李萍

引言：網(wǎng)絡安全是人們使用網(wǎng)絡進行通信等操作時隱私不被侵犯的保證，確保網(wǎng)絡安全最基本的手段就是計算機防火墻。防火墻種類較多，使用原理和方法也各不相同，如何通過合理設置防火墻提高網(wǎng)絡安全度是防火墻技術的關鍵。本文將簡要分析網(wǎng)絡安全環(huán)境，并對防火墻的關鍵技術和使用特點展開討論。

人們對于網(wǎng)絡的使用已經(jīng)滲透到各種日常生活活動中，但網(wǎng)絡的開放性使得在網(wǎng)絡中傳播的信息存在安全隱患，這些隱患不僅威脅著個人隱私安全，企業(yè)和政府在使用網(wǎng)絡時，機密內容也收到嚴重影響。近幾年我國通過網(wǎng)絡實施犯罪的案例驟增，并以每年三成的比例持續(xù)上升，且不說家庭電腦和個人電腦，社會中有超過八成的互聯(lián)網(wǎng)服務器遭到過黑客攻擊，這些服務器就包括銀行業(yè)和證券業(yè)。網(wǎng)絡安全逐漸成為網(wǎng)絡發(fā)展的一個重點問題，信息安全也成為新技術開發(fā)的重點方向。防火墻是較早的網(wǎng)絡安全保證技術，但是隨著其他新技術的出現(xiàn)，如數(shù)據(jù)包雙向加密，云安全服務器等，使得人們對于防火墻的認識逐漸退化，認為防火墻的概念太模糊，根本感受不到防火墻的作用。

一、網(wǎng)絡安全

社會網(wǎng)絡化程度不斷加深，信息時代的到來讓網(wǎng)絡安全問題提上人們的議程。網(wǎng)絡安全是網(wǎng)絡時代可靠運行的基本保證，我們的信息和重要數(shù)據(jù)成了我們在網(wǎng)絡時代的重要財產(chǎn)，保證財產(chǎn)不被侵犯不被破壞是網(wǎng)絡安全的基本職責。

目前網(wǎng)絡環(huán)境復雜，存在很多安全隱患。比如黑客的惡意攻擊、網(wǎng)絡信息丟失、隱私信息被破解等，不夸張的說我們存放在網(wǎng)絡中的信息，和通過網(wǎng)絡進行交換的信息正受到惡意攻擊的威脅，這就讓人們不得不將網(wǎng)絡安全重視起來，否則定會產(chǎn)生不必要的損失。

網(wǎng)絡安全從概念上講，就是網(wǎng)絡設備安全運行，網(wǎng)絡中的信息不會遭到泄露或者破壞，人們在利用網(wǎng)絡解決問題時不會受到惡意的攻擊。從個人使用網(wǎng)絡來說，網(wǎng)絡安全就是個人信息不被他人竊取，個人電腦不會因為來自網(wǎng)絡的惡意攻擊而不能正常工作，確保個體的完整性和保密性；對于企業(yè)來說，網(wǎng)絡安全就是內部網(wǎng)絡平穩(wěn)運行，信息不會遭到外界修改或者破壞，商業(yè)機密等在存儲和傳輸方面能夠完整不被未授權人瀏覽或修改；對于網(wǎng)絡運行部門來說，網(wǎng)絡安全是對所有通過網(wǎng)絡流通信息真實而完整的到達目的地，存在安全隱患的網(wǎng)絡資源、非法網(wǎng)絡操作等都是不允許的；對于安全保密部門來說，網(wǎng)絡安全就是確保安全信息不被泄露，避免因為網(wǎng)絡造成社會惡性輿論或危害；對于整個社會而言，網(wǎng)絡安全就是對網(wǎng)絡內容良好的控制?？偠灾W(wǎng)絡安全包括大小三個方面，第一是網(wǎng)絡運行系統(tǒng)本身的安全，負責信息傳輸和控制的中心系統(tǒng)要確保自身的安全；第二是數(shù)據(jù)安全，對于網(wǎng)絡流通數(shù)據(jù)的獨立性進行保護；第三是傳播安全，網(wǎng)絡涉及范圍廣，在網(wǎng)絡中傳播的信息不能對傳播環(huán)境造成不好影響。

網(wǎng)絡安全細致劃分具有以下特征，根據(jù)以下特征可以制定更好的網(wǎng)絡安全方案：

1.獨立性，也就是網(wǎng)絡信息保密，在網(wǎng)絡中傳播的信息很多是需要授權才可以讀寫的，這樣的信息具有相對的獨立性，在網(wǎng)絡傳播過程中要保護其不受惡意修改和破壞。

