金元石，张晓宇

（中国电子科技集团公司第四十七研究所，沈阳110032）

计算机网络安全及防火墙技术分析

金元石，张晓宇

（中国电子科技集团公司第四十七研究所，沈阳110032）

随着经济水平的逐步提高与科学技术日新月异的发展，计算机在人们日常生活与工作中的应用也更加具有普遍性，但是由于计算机网络等新兴技术的发展尚且处于一个不够完备的阶段，人们在计算机实际使用过程中经常会出现网络安全，因此，网络安全问题也受到了人们更为广泛的关注。防火墙技术作为能够应对这种安全威胁挑战的有效手段，加强防火墙技术内容的探索对于维护整个互联网具有十分重要意义。

计算机；网络；安全；防火墙；技术；分析

1 引言

互联网就像电一样，悄无声息地贯穿于我们的日常生活，无所不在。虽然计算机网络给人们带来了巨大便利，但网络安全问题日益严峻，如不断曝出的精准电信诈骗、斯诺登棱镜门、熊猫烧香病毒攻击等。终端设备面临的威胁和挑战日益增加。所以，加强网络安全与防火墙建设非常重要。

2 计算机网络安全中防火墙技术

2.1 计算机网络安全中防火墙技术的内容及存在问题

在用户对计算机进行使用的过程中，为了保障计算机所存储数据信息的完整性与安全性，免于受到外部攻击而导致篡改、泄漏，为使得网络运行环境能够始终处于一个安全、稳定的环境中，便需要类似于安全屏障类的隔离技术，而这种“防火墙”技术则为其提供了途径。防火墙的相关技术不仅能够对网络之间的访问权限以及内容控制起到很好的阻隔、管理作用，同时也阻止了一些非法行为的发生，降低因黑客非法获取网络的信息资源及其他非法行为而给普通用户带来危害的概率[1]。

在当前计算机网络技术的使用过程中也存在着一些问题，概况起来主要有以下项内容：

（1）关于计算机的数据威胁问题。在数据运行时时常会出现一些漏洞，攻击者利用计算机中的漏洞，从计算机网络中的薄弱部分开始侵入，进而窥探到网络中的数据，并植入病毒、木马程序等，从而威胁到计算机网络的正常的使用。关于病毒的不同特征，可以简单划分为如表1所示的不同种类。

（2）计算机中的外力破坏问题也是能够对数据运行产生不利影响。当前的外力数据破坏主要是指利用邮件病毒、网站病毒的方式对用户的计算机进行攻击。在许多情况下是由于用户采取的不正当操作习惯，使得整个网络系统出现问题。比如，用户在长时间没有对所浏览过的网站进行清除，没能定期完成病毒查杀以及其他不良习惯，都会给攻击者带来可乘之机，使其从用户的使用记录中探寻出用户的操作习惯，接着再以添加具有攻击性链接的方式来完成病毒的立即启动，继而完成对计算机的攻击动作。

表1 常见的病毒种类

（3）网络环境中的威胁性问题。计算机网络环境是一个共享的环境背景，这既是计算机得以运行与访问的基础，同时也是每位用户实现各种上网操作的重要保障。通常来说，在网络环境中共享情况越是紧密，所能遭受到的攻击也就更为频繁与激烈。计算机具体实践使用的过程也是依靠网络环境得以实现，而攻击者则可以透过让网络环境内部互相交流的信息包，携带攻击性的信息内容，接着再经过数据包的作用，将这些具有攻击性的信息带进内网，进而实现对内网结构的破坏[2]。

2.2 研究防火墙技术的优势意义

关于防火墙技术的研究，具有多方面的优势意义，简单概括起来主要有以下方面的内容：

1）防火墙技术研究是当前计算机网络发展现状的必然要求。在信息化处于迅速发展状态的今天，计算机安全问题是制约计算机科技发展的重要因素之一。当计算机网络中的节点一旦遭受到攻击，那么其数据则很容易会被恶意破坏或是窃取篡改。所以，发展相关的防火墙技术，则能够在互联网中建立起一道“屏障”，关于防火墙的使用示意图如图1所示，从中不难看出，通过建立防火墙也为人们更好地利用计算机互联网完成各项事业提供条件。

