計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)研究

1、 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)研究 黃曉璐 朱江毅Summary 隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，人們的生活越來(lái)越離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)，而計(jì)算機(jī)網(wǎng)絡(luò)安全是人們良好的上網(wǎng)體驗(yàn)的基礎(chǔ)，文章主要介紹計(jì)算機(jī)防火墻技術(shù)，并對(duì)于防火墻的應(yīng)用進(jìn)行探究。Keys 計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防火墻技術(shù)中圖分類(lèi)號(hào) TP3 A 1674-6708（2018）212-0126-02隨著計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)與社會(huì)工作以及人們的生活越來(lái)越緊密的結(jié)合在了一起，計(jì)算機(jī)病毒以及惡意軟件給人們?cè)斐傻睦_也越來(lái)越明顯，人們?cè)谄綍r(shí)使用計(jì)算機(jī)的時(shí)候應(yīng)當(dāng)重視網(wǎng)絡(luò)安全問(wèn)題，而防火墻技術(shù)作為計(jì)算機(jī)安全防范基本技術(shù)，更應(yīng)當(dāng)?shù)玫礁叨汝P(guān)注。本文就如何應(yīng)用防火墻技術(shù)

2、完善計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行研究。1 防火墻技術(shù)概念及原理防火墻技術(shù)其實(shí)是一種有計(jì)算機(jī)硬件與軟件所構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)，利用防火墻中所設(shè)置的安全策略，防火墻可以執(zhí)行設(shè)計(jì)人員所布置的各種安全控制策略監(jiān)控，并自動(dòng)分析網(wǎng)絡(luò)通訊進(jìn)程，進(jìn)而能夠有效防范用戶(hù)上網(wǎng)過(guò)程的不安全因素，確保計(jì)算機(jī)系統(tǒng)可以流暢運(yùn)行。防火墻一般都布置在用戶(hù)所使用的網(wǎng)絡(luò)外圍，嘗試著在網(wǎng)絡(luò)之間起到篩選和隔離作用，將用戶(hù)上網(wǎng)過(guò)程中可能遇到的病毒或者惡意攻擊等威脅隔離在網(wǎng)絡(luò)之外。防火墻進(jìn)行網(wǎng)絡(luò)防護(hù)的原理其實(shí)都是一樣的，都是網(wǎng)絡(luò)兩端計(jì)算機(jī)之間進(jìn)行分析其傳輸?shù)臄?shù)據(jù)包，進(jìn)而根據(jù)所設(shè)置的安全策略判斷是否放行數(shù)據(jù)包?；舅械木W(wǎng)絡(luò)防火墻都會(huì)使用IP地址過(guò)濾技

3、術(shù)，當(dāng)防火墻一端的計(jì)算機(jī)M要向另一端計(jì)算機(jī)N進(jìn)行通訊請(qǐng)求，由于TCP或者IP協(xié)議的限制，為了實(shí)現(xiàn)通訊，計(jì)算機(jī)N就必須首先生成一個(gè)數(shù)據(jù)包，而且還需要向計(jì)算機(jī)M？發(fā)送一個(gè)已經(jīng)在N的本地協(xié)議中打包完成的、帶有IP地址標(biāo)識(shí)的數(shù)據(jù)包，為了網(wǎng)絡(luò)通訊安全性，防火墻就會(huì)對(duì)N所發(fā)出的數(shù)據(jù)包進(jìn)行檢測(cè)，如果無(wú)法通過(guò)防火墻的安全配置策略，M就無(wú)法收到數(shù)據(jù)，通訊也就失敗了。傳統(tǒng)的防火墻都會(huì)包括包過(guò)濾、應(yīng)用代理以及監(jiān)測(cè)模塊幾個(gè)部分，包過(guò)濾檢測(cè)數(shù)據(jù)包的時(shí)候，不必理會(huì)數(shù)據(jù)包內(nèi)的具體信息內(nèi)容，僅僅是檢測(cè)數(shù)據(jù)包頭中的源地址、目的地址以及封裝協(xié)議、輸出端接口信息，如果數(shù)據(jù)包頭信息符合要求，就可以準(zhǔn)許數(shù)據(jù)包進(jìn)入防火墻內(nèi)部。防火墻系統(tǒng)

