計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系中防火墻技術(shù)的應(yīng)用分析

摘要：網(wǎng)絡(luò)安全問題日益突出，成為各類組織和個(gè)人的重要挑戰(zhàn)。文章探討防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用與實(shí)踐，分析其關(guān)鍵技術(shù)及在包過(guò)濾、屏蔽主機(jī)、屏蔽子網(wǎng)和Web應(yīng)用中的具體應(yīng)用方法。研究采用文獻(xiàn)分析、案例研究和實(shí)驗(yàn)研究等方法，以期為網(wǎng)絡(luò)安全領(lǐng)域的研究和實(shí)踐提供參考與支持。

關(guān)鍵詞：防火墻技術(shù)；計(jì)算機(jī)網(wǎng)絡(luò)安全；安全運(yùn)用

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）34-0086-03開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

0引言

計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中發(fā)揮著越來(lái)越重要的作用，與此同時(shí)，網(wǎng)絡(luò)安全威脅也不斷增加，網(wǎng)絡(luò)攻擊日益頻繁且復(fù)雜。為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受惡意入侵和數(shù)據(jù)泄露，防火墻技術(shù)作為主要的網(wǎng)絡(luò)安全防護(hù)手段得到廣泛應(yīng)用。它通過(guò)監(jiān)控和控制數(shù)據(jù)流進(jìn)出網(wǎng)絡(luò)，執(zhí)行安全策略，保護(hù)目標(biāo)系統(tǒng)免受攻擊。

1防火墻關(guān)鍵技術(shù)分析

防火墻技術(shù)主要包括以下幾個(gè)關(guān)鍵組成部分（如圖1所示）：

1.1數(shù)據(jù)包過(guò)濾

分析防火墻技術(shù)時(shí)，數(shù)據(jù)包過(guò)濾是基礎(chǔ)且核心的功能。IP數(shù)據(jù)包由固定首部和可選字段組成，后接TCP頭部，其中源/目的端口是關(guān)鍵的流向控制標(biāo)識(shí)。數(shù)據(jù)包過(guò)濾依賴于識(shí)別“關(guān)鍵五元組”信息，包括源/目的IP地址、端口號(hào)和協(xié)議號(hào)。安全網(wǎng)關(guān)執(zhí)行數(shù)據(jù)包過(guò)濾時(shí)，首先提取數(shù)據(jù)包頭部的關(guān)鍵信息，然后與預(yù)定義規(guī)則集進(jìn)行匹配，最后根據(jù)匹配結(jié)果執(zhí)行允許、拒絕或重定向等操作。

1.2狀態(tài)檢測(cè)

狀態(tài)檢測(cè)技術(shù)，關(guān)鍵于現(xiàn)代防火墻，由CheckPoint公司開發(fā)。它超越了傳統(tǒng)包過(guò)濾防火墻的局限，通過(guò)連接狀態(tài)表和安全規(guī)則綜合判斷數(shù)據(jù)包。該技術(shù)將相關(guān)數(shù)據(jù)包視為統(tǒng)一數(shù)據(jù)流，使用如高斯混合模型（GMM）等算法，通過(guò)多個(gè)高斯分布擬合數(shù)據(jù)，識(shí)別異常點(diǎn)。GMM通過(guò)最大期望算法（EM）來(lái)估計(jì)參數(shù)，確定數(shù)據(jù)點(diǎn)的概率，從而識(shí)別異常。核心算法如下公式（1）：

其中，公式（1）中πk是第k個(gè)高斯分布的權(quán)重，N（x|uk，Σk）是第k個(gè)高斯分布的概率密度函數(shù)。

GMM算法，或稱高斯混合模型，是一種統(tǒng)計(jì)模型，用于描述具有多個(gè)概率分布的隨機(jī)變量。它假設(shè)數(shù)據(jù)由K個(gè)高斯分布的加權(quán)組合構(gòu)成，每個(gè)分布代表一個(gè)數(shù)據(jù)簇。GMM通過(guò)找到一組高斯分布參數(shù)，使這些分布的加權(quán)和最佳擬合數(shù)據(jù)。算法初始化時(shí)隨機(jī)設(shè)定高斯分布參數(shù)，然后通過(guò)E步驟計(jì)算數(shù)據(jù)點(diǎn)屬于各分布的概率，M步驟根據(jù)這些概率更新分布參數(shù)，重復(fù)這兩個(gè)步驟直至參數(shù)收斂。GMM在模式識(shí)別、機(jī)器學(xué)習(xí)、信號(hào)處理等領(lǐng)域有廣泛應(yīng)用，如異常檢測(cè)、語(yǔ)音識(shí)別、圖像分割和聚類分析等。

