计算机网络安全中的防火墙技术研究

2017-03-09◆薄楠

网络安全技术与应用 2017年2期

◆薄楠

计算机网络安全中的防火墙技术研究

◆薄楠

（辽宁边防总队大连周水子边防检查站辽宁 116033）

防火墙技术是一种重要且高效的计算机网络安全防护技术，对构建安全的网络运行环境具有现实意义。本文首先，简要介绍了防火墙的相关概念；其次，重点对防火墙中的过滤、代理、检测和协议等关键技术进行了介绍和分析；然后，研究了防火墙技术在安全服务配置、访问策略配置和日志监控等方面的应用；最后，指出了防火墙相比于其他防护措施的优势。

计算机网络；安全防护；防火墙技术

0 前言

当前，计算机网络技术不断进步，不仅给人类的工作、生活、学习等各个方面都带来了极大便利，而且几乎在社会系统正常运行的各个领域发挥着不可替代的作用。然而，其存在的安全问题也时刻威胁着人们的个人信息和社会系统的正常运转。计算机网络存在的安全问题一旦为恶意攻击者所利用，轻则导致人们无法正常使用计算机，扰乱正常的工作、生活、学习秩序，重则可能导致国家或企业的重要数据和核心信息遭到窃取并泄漏，带来不可想象的严重后果和重大损失[1]。近年来，防火墙技术的不断更新和优化，使其成为目前最为常用的防护技术之一,并得到了众多用户和安全防护人员的青睐[2]。防火墙技术操作起来既简单方便,又可发挥其强大的防护功能,将来自外部网络的威胁高效拦截。

1 防火墙简介

防火墙是一种常用的网络防护和隔离技术，通常由硬件和软件两个部分构成。防火墙技术的目的是为计算机运行提供安全的网络环境，防止被恶意破坏或攻击[3]。如基于网络通信安全机制的防火墙技术仅接收对来自网络上的已授权的信息，在计算机与网络上的计算机进行通信之前，首先对网络中的信息进行过滤、筛选和判别，通过判别，对安全的信息允许通过，对可能存在安全问题的信息则阻止通过。因此，防火墙可看作是计算机和网络之间的安全检查站，对计算机和网络之间交互的信息进行检查和处理。简而言之，防火墙的主要功能可概括如下：（1）通过判别，屏蔽非法服务和用户；（2）审计计算机系统的安全性；（3）阻止外部网络窃取计算机内部信息；（4）通过强化安全策略，管理对网络的访问。

2 防火墙技术在计算机网络安全中的应用

2.1 防火墙中的关键技术

防火墙中使用的关键技术主要包括过滤技术、代理技术、检测技术和协议技术，下面分别简要分析这几个关键技术。

2.1.1 过滤技术

防火墙利用过滤技术，对非法或威胁数据进行过滤。过滤技术通常设置在TCP位置，对接收到的数据包，防火墙首先对该数据包的安全性进行检查，根据数据包中是否存在不安全因素，执行相应的措施，如当发现其中包含可疑因素，或存在威胁网络安全的潜在攻击行为时，防火墙可立即切断该数据包的流通。过滤技术能够起到一定的预防作用，可控制威胁信息的传输，防止可以数据传输到内网，从而保证TCP区域的安全性。此外，过滤技术还常常用于路由器的防护。

2.1.2 代理技术

防火墙中的代理技术的主要作用是对内网和外网之间的数据进行中转，其中，内网仅对代理发送来的请求给出回应，外网的其他请求则拒绝回应，从而将内网和外网隔离开来，避免内网和外网相互混淆。代理技术能够在计算机网络正常运行过程中的各个模块中发挥作用，效果十分明显。

2.1.3 检测技术

防火墙中的检测技术主要用于对网络的当前状态是否正常进行检测。在各个不同层的网络之间使用检测技术来获取网络的当前状态信息，并在此基础上扩大计算机网络安全的运行环境。检测技术首先分析来自外网的数据包的状态内容，然后将分析结果汇总为记录表，通过对其中的规则表和状态表的对比来识别其中的状态内容。