4、內(nèi)部有細(xì)致地劃分為Web管理、轉(zhuǎn)換以及內(nèi)核模塊多個(gè)部分，地址轉(zhuǎn)換功能模式具有實(shí)現(xiàn)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換以及端口重定向轉(zhuǎn)換的功能。為了實(shí)現(xiàn)數(shù)據(jù)傳輸，需要使用IP協(xié)議，并利用ARP、RARP協(xié)議進(jìn)行地址信息的接受，除以以外，還需要配置相關(guān)的硬件參數(shù)，利用相關(guān)的設(shè)置軟件進(jìn)行intranet內(nèi)部網(wǎng)址的配置，將內(nèi)核文件復(fù)制到源代碼目錄中，生成一個(gè)文件名為.config，root？server56？src？#？ cd？linux？-3.01？；/boot/config？-2.6.18-164.el5？./.config.然后進(jìn)入編譯的界面，利用make命令進(jìn)行內(nèi)核信息編譯。2 傳統(tǒng)防火墻技術(shù)介紹1）包過(guò)濾防火墻

5、。提到防火墻技術(shù)，就不得不介紹包過(guò)濾防火墻技術(shù)，作為最基礎(chǔ)的防火墻技術(shù)，其工作原理是對(duì)經(jīng)過(guò)網(wǎng)絡(luò)防火墻的數(shù)據(jù)包進(jìn)行檢驗(yàn)，如果在檢驗(yàn)過(guò)程中發(fā)現(xiàn)不符合要求的數(shù)據(jù)包就會(huì)不允許其進(jìn)入網(wǎng)絡(luò)。檢驗(yàn)數(shù)據(jù)包的時(shí)候，一般來(lái)說(shuō)都是從數(shù)據(jù)包頭開(kāi)始檢驗(yàn)，完成數(shù)據(jù)爆頭檢驗(yàn)以后返回檢測(cè)報(bào)告，從而進(jìn)行進(jìn)一步的判斷。為了更加準(zhǔn)確地判斷數(shù)據(jù)包是否合乎安全要求，在進(jìn)行防火墻設(shè)計(jì)的時(shí)候相關(guān)人員則需要制定更為完善的安全策略，當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)包的時(shí)候，首先應(yīng)當(dāng)根據(jù)目的IP地址利用還原IP地址等操作來(lái)進(jìn)行匹配工作。包過(guò)濾防火墻安裝程序簡(jiǎn)單，成本低廉，檢測(cè)數(shù)據(jù)包的速度也比較快，但是也具備過(guò)濾數(shù)據(jù)不夠詳細(xì)的缺點(diǎn)，容易放過(guò)一些有危害的數(shù)據(jù)包進(jìn)行用

6、戶(hù)網(wǎng)絡(luò)。2）透明防火墻。透明防火墻作為傳統(tǒng)防火墻體系中十分重要的一種防火墻，作為一種建立在OSI參考模式上，針對(duì)數(shù)據(jù)鏈路層的安全進(jìn)行防范的防火墻，這種防火于具有交換機(jī)功能，可以對(duì)數(shù)據(jù)進(jìn)行檢測(cè)，一般都被設(shè)立在信用網(wǎng)絡(luò)內(nèi)部，被用來(lái)控制用戶(hù)們的登錄過(guò)程以及數(shù)據(jù)庫(kù)訪問(wèn)過(guò)程中可能遇到的風(fēng)險(xiǎn)問(wèn)題。而且，很多情況下在設(shè)立并且引用透明防火墻的時(shí)候都需要首先對(duì)應(yīng)用數(shù)據(jù)進(jìn)行訪問(wèn)和修改，用戶(hù)使用之前也需要登錄操作。3）應(yīng)用網(wǎng)關(guān)防火墻。應(yīng)用網(wǎng)管防火墻也被稱(chēng)為代理防火墻，是一種建立在應(yīng)用層上的防火墻技術(shù)，應(yīng)用網(wǎng)關(guān)防火墻分為網(wǎng)關(guān)連接防火墻以及直通式防火墻兩種，應(yīng)用網(wǎng)關(guān)連接防火墻所需要的認(rèn)證機(jī)構(gòu)更多樣。與包過(guò)濾防火墻相比，