1.3代理服務(wù)

防火墻作為網(wǎng)絡(luò)中介，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)信息免受外部威脅。它檢查流量以識(shí)別潛在威脅。代理服務(wù)包括正向、反向、透明、匿名、主機(jī)頭、網(wǎng)絡(luò)和應(yīng)用層代理。代理的優(yōu)點(diǎn)包括增強(qiáng)安全性、提升性能、便于網(wǎng)絡(luò)管理和數(shù)據(jù)壓縮。缺點(diǎn)是性能開銷、單點(diǎn)故障、配置復(fù)雜性和維護(hù)成本。應(yīng)用場(chǎng)景涵蓋企業(yè)網(wǎng)絡(luò)、CDN、數(shù)據(jù)中心、個(gè)人隱私保護(hù)、教育機(jī)構(gòu)和ISP。

1.4深度數(shù)據(jù)包檢查（DPI）

該先進(jìn)防火墻技術(shù)包括檢查應(yīng)用層的數(shù)據(jù)包內(nèi)容，以識(shí)別應(yīng)用層協(xié)議和潛在的威脅，DPI分析數(shù)據(jù)包內(nèi)數(shù)據(jù)，以檢測(cè)惡意活動(dòng)，如惡意軟件或網(wǎng)絡(luò)釣魚嘗試。通過(guò)更仔細(xì)地檢查數(shù)據(jù)包，防火墻更好地保護(hù)網(wǎng)絡(luò)免受復(fù)雜攻擊。深度數(shù)據(jù)包檢查（DeepPacketIn?spection，DPI）是一種網(wǎng)絡(luò)包分析技術(shù)，能夠在數(shù)據(jù)傳輸中對(duì)數(shù)據(jù)包進(jìn)行全面檢查，分析其內(nèi)容，不僅僅是頭部信息。這種技術(shù)通常用于網(wǎng)絡(luò)安全、流量管理和數(shù)據(jù)監(jiān)控。

在實(shí)現(xiàn)DPI時(shí)，用一些公式和概念來(lái)描述處理過(guò)程和規(guī)則：

數(shù)據(jù)包的結(jié)構(gòu)一般由頭部和載荷（數(shù)據(jù)部分）組成。在DPI中，關(guān)鍵在于分析載荷部分：

數(shù)據(jù)包（P）的表達(dá)式：P=（Header，Payload）

1.5虛擬專用網(wǎng)（VPN）

防火墻支持VPN，通過(guò)加密連接保護(hù)遠(yuǎn)程網(wǎng)絡(luò)訪問。VPN創(chuàng)建安全隧道傳輸數(shù)據(jù)，防止信息被竊。防火墻管理VPN連接，確保授權(quán)用戶訪問。VPN類型有：遠(yuǎn)程訪問VPN，站點(diǎn)到站點(diǎn)VPN，SSLVPN和MPLSVPN，各有優(yōu)缺點(diǎn)。應(yīng)用場(chǎng)景包括遠(yuǎn)程辦公、分支機(jī)構(gòu)互聯(lián)、移動(dòng)辦公、數(shù)據(jù)中心互聯(lián)和云服務(wù)訪問。防火墻確保數(shù)據(jù)傳輸安全，防止敏感信息泄露。

2包過(guò)濾防火墻技術(shù)應(yīng)用

2.1定義過(guò)濾規(guī)則

用戶基礎(chǔ)協(xié)同過(guò)濾算法通過(guò)識(shí)別目標(biāo)用戶的K個(gè)最相似用戶，匯總這些用戶的喜好，并對(duì)物品進(jìn)行評(píng)分排序，生成個(gè)性化推薦列表。具體步驟包括：構(gòu)建記錄用戶與物品交互的共現(xiàn)矩陣，計(jì)算用戶間的相似度形成相似度矩陣，選取目標(biāo)用戶的K個(gè)最相似用戶，最后計(jì)算目標(biāo)用戶對(duì)每個(gè)待推薦物品的偏好得分。具體的計(jì)算公式如下：