2.1.4 协议技术

防火墙中的协议技术的主要作用是对来自外网的Dos攻击进行防护。Dos攻击是一种常用的黑客攻击手段，且技术含量较低，无攻击限制。防火墙中的协议技术通过提供网关服务，对内部网络提供防护。协议技术确保服务器处于安全的网络环境，从而避免来自外网的恶意攻击。

2.2 防火墙技术的常见应用方式

2.2.1 安全服务配置

安全服务配置通常将需要保护的计算机网络划分为多个模块，并将需要进行重点安全防护的模块作为隔离区。与其他的安全防护措施相比，防火墙技术通过安全配置得到的隔离区域的特征往往更为独特。对在隔离区域内的数据，防火墙首先利用地址转换技术，将需要发送到外网的数据包的IP地址有转换为公共IP，此时，即使恶意攻击者试图从外网解析源IP时，仅能得到转换后的公共IP，而无法得到真实的IP。因此，安全服务配置使得在内网和外网进行数据交换时，攻击者无法获得真实的IP，仅能获得虚假的IP，难以利用内网信息对内网造成攻击，从而保障内网的安全性，防止来自外网的恶意攻击。

2.2.2 配置访问策略

访问策略的主要实施方式之一是进行合理科学的配置。防火墙技术通过对网络设置访问策略，来实现对计算机网络的安全防护。保护过程可简要概括如下：

（1）将计算机运行中的信息分为多个不同的单位，对不同的单位，划分成内部访问保护和外部访问保护。

（2）通过访问策略，了解计算机网络的运行特征以及运行过程中的目的、端口地址等各种地址，为规划合理科学的保护方式提供依据。

（3）不同的访问策略往往对应着计算机网络中的不同的防护方式。防火墙技术根据不同环境下计算机的防护需求和实际应用，合理调整访问策略，以最科学的配置对计算机的安全进行防护，在防护过程中，访问策略会形成记录访问策略活动的相应表。

（4）在完全运行访问策略后，将形成的访问策略配置作为防火墙的配置，实现对计算机网络安全的合理科学高效防护。

2.2.3 日志监控

通过分析防火墙的保护日志，往往能够获得一定有价值的信息。对日志的监控也是保护计算机网络安全的常用措施之一，因此对日志监控的保护，也是防火墙的重要应用方式之一。在采集防火墙日志信息时，仅需要采集关键信息，并不需要采集所有的日志信息，这样制作出的日志才能高效地发挥作用。在打开防火墙日志时，由于每天经过防火墙的数据量十分庞大，全部采集通常难度较大，且容易忽略关键信息，因此可通过对不同的类别进行划分，来降低采集难度，并将提取的关键信息作为制作日志监控的依据。

2.3 应用防火墙的优势与其他的防护技术相比，防火墙技术在识别网络攻击和保护网络系统方面具有明显优势。

在识别网络攻击方面，随着网络技术的不断发展和提高，计算机网络遭受的攻击种类越来越多，且攻击方式不断变化。面对如此种类繁多且多变的网络攻击方式，防火墙技术也在不断更新和优化，利用自身优势和特点，能够对攻击者的攻击路径、方式等特点进行判断和识别，并能够对当前攻击的属性进行准确判断。在此基础上，防火墙能够针对不同攻击方式的不同特点，采取相应的防护措施。因此，即使面对快速变化的攻击方式，防火墙往往仍可对计算机网络的运行环境提供有效的防护效果。

在保护网络系统方面，与其他防护技术相比，防火墙技术的保护能力和保护水平较高。在实际中，计算机网络遭受的攻击往往种类较多攻击方式多变，一般的防护措施很难确定其种类和方式，相比之下，防火墙技术往往能够在较短的时间内，检测到当前网络可能遭受的攻击行为，并能够在合理的时间内采取相应的措施，保护计算机网络不被攻击。防火墙技术不仅能够对计算机网络系统的安全进行防护，还能强化网络机构，对系统的整体性能的提升提供帮助。