2）防火墙技术本身在计算机互联网中也具有着极高的使用价值。对其使用价值进行分析，概括来说主要有以下几方面的内容：

（1）防火墙中关于代理技术的使用。代理技术指的是当计算机在运用过程中时，计算机网络能够对内部运行的各个模块进行控制，并展现出一种强效的状态，从而在内、外网之间将其自身的作用充分地发挥出来[3]。在内网中，这种分发的代理请求能够被接收到，而在外网中的请求则可以直接被拒绝，从而保障网络能够对信息内容作出分割，进而为杜绝信息混淆以及减轻技术压力创造条件。

图1 防火墙使用示意图

（2）关于防火墙中的过滤性技术，在计算机使用中同样具有着不容忽视的作用。这种过滤技术主要是依据特定地点位置，从而为网络提供优质的过滤服务。比如，在计算机网络TCP位置，防火墙能够对TCP位置上所接收的数据包内容展开预先检查，在安全性合乎标准的情况下才能够继续顺利进行下去，而当出现具有威胁性的因素或是有攻击性的行为时，过滤技术便可以让数据包的传输马上隔断开来，并且对于外网的环境进行过滤，将预防性、科学性的信息传输作为确保TCP区域能够运行安全的重要原则[4]。

（3）计算机网络使用中的检测技术也是其中不可或缺的组成部分。这种检测技术也成为在状态机制上建成的新兴技术。

3）防火墙在网络安全方面的重要作用

（1）防火墙能够对计算机网络中出现的网络攻击进行精确的识别。一般情况下，互联网中的攻击都是采用不同层次的攻击来实现的，因而攻击的种类也较为多元化，而防火墙技术则可以根据不用的攻击路径与攻击方法来对攻击内容与行为的具体属性展开判断，以此确保网络运行处于良好的环境之中。

（2）防火墙技术对于互联网网络系统还具有高效的保护作用。这种保护作用主要是当计算机面对危险时，防火墙能够对计算机所面临具有风险性的活动展开维护。既保证计算机网络系统能够得以继续正常运行，同时也促进了整个网络系统性能的提升，从而对网络结构的强化以及网络使用效率的提高也都起到了巨大的推动功能[5]。

3 关于防火墙技术的具体分析和应用

3.1 计算机防火墙技术的相关内容

1）防火墙技术在计算机网络中应用的目的

要保障整个防护效果是积极的、高效的，则需要用户对其需要保护的网络安全内容进行了解。网络安全通常指的是网络传输与存储中的信息安全，而在实践中能够对网络信息安全起到不利影响主要可以分为信息泄密、传输非法信息流、信息数据被恶意篡改、非法使用网络资源、软件漏洞、环境影响、人为安全因素等。其中信息泄密、信息篡改、软件安全漏洞是用户在日常使用中时常会遭遇到的情况[6]。此外需要注意的还有非法信息流传输与网络资源被错误地使用与利用等。通常情况下，不同的用户其被允许进入的通信类型也是有所区分的，对于一些特殊信息是不被允许以电子邮件或其他软件进行文件资源传送的。当用户对一些资源信息进行不合理的资源访问时，这种资源也可能会被故意或是偶然地破坏。

2）防火墙完成网络安全维护主要策略分析

（1）要提高整个网络环境的安全性首先需要对数据内容进行加密。通过加密后的数据对于防止信息数据被泄露、篡改与破坏起到极为有效的作用。

（2）链路加密的方式也可以为网络中两个相邻的节点数据做到保护加密，通过确保加密数据在链路传输中实现不同数据的独立加密。

（3）节点加密指的是通过对源节点至目标节点过程的链路进行保护，这种节点加密方式同链路加密方式比较类似，二者的不同之处在于使用节点加密的方法中，网络节点能够将所接收到的数据内容完成解密。

（4）端端加密指的是通过源节点用户在数据目标节点的加密，并允许源节点的目标节点始终将密文形式作为有效的形式，而这种加密方式往往也更加的安全、可靠，并且利于设计与完成[7]。

（5）混合加密方式是端端加密与链路加密相互组合而成的一种加密形式，这种混合型的方法不仅能够对报头中敏感的数据内容进行有效保护，同时也能最大限度地保障数据的安全性。