公式（2）用于計(jì)算目標(biāo)用戶u對(duì)物品i的偏好得分。具體來(lái)說(shuō)，該公式通過(guò)加權(quán)匯總目標(biāo)用戶u的相似用戶集合V中每個(gè)相似用戶v對(duì)物品i的偏好程度來(lái)得到得分。其中，puv表示用戶u與用戶v的相似度，而qvi表示用戶v對(duì)物品i的偏好得分。通過(guò)這種方式，綜合考慮相似用戶對(duì)物品的喜好，為用戶u生成個(gè)性化的推薦列表。

其中Ru，i表示用戶u對(duì)物品i的偏好得分，Sim（u，v）表示用戶u與用戶v的相似度。V表示用戶u的相似用戶K集合。

依據(jù)上述計(jì)算得到的偏好得分Ru，i，對(duì)所有候選物品進(jìn)行排序。隨后，根據(jù)排序結(jié)果生成推薦列表，并可能根據(jù)實(shí)際需求進(jìn)行策略調(diào)整，如排除用戶已持有的物品，以優(yōu)化用戶體驗(yàn)[2]。

2.2部署測(cè)試

使用SSH、Telnet或設(shè)備特定管理界面登錄到防火墻設(shè)備或路由器，導(dǎo)航到“安全”或“防火墻”設(shè)置，選擇“訪問控制列表”（ACL）或“過(guò)濾規(guī)則”部分，創(chuàng)建新的規(guī)則集或編輯現(xiàn)有的規(guī)則集，將新創(chuàng)建的或修改規(guī)則集應(yīng)用到相應(yīng)接口或區(qū)域，保存配置。

評(píng)估防火墻策略通常包括以下步驟：首先，明確組織的安全目標(biāo)和需求；然后，設(shè)計(jì)滿足這些需求的防火墻規(guī)則；接著，登錄到防火墻設(shè)備并創(chuàng)建或編輯規(guī)則集；之后，測(cè)試規(guī)則集以確保其正確執(zhí)行；部署后，持續(xù)監(jiān)控和分析日志；定期進(jìn)行安全審計(jì)；最后，根據(jù)審計(jì)結(jié)果更新規(guī)則集。這些步驟有助于確保防火墻策略的有效性，并適應(yīng)安全環(huán)境的變化。

3屏蔽主機(jī)防火墻技術(shù)應(yīng)用

3.1配置主機(jī)

選擇Ubuntu20.04LTS作為操作系統(tǒng)，按照安裝向?qū)?，使用所需的語(yǔ)言、鍵盤布局和時(shí)區(qū)設(shè)置系統(tǒng)，創(chuàng)建具有sudo權(quán)限用戶賬戶，使用/（root）、/home的適當(dāng)大小分區(qū)磁盤，并交換分區(qū)[3]。運(yùn)行sudonano/etc/net?plan/00-installer-config.yaml命令，打開終端，編輯網(wǎng)絡(luò)配置文件，使用以下參數(shù)配置網(wǎng)絡(luò)設(shè)置，如表1所示：

保存文件并應(yīng)用更改，通過(guò)運(yùn)行命令：sudonet?plan應(yīng)用。

在測(cè)試網(wǎng)絡(luò)配置方面，Ping已知的外部IP地址，如8.8.8.8，以驗(yàn)證互聯(lián)網(wǎng)連接，Ping本地網(wǎng)關(guān)地址，以確保在本地網(wǎng)絡(luò)內(nèi)正確路由。通過(guò)發(fā)送域名，如google.com，驗(yàn)證DNS解析，以確保名稱服務(wù)器能夠正常工作。

3.2設(shè)置防火墻規(guī)則

使用Ubuntu上簡(jiǎn)單的防火墻（UFW）工具設(shè)置防火墻規(guī)則，打開終端，運(yùn)行sudoufwdefaultdenyincom?ing，sudoufw默認(rèn)拒絕傳入命令設(shè)置傳入流量默認(rèn)策略，以拒絕所有連接，除非明確允許。sudoufwallow80命令允許端口80的流量，用于HTTP網(wǎng)絡(luò)流量，sudoufwallow443命令允許端口443上的傳入流量，它用于HTTPS安全web流量。要進(jìn)一步限制出站流量，定義特定規(guī)則限制對(duì)敏感數(shù)據(jù)或服務(wù)訪問，限制對(duì)特定IP地址的出站訪問sudoufwdenyouttoanyport22，此規(guī)則上任何目標(biāo)IP地址，根據(jù)網(wǎng)絡(luò)配置的需要添加更具體的出站規(guī)則。