7、應(yīng)用網(wǎng)關(guān)防火墻對(duì)于應(yīng)用層數(shù)據(jù)的檢測(cè)更加可靠，而且還可以提供更具安全性的安全日志以供網(wǎng)絡(luò)安全專(zhuān)業(yè)人員參考。該防火墻應(yīng)用范圍比較廣泛，能夠被應(yīng)用與大多數(shù)的網(wǎng)絡(luò)協(xié)議以及服務(wù)系統(tǒng)中，應(yīng)用網(wǎng)關(guān)防火墻能夠?qū)W(wǎng)絡(luò)差、傳輸層以及應(yīng)用層的數(shù)據(jù)都起到防護(hù)作用，使用應(yīng)用網(wǎng)關(guān)防火墻的用戶(hù)如果要進(jìn)行網(wǎng)絡(luò)訪問(wèn)，首先用戶(hù)要進(jìn)行身份驗(yàn)證，因此，應(yīng)用網(wǎng)關(guān)防火墻具有比較強(qiáng)的安全性。3 新型防火墻技術(shù)介紹隨著時(shí)代的進(jìn)步，網(wǎng)絡(luò)安全研究人員也不斷進(jìn)行防火墻技術(shù)的創(chuàng)新，盡量提升防火墻功能和性能，接下來(lái)，作者就介紹集中新型的防火墻技術(shù)。1）流量過(guò)濾防火墻。傳統(tǒng)的流量過(guò)濾防火墻是直接進(jìn)行數(shù)據(jù)包的過(guò)濾和檢驗(yàn)，設(shè)計(jì)人員直接進(jìn)行語(yǔ)法邏輯設(shè)計(jì)，防火

8、墻就會(huì)依照設(shè)計(jì)好的邏輯進(jìn)行通過(guò)網(wǎng)絡(luò)流量的截獲，當(dāng)解讀出流量的原地址以后進(jìn)行其目的地址的找尋與分配，這種檢測(cè)方法安全性不夠高，新型的流量過(guò)濾防火墻技術(shù)則是在內(nèi)部安全策略中添加協(xié)議，直接進(jìn)行應(yīng)用層數(shù)據(jù)的過(guò)濾，設(shè)計(jì)人員增添了信息識(shí)別功能，防火墻能夠進(jìn)行流量滯留充足，防火墻過(guò)濾了滯留下信息流以后，進(jìn)入網(wǎng)絡(luò)的信息流也得到了重裝，大大提升防火墻的防護(hù)功能。2）深層檢測(cè)防火墻。深處檢測(cè)防火墻目前還處于設(shè)計(jì)和研發(fā)階段，隨著社會(huì)對(duì)于網(wǎng)絡(luò)空間安全投入全所未有的重視以后，相關(guān)防火墻研究人員也提出了深處檢測(cè)防火墻的概念，該防火墻不僅能夠進(jìn)行信息流和數(shù)據(jù)包的識(shí)別，而且能夠?qū)?nèi)部的數(shù)據(jù)直接定向到TCP堆棧中，然后防火墻就

9、可以依照基本檢測(cè)程序進(jìn)行信息檢測(cè)，從而實(shí)現(xiàn)更好的防護(hù)作用。深處檢測(cè)防火墻不僅僅能夠保護(hù)其接觸到的網(wǎng)絡(luò)層安全，而且還能夠?qū)崿F(xiàn)對(duì)應(yīng)用層信息的保護(hù)和方案。當(dāng)然，深處檢測(cè)防火墻技術(shù)目前還不夠成熟，相關(guān)技術(shù)人員還需要進(jìn)行深入的研究與探索。3）分布式防火墻。分布式防火墻分為主機(jī)防火墻以及網(wǎng)絡(luò)防火墻兩種，顧名思義，主機(jī)防火墻主要是針對(duì)主機(jī)而進(jìn)行安全監(jiān)測(cè)工作設(shè)計(jì)的，由于大部分的惡意攻擊都是針對(duì)主機(jī)進(jìn)行的，主機(jī)出現(xiàn)安全問(wèn)題的可能性要更大一些，因此，主機(jī)防火墻所能夠進(jìn)行網(wǎng)絡(luò)防護(hù)的范圍相對(duì)要更大，對(duì)于網(wǎng)絡(luò)內(nèi)部以及外部都進(jìn)行防護(hù)。而分布式防火墻往往都是安裝于公司或者企業(yè)內(nèi)部，這種防火墻能夠不僅僅能夠完成信息篩選，而且

