劉玉民 河北省青縣人民檢察院

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已廣泛應(yīng)用于現(xiàn)代生產(chǎn)生活之中。但在開放的互聯(lián)網(wǎng)環(huán)境之下，網(wǎng)絡(luò)信息安全問(wèn)題日益成為制約網(wǎng)絡(luò)信息技術(shù)發(fā)展，影響計(jì)算機(jī)網(wǎng)絡(luò)有效應(yīng)用的重要因素。從實(shí)際來(lái)看，計(jì)算機(jī)系統(tǒng)設(shè)計(jì)缺陷、應(yīng)用軟件漏洞、計(jì)算機(jī)病毒、人為惡意攻擊等，都是當(dāng)前計(jì)算機(jī)面臨的主要安全威脅。如何在快速發(fā)展的互聯(lián)網(wǎng)時(shí)代，構(gòu)建完備的安全防御體系，既是計(jì)算機(jī)自身安全的內(nèi)部需求，也是強(qiáng)化計(jì)算機(jī)發(fā)展的重要舉措。特別是多樣化的外部威脅源，對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)信息安全構(gòu)成了極大地安全隱患，惡意攻擊行為的發(fā)生、計(jì)算機(jī)病毒感染，輕則造成計(jì)算機(jī)系統(tǒng)運(yùn)行效率下降，重則重要數(shù)據(jù)丟失、被截獲，甚至出現(xiàn)系統(tǒng)癱瘓等問(wèn)題。防火墻技術(shù)是當(dāng)前廣泛應(yīng)用與計(jì)算機(jī)安全構(gòu)建中的安全技術(shù)之一，隨著防火墻技術(shù)的不斷發(fā)展與成熟，其在計(jì)算機(jī)安全構(gòu)建中的作用日益凸顯。

1 防火墻分類

1.1 包過(guò)濾防火墻。一般而言，包過(guò)濾防火墻安置于路由器，以 IP信息包作為基礎(chǔ)，實(shí)現(xiàn)對(duì)目標(biāo)地址、IP源地址等進(jìn)行帥選，進(jìn)而在過(guò)濾中確保計(jì)算機(jī)安全。網(wǎng)絡(luò)層是包過(guò)濾防火墻的工作點(diǎn)，在 Intranet 與Internet 中，對(duì)于傳輸?shù)腎P數(shù)據(jù)包進(jìn)行檢查與過(guò)濾。

1.2 代理服務(wù)型防火墻。一般而言，代理服務(wù)型防火墻主要有客戶程序段、服務(wù)器端程序等構(gòu)成。具體如圖 3 所示，是代理服務(wù)型防火墻體系。代理服務(wù)型防火墻的中間節(jié)點(diǎn)與客戶端程序處于相連狀態(tài)，并且，在中間節(jié)點(diǎn)上，又與外部服務(wù)器進(jìn)行連接也就是說(shuō)，當(dāng)客戶端將瀏覽器配置成使用代理功能時(shí)，防火墻就將客戶端瀏覽器的請(qǐng)求轉(zhuǎn)給互聯(lián)網(wǎng)；當(dāng)互聯(lián)網(wǎng)返回響應(yīng)時(shí)，代理服務(wù)器再把它轉(zhuǎn)給你的瀏覽器。

1.3 復(fù)合型防火墻。復(fù)合型防火墻作為新一代的防火墻技術(shù)，集和了智能 IP 識(shí)別技術(shù)，實(shí)現(xiàn)了對(duì)應(yīng)用、協(xié)議等的高效分組識(shí)別，也進(jìn)一步強(qiáng)化了對(duì)應(yīng)用的訪問(wèn)控制。在智能 IP 識(shí)別技術(shù)中，實(shí)現(xiàn)了創(chuàng)新性的發(fā)展，在摒棄傳統(tǒng)復(fù)合型防火墻技術(shù)的同時(shí)，創(chuàng)新性的采用了諸多新技術(shù)，如特有快速搜索算法、零拷貝流分析等，在構(gòu)建計(jì)算機(jī)安全上，日益發(fā)揮重要的作用。