要根據(jù)實(shí)際需求設(shè)置防火墻規(guī)則，請(qǐng)按照以下步驟操作：

1）打開終端。

2）運(yùn)行以下命令來(lái)設(shè)置默認(rèn)策略，拒絕所有傳入連接：

sudoufwdefaultdenyincoming

3）允許特定端口的流量，例如，如果您需要允許HTTP流量（端口80），請(qǐng)輸入：

sudoufwallow80

4）"如果您需要允許HTTP流量（端口443），請(qǐng)輸入：

sudoufwallow443

5）若要限制出站流量，例如，如果您想要阻止所有出站的SSH連接（端口22），請(qǐng)輸入：

sudoufwnbsp;denyouttoanyport22

6）根據(jù)您的網(wǎng)絡(luò)配置需求，您添加更多的出站規(guī)則來(lái)限制對(duì)特定服務(wù)或IP地址的訪問。

確保在設(shè)置防火墻規(guī)則時(shí)，您掌握每條規(guī)則的作用，并且已經(jīng)考慮網(wǎng)絡(luò)服務(wù)和應(yīng)用程序的實(shí)際需求。這樣確保您的系統(tǒng)既安全又能夠正常運(yùn)行所需的網(wǎng)絡(luò)服務(wù)。

4屏蔽子網(wǎng)防火墻技術(shù)應(yīng)用

4.1規(guī)劃子網(wǎng)結(jié)構(gòu)

4.1.1子網(wǎng)劃分

根據(jù)功能需求確定子網(wǎng)范圍，如果網(wǎng)絡(luò)需要為不同部門或目的而被劃分為不同的部分，根據(jù)需求將網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)。

在進(jìn)行子網(wǎng)劃分時(shí)，首先需要確定網(wǎng)絡(luò)的IP地址范圍和子網(wǎng)掩碼。然后，根據(jù)實(shí)際需求，如不同部門或不同功能區(qū)域，將整個(gè)網(wǎng)絡(luò)劃分為若干個(gè)更小的子網(wǎng)。具體步驟如下：

1）確定IP地址范圍：掌握整個(gè)網(wǎng)絡(luò)的IP地址范圍，這通常由網(wǎng)絡(luò)管理員或組織的網(wǎng)絡(luò)架構(gòu)決定。

2）確定子網(wǎng)掩碼：根據(jù)IP地址范圍，選擇合適的子網(wǎng)掩碼。子網(wǎng)掩碼決定網(wǎng)絡(luò)地址和主機(jī)地址的分界線。

3）劃分子網(wǎng)：根據(jù)部門或功能需求，將IP地址范圍劃分為多個(gè)子網(wǎng)。每個(gè)子網(wǎng)應(yīng)有足夠的IP地址來(lái)滿足該部門或功能區(qū)域的需求。

4）分配子網(wǎng)：為每個(gè)部門或功能區(qū)域分配子網(wǎng)。確保每個(gè)子網(wǎng)的IP地址范圍不重疊，并且符合組織的網(wǎng)絡(luò)架構(gòu)和安全策略。

5）配置路由器和交換機(jī)：在路由器和交換機(jī)上配置子網(wǎng)劃分，確保它們能夠正確地路由和轉(zhuǎn)發(fā)不同子網(wǎng)之間的數(shù)據(jù)包。

6）測(cè)試和驗(yàn)證：完成子網(wǎng)劃分后，進(jìn)行網(wǎng)絡(luò)測(cè)試，確保每個(gè)子網(wǎng)都能正常通信，并且符合預(yù)期的網(wǎng)絡(luò)隔離和安全要求。

4.1.2IP地址規(guī)劃

確定整個(gè)網(wǎng)絡(luò)IP地址范圍，使用私有IP地址范圍192.168.0.0/16，根據(jù)每個(gè)子網(wǎng)中期望的設(shè)備和主機(jī)數(shù)量，將每個(gè)段IP地址范圍劃分為更小的子網(wǎng)，如表2所示。

根據(jù)所需的主機(jī)數(shù)量在每個(gè)子網(wǎng)內(nèi)分配IP地址，在a/24子網(wǎng)中，256個(gè)可用P地址（不包括網(wǎng)絡(luò)地址和廣播地址）。

