然存在一些固有障礙有待消除。為此企業(yè)需要在現(xiàn)有防火墻技術(shù)的基礎(chǔ)上，對其進行持續(xù)的改善和優(yōu)化，提升企業(yè)市場核心競爭力。只有確保網(wǎng)絡(luò)安全管理到位并不斷創(chuàng)新，方可確保生產(chǎn)經(jīng)營活動正常開展。