3.2 防火墙技术的具体应用

1）加密技术

计算机网络安全中的防火墙技术，比较基础的是加密技术，加密技术指的是在信息发送之前，先对信息进行加密操作，加密的密码一般由发送方和接收方共同掌握。接收方在受到信息后利用密码进行解密操作，从而完成信息的安全传输。

计算机网络加密技术，提高了信息传输的安全性，不会暴露出信息的内容，起到安全保护的作用。加密技术在防火墙技术中最为常见，也是使用时间较长的一类技术，改善了网络运行的状态，更加重视计算机网络的安全性。

2）配置访问策略

防火墙技术是整个访问策略的运用，该应用方式也在网络安全中占据了主要地位。要实施网络访问的配置需要经过缜密的安排和计算，并且对计算机网络中所运行的整个信息过程也都要进行深化，从而才能保障科学、可靠的防护系统的形成。要完成对整个访问流程的保护，具体说来需要从以下方面入手：

（1）防火墙技术经过对不同的运行信息分成不同单位，再在不同单位的内外部分进行规划，以此确定流通访问的重大价值。

（2）防火墙技术也通过访问策略对网络运行中的地址进行访问。比如，针对端口地址、目的地址也可以对计算机运行中的特点，从而规划出最为安全的保护方式。

（3）在计算机网络的安全保护中，访问策略对应着不同的技术，以此生成策略表，进而对访问策略中所有的活动予以访问。值得注意的是，策略表信息通常也不能完全适应访问策略调整的需要，要实现最佳的访问结果则还需防火墙根据自身策略表中的顺序进行严格地执行，从而通过众多约束性的行为来实现对计算机网络运行的保护。

（4）当所有的访问策略已经被运行完毕之后，使用者还需要对网络运行后的漏洞进行及时的排除，而这些具体操作也成为防火墙技术保护中不可缺少的配置性环节，经过这些步骤也才能真正对计算机网络的安全起到相对全面的保护[8]。

（5）日志监控

一些计算机运用也能够从对防火墙技术的保护日志中探寻到具有参考价值的信息。日志监控在计算机网络的保护中也同样应当占有极大的比重，并且成为防火墙技术所重点保护的对象。用户在对防火墙的日志进行分析，这时并不需要全面执行操作内容，从而也避免了对关键信息的操作问题。譬如，当用户在利用防火墙对网络保护中生成的日志内容开展执行活动时，对某种类别的信息采集也会导致防火墙的工作量内容极为庞大。并且在其产生的庞杂信息中，又是通过类别划分的方式来实现的。因此要完成监控的内容，则还需要用户对日志采集所需难度标准予以降低，再防止它对其中的信息造成恶意的屏蔽，所以用户在对同样类别的信息中提取关键信息时，可以将这些日志监控内容作为依据，进而将监控的效益成果最大限度地激发出来。此外，当用户在监控日志中查找到实时记录下的防火墙报警信息后，这种具备优化价值的日志信息也能够使选择记录问题的解决和监控日志在防火墙运用中的能力效果得到显著增强。

（6）安全服务配置

安全服务配置通常将需要保护的计算机网络划分为多个模块，并将需要进行重点安全防护的模块作为隔离区。与其他的安全防护措施相比，防火墙技术通过安全配置得到的隔离区域的特征往往更为独特。对在隔离区域内的数据，防火墙首先利用地址转换技术，将需要发送到外网的数据包的IP地址有转换为公共IP，此时，即使恶意攻击者试图从外网解析源IP时，仅能得到转换后的公共IP，而无法得到真实的IP。因此，安全服务配置使得在内网和外网进行数据交换时，攻击者无法获得真实的IP，仅能获得虚假的IP，难以利用内网信息对内网造成攻击，从而保障内网的安全性，防止来自外网的恶意攻击。

（7）防病毒技术

防病毒技术是防火墙最常使用的一种功能，体现在病毒预防、病毒检测以及消除病毒3个方面。防火墙顾名思义就像是一道处于计算机内部网络与外部网络之间的保护墙，对信息和数据的传送进行过滤和检查，阻挡住第三方未经授权的主体进入，影响数据和信息的传输。在防病毒技术方面，防火墙可以自动修改路由器里面的存取控制表，过滤非法IP，对外来的非常访问进行禁止和阻挡，以达到防御非法入侵的目的。