4.2配置防火墻設(shè)備

4.2.1設(shè)備安裝

安裝并配置防火墻于子網(wǎng)邊界，以控制流量并連接至網(wǎng)絡(luò)。設(shè)定訪問控制策略，如允許特定端口和協(xié)議，阻止可疑IP。定期更新規(guī)則庫(kù)以應(yīng)對(duì)新威脅，監(jiān)測(cè)防火墻性能，分析流量數(shù)據(jù)，及時(shí)調(diào)整配置以應(yīng)對(duì)安全風(fēng)險(xiǎn)。制定應(yīng)急預(yù)案，確保防火墻故障時(shí)能迅速切換到備用方案，維持網(wǎng)絡(luò)穩(wěn)定。

4.2.2定義規(guī)則集

訪問防火墻設(shè)備配置界面，它可能是基于web的GUI或命令行界面，為子網(wǎng)之間、子網(wǎng)與外部網(wǎng)絡(luò)之間流量定義詳細(xì)的訪問控制規(guī)則。配置防火墻區(qū)域以對(duì)不同網(wǎng)絡(luò)段進(jìn)行分類，將內(nèi)部區(qū)域設(shè)置為默認(rèn)的刪除操作：

setfirewallzoneinternaldefault-actiondrop

為從廣域網(wǎng)（外部）到局域網(wǎng)（內(nèi)部）網(wǎng)絡(luò)通信量定義防火墻區(qū)域，設(shè)置防火墻區(qū)域的外部防火墻名稱為廣域網(wǎng)到局域網(wǎng)，定義規(guī)則集和防火墻區(qū)域后，將配置更改保存在防火墻設(shè)備上，以應(yīng)用新的規(guī)則，通過(guò)在子網(wǎng)之間和外部網(wǎng)絡(luò)之間發(fā)送測(cè)試流量測(cè)試防火墻配置，以確保訪問控制規(guī)則按預(yù)期工作。

5Web應(yīng)用防火墻技術(shù)應(yīng)用

5.1安裝和配置WAF

選擇Mod安全軟件作為WAF，它是一個(gè)開源模塊，與Apache服務(wù)器集成。配置Mod安全后，重啟Apache以應(yīng)用更改。選擇WAF時(shí)，考慮兼容性、功能性、易用性、性能影響、成本效益以及供應(yīng)商的支持和更新。安裝Mod安全的步驟包括：通過(guò)終端安裝軟件包，啟用模塊，配置安全規(guī)則，然后重啟Apache。

5.2定制安全規(guī)則

定制安全規(guī)則需先識(shí)別攻擊類型，如SQL注入、XSS。使用正則表達(dá)式過(guò)濾惡意請(qǐng)求。步驟包括：訪問并編輯`/etc/modsecurity/modsecurity.conf`配置文件，添加規(guī)則拒絕并記錄特定URL和可疑模式的請(qǐng)求，例如：

定義匹配攻擊有效載荷的正則表達(dá)式規(guī)則，保存配置文件更改，重啟Apache服務(wù)器應(yīng)用新規(guī)則：

```sudoserviceapache2restart```

最后，測(cè)試規(guī)則確保能過(guò)濾惡意請(qǐng)求。

6結(jié)束語(yǔ)

綜上所述，防火墻技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全方面，通過(guò)數(shù)據(jù)包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)、深度數(shù)據(jù)包檢查以及虛擬專用網(wǎng)等關(guān)鍵技術(shù)，有效地保障網(wǎng)絡(luò)的安全性。在應(yīng)用過(guò)濾型防火墻技術(shù)時(shí)，制定過(guò)濾規(guī)則、部署和測(cè)試是關(guān)鍵步驟，而屏蔽主機(jī)和子網(wǎng)的防火墻技術(shù)應(yīng)用則進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全防護(hù)。此外，Web應(yīng)用防火墻技術(shù)的應(yīng)用也是確保網(wǎng)絡(luò)安全的重要組成部分。通過(guò)合理運(yùn)用防火墻技術(shù)并定制相應(yīng)的安全規(guī)則，更有效地保護(hù)網(wǎng)絡(luò)安全，防范各種網(wǎng)絡(luò)攻擊。

參考文獻(xiàn)：

[1]季靜靜.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用探索[J].數(shù)字技術(shù)與應(yīng)用，2023，41（1）：231-233.

[2]白慧茹.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].自動(dòng)化應(yīng)用，2023（16）：216-218.

[3]袁清霞.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)應(yīng)用文摘，2023（12）：91-93.

[4]楊鑫.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].移動(dòng)信息，2023（10）：100-103.

[5]程振.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].軟件，2023，44（1）：101-103.

【通聯(lián)編輯：光文玲】