10、還能夠保護(hù)公司、企業(yè)的服務(wù)器、桌面，使用分布式防火墻能夠減少主機(jī)位置對(duì)于防護(hù)效果的影響，因此，近些年來(lái)，分布式防火墻發(fā)展趨勢(shì)迅猛，越來(lái)越多的公司以及企業(yè)開(kāi)始選擇使用分布式防火墻進(jìn)行網(wǎng)絡(luò)安全維護(hù)。4 防火墻配置部署技術(shù)為了使用戶(hù)所安裝的防火墻能發(fā)揮防護(hù)功能，首先在進(jìn)行防火墻部署的時(shí)候，應(yīng)當(dāng)充分了解自己所安裝系統(tǒng)的需求，并從一下幾方面進(jìn)行防火墻的配置：首先，應(yīng)當(dāng)在公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間布置防火墻，以此來(lái)確保內(nèi)部網(wǎng)絡(luò)環(huán)境安全。另外，如果所接入的網(wǎng)絡(luò)規(guī)模比較大并且網(wǎng)絡(luò)內(nèi)部有進(jìn)行了VLAN劃分，那么我們還需要在各個(gè)VLAN之間搭建網(wǎng)絡(luò)防火墻。最后，要將防火墻布置在公共網(wǎng)絡(luò)所聯(lián)系的總部以及分部之間。如果要

11、進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的通訊，在網(wǎng)絡(luò)接口位置應(yīng)當(dāng)采用硬件防火墻進(jìn)行網(wǎng)關(guān)設(shè)置，繼而將網(wǎng)絡(luò)保護(hù)起來(lái)。在進(jìn)行防火墻配置時(shí)，應(yīng)當(dāng)首先對(duì)于防火墻的功能進(jìn)行詳細(xì)了解，首先應(yīng)當(dāng)在未接入網(wǎng)絡(luò)之前就啟動(dòng)防火墻進(jìn)行防火墻功能設(shè)置，針對(duì)計(jì)算機(jī)使用網(wǎng)絡(luò)的具體情況來(lái)選擇防護(hù)級(jí)別，一般來(lái)說(shuō)，固定的IP地址用戶(hù)將防火墻安全級(jí)別設(shè)置為中等即可滿(mǎn)足防護(hù)需求。雖然網(wǎng)絡(luò)防火墻預(yù)設(shè)了安全防護(hù)規(guī)則，但是由于電腦漏洞以及病毒發(fā)展速度很快，用戶(hù)為了做到更高枕無(wú)憂(yōu)的防護(hù)，就需要進(jìn)行防護(hù)規(guī)則的重新設(shè)計(jì)，針對(duì)各種計(jì)算機(jī)漏洞和病毒威脅，尋求專(zhuān)業(yè)網(wǎng)絡(luò)安全人員進(jìn)行安全評(píng)測(cè)以及規(guī)則設(shè)置。另外，現(xiàn)如今網(wǎng)絡(luò)安全問(wèn)題受到極大的矚目，研究防火墻技術(shù)的人員更應(yīng)當(dāng)隨時(shí)注意網(wǎng)絡(luò)上出現(xiàn)的病毒以及惡意攻擊手段，及時(shí)進(jìn)行防火墻技術(shù)的更新，嘗試著探究出性能更強(qiáng)，功能更豐富的防火墻，技術(shù)人員可以從編碼技術(shù)入手，嘗試著進(jìn)行集成式網(wǎng)絡(luò)安全防護(hù)功能開(kāi)發(fā)，打造具有高度集成性的防火墻，維護(hù)人們上網(wǎng)安全，打造更為安全可靠的網(wǎng)絡(luò)環(huán)境。5 結(jié)論總而言之，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，我們?cè)谑褂糜?jì)算機(jī)進(jìn)行網(wǎng)絡(luò)通訊的時(shí)候應(yīng)當(dāng)高度重視網(wǎng)絡(luò)安全防護(hù)，對(duì)于防火墻技術(shù)進(jìn)行基礎(chǔ)的了解，從而能夠根據(jù)自己的需求進(jìn)行防火墻類(lèi)型的選擇，進(jìn)行防火墻規(guī)則的設(shè)定，提升自身上網(wǎng)安全性。為了更好地發(fā)揮出防火墻的防護(hù)功能，在進(jìn)行防火