2.完整性，在網(wǎng)絡中傳播的信息在到達傳輸目的地時，要能夠完全解釋，如果在傳輸過程中被破壞，該信息也就失去了使用意義。

3.真實性，信息在網(wǎng)絡中傳播不能被擅自篡改，確保在到達目的地是仍具有可用性，這種可用性一方面是指信息內容依然有效，另一方面就是不影響信息的再次傳播或儲存。

4.規(guī)范性，網(wǎng)絡信息傳播需要一定的規(guī)范和協(xié)議進行控制與管理，對于信息內容和傳播途徑都要有可控性，這樣在網(wǎng)絡出現(xiàn)問題是能夠及時調整和處理。

二、網(wǎng)絡攻擊簡介

基于網(wǎng)絡的攻擊主要有口令式攻擊、劫持式攻擊、欺騙式攻擊、偽裝式攻擊等，只有了解了網(wǎng)絡攻擊的模式和原理，才能更好的保證網(wǎng)絡的安全。

口令式攻擊：一種常見的在線攻擊模式，攻擊者會嘗試利用證書或口令繞過安全系統(tǒng)計算機，而獲得這個證書或口令的方法多采用窮舉法，直到嘗試出對應密鑰，常說的“字典”就是攻擊者自動口令攻擊的關鍵。Unix系統(tǒng)在這方面防護能力較差，多次受到錯誤口令登錄不會對賬戶進行封鎖保護，往往成為黑客重復攻擊的對象。還有就是可以通過一些網(wǎng)絡協(xié)議獲得口令，如Telnet和FTP，雖然計算機會在協(xié)議中采用加密算法對口令進行保護，但是這種算法一旦破譯仍然可能遭到惡意攻擊。

劫持式攻擊：從網(wǎng)絡傳輸理論上說，信息在Internet中傳輸，到達目的地之前會經(jīng)過多臺網(wǎng)絡設備，分組數(shù)據(jù)交換時很容易被第三方在傳輸過程中將信息解惑，通過專門的手段將報文解碼重組，從而獲得報文去向和信息內容等。

欺騙式攻擊：IP協(xié)議在傳輸信息時，利用IP偽造等技術修改返回主機地址，復制或偽造其他TCP/IP地址讓返回的報文錯誤的轉向第三方計算機，這使得很多信息沒有返回到應當返回的對象單位，從而造成了大量的數(shù)據(jù)泄露。

偽裝式攻擊：網(wǎng)絡中較為危險的攻擊方式，攻擊者會對自己的身份進行偽裝，以某一特定IP地址向用戶發(fā)送信息，讓用戶誤認為攻擊者是可信任對象，從而獲得用戶的重要信息和口令，這種攻擊方式讓用戶誤以為自己的信息始終安全，實際上是用戶對自己信息的讀寫權限了解不清，沒有特殊情況，除了授權單位外沒有任何對象可以隨便獲得用戶口令，這種攻擊模式也是鉆了用戶不了解網(wǎng)絡的空子。

三、一些網(wǎng)絡安全技術手段的簡要分析

網(wǎng)絡安全技術可以細化為安全傳輸技術、防火墻技術和本地安全技術。安全傳輸技術主要包括數(shù)據(jù)加密、對等密鑰等技術，保護信息在傳輸過程中即使被截獲也不容易被第三方獲得內容。防火墻技術主要通過設立安全系統(tǒng)，對來源于網(wǎng)絡的威脅信息進行屏蔽，確保用戶盡可能少的接觸網(wǎng)絡攻擊。本地安全技術則是針對信息儲存提出的，可以通過加密存儲設備、加密存儲和備份等技術，來保證信息在存儲過程中不會受到未授權單位的影響，最大程度上保證了信息存儲的完整性。

1.物理手段。例如對于網(wǎng)絡設備的保護，及交換機，服務器和用戶數(shù)據(jù)庫大型計算機等，通過制定嚴格的網(wǎng)絡設備管理制度，做好設備的防火，防盜，防輻射和防斷電工作，嚴格記錄對于網(wǎng)絡設備進行操作的用戶。

2.操作控制。用戶對于網(wǎng)絡資源的獲取權限進行認證控制，用戶對于資源信息的訪問前，首先要通過口令或者密鑰的方式獲得操作權限，設置嚴格的用戶訪問權限，細致到目錄及目錄下文件。同時，對于用戶及維護人員，操作過程的整體記錄也十分重要，在問題出現(xiàn)時能夠方便找到原因，也能更快的解決問題。

3.數(shù)據(jù)加密。所謂數(shù)據(jù)加密，就是將數(shù)據(jù)通過特別的編碼模式保存，保障信息被獲取后無法直接獲取原數(shù)據(jù)內容。數(shù)據(jù)加密工作需要網(wǎng)絡維護人員設計足夠安全的編碼模式，將數(shù)據(jù)加密后，在發(fā)送端編碼加密，在接收端用特定的手段解碼分析，嚴格確保信息的傳遞過程中不會泄漏。