2 防火墻在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用

2.1 入侵檢測(cè)技術(shù) ，在計(jì)算機(jī)網(wǎng)絡(luò)的使用過(guò)程中，計(jì)算機(jī)的入侵檢測(cè)技術(shù)成為了重要的網(wǎng)絡(luò)安全預(yù)防技術(shù) ，現(xiàn)被已廣泛應(yīng)用到了計(jì)算機(jī)的安全構(gòu)建中。計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)的工作原理是對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中的主要關(guān)鍵點(diǎn)進(jìn)行分析研究來(lái)判斷網(wǎng)絡(luò)接觸中是否存在著惡意攻擊等不良網(wǎng)絡(luò)動(dòng)作。計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)對(duì)來(lái)自外部的網(wǎng)絡(luò)實(shí)現(xiàn)了實(shí)時(shí)檢測(cè)、記錄對(duì)一些違規(guī)行為進(jìn)行及時(shí)報(bào)警，入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)進(jìn)行分析監(jiān)控 ，對(duì)外來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)動(dòng)作進(jìn)行篩選，確保防火墻能夠在發(fā)現(xiàn)計(jì)算機(jī)隱患時(shí)進(jìn)行報(bào)警。入侵檢測(cè)系統(tǒng)的不足之處就是只能對(duì)計(jì)算機(jī)的不良隱患進(jìn)行監(jiān)控報(bào)警，不能及時(shí)的對(duì)隱患問(wèn)題進(jìn)行解決處理。

2.2 防火墻和入侵檢測(cè)技術(shù)結(jié)合，計(jì)算機(jī)的安全構(gòu)建離不開檢測(cè)、響應(yīng)、防護(hù)三方面 ，入侵檢測(cè)系統(tǒng)要確保惡意攻擊行為在沒(méi)有突破防火墻的安全防護(hù)層前發(fā)現(xiàn)不良行為，及時(shí)發(fā)出計(jì)算機(jī)系統(tǒng)警告，目前計(jì)算機(jī)的網(wǎng)絡(luò)安全保護(hù)還沒(méi)有做到百分百防御，所以要確保計(jì)算機(jī)擁有快速的響應(yīng)機(jī)制能夠?qū)阂夤粜袨檫M(jìn)行快速檢測(cè)。計(jì)算機(jī)的入侵檢測(cè)技術(shù)是進(jìn)行網(wǎng)絡(luò)保護(hù)、預(yù)警的不二選擇。警告出現(xiàn)時(shí)，防護(hù)墻要充分發(fā)揮防范作用，對(duì)惡意攻擊行為進(jìn)行規(guī)避，最大限度保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、構(gòu)建網(wǎng)絡(luò)防護(hù)體系、提高計(jì)算機(jī)的安全防護(hù)能力、解決防火墻預(yù)警滯后的弊端、提高防火墻的實(shí)際應(yīng)用。這樣才能滿足互聯(lián)網(wǎng)的安全需求。

2.3 防火墻和入侵檢測(cè)的接口互動(dòng)，在計(jì)算機(jī)使用過(guò)程中為了解決安全問(wèn)題，對(duì)經(jīng)過(guò)防火墻篩選的數(shù)據(jù)進(jìn)行二次篩選，將入侵檢測(cè)技術(shù)合理的引進(jìn)防火墻軟件中，將兩者進(jìn)行結(jié)合，實(shí)現(xiàn)外來(lái)數(shù)據(jù)雙重篩選的目的。數(shù)據(jù)的雙重篩選減少了計(jì)算機(jī)安全隱患的形成，對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全提供雙重保障。防火墻和入侵系統(tǒng)的結(jié)合要通過(guò)開發(fā)接口來(lái)實(shí)現(xiàn)，具體操作方法是在防火墻上設(shè)置接口，接入檢測(cè)系統(tǒng)，既不會(huì)影響防火墻的防護(hù)特性還能夠和入侵系統(tǒng)建立聯(lián)系進(jìn)行通信，完成外來(lái)數(shù)據(jù)的雙向傳輸。

3 結(jié)論

計(jì)算機(jī)的網(wǎng)絡(luò)安全體系構(gòu)成是為了保證計(jì)算機(jī)在安全的網(wǎng)絡(luò)環(huán)境下工作運(yùn)行，雖然防火墻不能完全杜絕所有的網(wǎng)絡(luò)安全隱患，但防火墻在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展中依然起著不可忽視的作用。只有不斷地完善防火墻技術(shù)在計(jì)算機(jī)中的應(yīng)用，才能使計(jì)算機(jī)的網(wǎng)絡(luò)更加健康的發(fā)展。