3.3 配置实例

1）需求

依托互联网实现二级单位非密局域网与集团非密网连接，通过VPN建立虚拟通道，以防火墙限定访问策略，保护二级单位非密网网络安全。

2）配置说明

（1）路由器主要实现公网地址与私网地址转换，保证私网与互联网建立连接。

（2）VPN设立在互联网内部接口与防火墙之间，建立虚拟通道，保证二级单位私网与集团非密网建立点对点连接。

（3）防火墙外部接口与内部接口设定相关访问策略，因内部接口直连二级单位非密网，所以设定若干规则约束访问规则。具体配置如下（如图2所示）：

图2 网络拓扑图

IP限定：由外向内访问控制，设定any地址为源地址，设定二级单位所有IP地址为目的地址，禁止源地址访问目的地址，全面封闭外部网络访问二级单位私有网络。由内向外访问集团非密网，可通过设定地址对象来限定私网中部分地址访问集团非密网。

策略：只开放二级单位私网访问集团非密网的相关业务端口，与业务无关的端口全部封闭。

服务：根据相关业务需求，设定相关服务，服务可集合若干端口，设定一个服务，由内向外可设定一个相关服务来实现对集团相关业务访问。

4 结束语

关于防火墙技术的研究，不仅能够促进网络环境更加安全化与稳定化，同时防火墙技术的探索也能为网络健康发展以及互联网市场的繁荣奠定更为坚实的基础。因此，做好防火墙技术的研究，并将其广泛地运用到实践中，才能促进互联网更好的发展，进而为每位用户提供更为优质的服务。

[1] 张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术，2012（24）:5787-5788.Zhang Rui.Analysis of computer network security and firewall technology [J].computer knowledge and technology，2012（24）:5787-5788.

[2] 马利，梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术，2014（16）:3743-3745.Marley，Liang Hongjie.Research on the application of firewall technology in computer network security [J].computer knowledge and technology，2014（16）：3743-3745.

[3] 张鸣，高杨.计算机网络安全与防火墙技术研究[J].黄河水利职业技术学院学报，2011（2）：48-50.Zhang Ming，Gao Yang.Journal of computer network security and firewall technology research [J].of Yellow River Conservancy Technical Institute，2011（2）：48-50.

[4] 薛毅飞.探讨计算机网络安全与防火墙技术[J].信息系统工程，2011（4）：63-64.

[5] 陈柏岩.计算机网络安全及防火墙技术分析[J].网络安全技术与应用，2015（11）：67-68.Chen Po yen.Analysis and application of[J].network security network security and firewall technology of computer，2015（11）：67-68.

[6] 陈兰兰.论计算机网络安全及防火墙技术[J].现代商贸工业，2016（9）：183-184.Chen Lanlan.On computer network security and firewall technology[J].modern commerce and trade industry，2016（9）：183-184.

[7] 孟庆威.浅析计算机网络安全技术——防火墙[J].计算机光盘软件与应用，2013（12）：170-171.Meng Meng.Analysis of computer network security technology-firewall[J].computer CD-ROM software and applications，2013（12）：170-171.

[8] 施然.计算机网络安全及防火墙技术分析[J].通讯世界，2016（18）：101-102.Shi ran.Computer network security and firewall technology analysis[J].communications world，2016（18）：101-102.

Analysis of Computer Network Security and Firewall Technology

Jin Yuanshi，Zhang Xiaoyu
（The 47th Research Institute of China Eletronics Technology Group Corporation,Shenyang 110032,China）

With the development of economy and science,computer is used universally in our daily life and work.However,computer network is still not perfect as emerging technology,which may cause information security threats.Therefore,people pay more attention to network security problems of using computer.The firewall technology is used as an effective way to counter against this kind of security threat,which has an important significance on Internet maintenance.

Computer；Network；Security；Firewall；Technology；Analyze

10.3969/j.issn.1002-2279.2017.03.007

TN492

A

1002-2279-（2017）03-0030-04

金元石（1982-），男（回族），辽宁省辽阳市人，助理工程师，主研方向：计算机网络安全。

2016-11-07