4.網(wǎng)絡隔離。對于單臺機器的隔離確保對于數(shù)據(jù)庫主機操作時信息的安全，網(wǎng)閘則是確保信息在網(wǎng)絡內流通時不被截獲。一種是隔離方式的儲存保護機制，從物理層面上保證信息的儲存介質是難以獲取的，另一種是安全的傳遞方式保護信息只在訪問端與被訪問端之間被操作，是基于網(wǎng)絡通信安全的一種保護方式，通過開通一條經(jīng)過保護的網(wǎng)絡通路，使要傳遞的信息資源在該通路中傳輸?shù)玫桨踩谋Ｗo。

5.其他措施。信息過濾、備份用數(shù)據(jù)庫的建立和數(shù)據(jù)挖掘等措施，是針對近年來網(wǎng)絡隱患增多而采取的多重防護。信息過濾是在服務器端設立信息過濾條件，將不符合流通要求的信息移除，避免這些信息對于正常信息產(chǎn)生不必要的影響；數(shù)據(jù)庫備份是基于物理層，將信息復制到另外一個備用的數(shù)據(jù)庫中，備用數(shù)據(jù)庫一般不參與網(wǎng)絡連接，只有在主數(shù)據(jù)庫出現(xiàn)數(shù)據(jù)丟失時，調用備用數(shù)據(jù)，確保數(shù)據(jù)流通的完整性。

四、防火墻技術的簡要介紹

1.防火墻概念。防火墻是計算機中布置與Internet和局域網(wǎng)端口，通過一系列處理對來源于網(wǎng)絡的信息進行保護。一般來說，計算機中的防火墻首先要保護本地資源不被來自于網(wǎng)絡的內容所影響，能夠安全的使用來自于網(wǎng)絡的信息；其次就是要對網(wǎng)絡中的不安全因素進行屏蔽，這種屏蔽是強制的，根據(jù)用戶對網(wǎng)絡信息的授權情況，嚴格過濾存在隱患的網(wǎng)絡信息。

2.防火墻的主要組成。防火墻是有安全操作系統(tǒng)、過濾原則、網(wǎng)絡關口和相關安全服務組成。

3.防火墻的基本功能。（1）在本地計算機與網(wǎng)絡之間屏蔽不安全項，滿足通過條件和符合通信協(xié)議的內容才能通過。（2）對訪問站點進行控制，對非法用戶的非法站點訪問進行屏蔽，避免非法站點的侵害。（3）集中安全策略，在局域網(wǎng)規(guī)劃中，安全防火墻如果附加在每個本地計算機中，容易產(chǎn)生基于內部攻擊的隱患。實際上防火墻的功能較為集中，所以要發(fā)揮防火墻最優(yōu)效果，可以將防火墻部署與集中系統(tǒng)中，讓該系統(tǒng)對局域網(wǎng)進行保護，這樣防火墻的作用才能嚴格被執(zhí)行。（4）集中管理策略，防火墻可以對一個系統(tǒng)實現(xiàn)安全策略，就能夠對這個系統(tǒng)進行安全管理，不再需要每臺本地計算機單獨管理，也避免了系統(tǒng)內部因為策略不同而出現(xiàn)安全漏洞。（5）保密功能，防火墻可以利用網(wǎng)關對特定服務進行屏蔽，一定程度上將隱私信息進行密封。（6）連接日志，防火墻的工作會被系統(tǒng)中的安全日志記錄下來，具體的屏蔽操作和通過操作都會被記錄，這樣方便網(wǎng)絡安全檢查時有更加詳細的依據(jù)。

當然防火墻也存在一定的技術漏洞，并不是有了防火墻用戶就能安枕無憂。首先第一點，防火墻對外部不安全信息有屏蔽作用，但是對于防火墻內部的攻擊無法做到篩選和過濾，也就是說一旦進入了受到防火墻保護的網(wǎng)絡系統(tǒng)，再發(fā)動攻擊防火墻是無法處理的。其次第二點無法防范后門式攻擊，如果用戶主動繞過了防火墻，那么用戶相當于直接暴露在危險中，即使在回到防火墻中，依然可能被遺留在計算機中的后門程序攻擊。還有第三點就是防火墻過濾和屏蔽不夠只能，對于用戶設定的屏蔽原則無條件執(zhí)行，一些信息內容可能符合某些設定的評比條件，但本身不具有威脅性，那么用戶就會流失掉一部分有用信息，對于網(wǎng)絡的利用是不利的。其他缺點比如過濾器占用帶寬，對計算機病毒的過濾存在漏洞等，這些問題在使用過程中和防火墻布設中都需要注意，結合不同的安全策略才能發(fā)揮防火墻的最大作用。

4.防火墻主要技術。針對Internet或局域網(wǎng)進入本地計算機的數(shù)據(jù)包，防火墻可以通過過濾原則和過濾器對數(shù)據(jù)進行選擇過濾；對于網(wǎng)絡環(huán)境的選擇，防火墻可以通過網(wǎng)絡關口和相關安全服務選擇安全的網(wǎng)絡代理服務。

防火墻實現(xiàn)數(shù)據(jù)過濾，主要是在網(wǎng)絡層對流入本地計算機的數(shù)據(jù)流和數(shù)據(jù)包進行選擇，這個選擇是按照安全操作系統(tǒng)內設定好的安全通過規(guī)則執(zhí)行的，這個規(guī)則會對數(shù)據(jù)來源的地址和去向進行檢查，還會對使用本地接口和連接狀態(tài)進行監(jiān)控，通過來源于去向決定是否接受該數(shù)據(jù)包，接收后還會對通過的接口進行監(jiān)控來確保數(shù)據(jù)包狀態(tài)。防火墻數(shù)據(jù)過濾最大的優(yōu)點是用戶可以對通過原則修改來強化安全模式，并且過濾只要開啟是必須執(zhí)行的，除了用戶直接操作其他應用軟件不能進行修改。不過因為數(shù)據(jù)過濾技術開發(fā)較早，應用也存在一定的缺陷，過濾器在內部系統(tǒng)中是允許全部通過的，而如果是內部攻擊則過濾器不能產(chǎn)生作用，也就是說過濾器對外部信息流具有過濾作用，在內部流通時不會對信息進行檢查。所以包過濾只作為外層防線，現(xiàn)在一般在路由設備上就已經(jīng)設置了過濾器。

網(wǎng)絡關口是一種建立在應用層上的安全服務，通過信息交流協(xié)議對信息進行過濾，同時這種協(xié)議還對轉發(fā)有限制作用，相較于數(shù)據(jù)過濾更多一層保護。通信協(xié)議針對網(wǎng)絡數(shù)據(jù)進行邏輯過濾，數(shù)據(jù)包不再只是通過顧慮原則，而是要對數(shù)據(jù)包進行標記和內部分析，從日志報告我們可以看出其工作內容。在關口搭建的信息協(xié)議，對于所有通過信息都會進行邏輯分析，這種安全保證是雙向的。

代理服務是一種建立在應用層上的新技術，在數(shù)據(jù)過濾和網(wǎng)絡關口之間進行彌補，在網(wǎng)絡通路中，有一些是跨過防火墻的，代理服務將這些通路分為兩段，這樣防火墻兩側計算機進行的連接將由代理服務接管，代理服務器通過安全策略對通過信息進行管理，外部網(wǎng)絡信息進入時先進入代理服務器，相當于在本地計算機防火墻外部又搭建了一個更為嚴格防火墻，這樣那些直接接入本地計算機的內部網(wǎng)絡也能得到防火墻的處理。

理論上基于網(wǎng)絡層的安全技術效率最高，但安全性最差，因為網(wǎng)絡層安全策略最簡單，檢測機制也更為簡單；而應用層的安全技術安全性最高，效率也由安全策略決定，例如代理服務，在應用層上采用分段式鏈路，在之間接入計算機之前安置服務器，通過服務器內嵌安全策略對信息進行安全處理，明顯需要的時間更長，但這樣的安全措施更有保證，避免了網(wǎng)絡層安全漏洞。

五、總結

網(wǎng)絡安全問題不容小視，尤其是對企業(yè)和重要服務器，信息時代信息安全就是最重要的保證。防火墻技術是較早的網(wǎng)絡安全策略之一，是計算機接入互聯(lián)網(wǎng)時信息安全的重要防線，在搭建系統(tǒng)安全策略時，一定不要忽略了防火墻技術的應用，從基礎上建立起堅實的防護機制，再結合更多新的安全機制，才能更為全面的形成安全系統(tǒng)，最大程度保護信息的安全。

參考文獻

[1]張鳴，高楊.計算機網(wǎng)絡安全與防火墻技術研究[J]. 黃河水利職業(yè)技術學院學報. 2011（02）.

[2]葛瑋，謝堅，劉斌.基于終端的計算機網(wǎng)絡防御體系技術小析[J]. 江西電力職業(yè)技術學院學報.2011（01）.

[3]羅黎明.加強內部網(wǎng)絡安全管理淺談[J]. 長江大學學報（自然科學版）理工卷. 2010（01）.

[4]賈成兵.基于防火墻的身份認證模塊的分析與設計[J]. 硅谷. 2010（24）.

[5]張潔.計算機網(wǎng)絡安全之防火墻[J]. 電腦知識與技術. 2011（01）.

（作者單位：伊犁州公安邊防支隊司令部）