劉在英

（上海民航職業(yè)技術(shù)學(xué)院基礎(chǔ)教學(xué)部計(jì)算機(jī)教研室 上海市 200235）

所謂“防火墻”可以將其理解為計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)技術(shù)，能夠?qū)W(wǎng)絡(luò)進(jìn)行有效保護(hù)，在受眾登錄訪問(wèn)網(wǎng)（如Internet）可以實(shí)時(shí)阻止入侵問(wèn)題，隨著我國(guó)科學(xué)技術(shù)的不斷發(fā)展，其在計(jì)算機(jī)網(wǎng)絡(luò)中的作用日益凸顯，未來(lái)將會(huì)有著更加良好的發(fā)展趨勢(shì)?，F(xiàn)如今我國(guó)人民日常生活中，正廣泛運(yùn)用信息網(wǎng)絡(luò)開(kāi)展工作，由此可見(jiàn)對(duì)防火墻安全技術(shù)進(jìn)行探索與應(yīng)用，已經(jīng)成為了時(shí)代發(fā)展的大勢(shì)所趨。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)

1.1 網(wǎng)絡(luò)安全

如今計(jì)算機(jī)網(wǎng)絡(luò)（如Internet）已經(jīng)成為了生活的重要組成部分，其已經(jīng)涉及到了各方面，包括無(wú)紙化辦公、信息統(tǒng)計(jì)與整理、信息查詢等，其便利性被群眾所依賴。但就目前情況來(lái)看，在使用計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中仍然會(huì)存在一定的風(fēng)險(xiǎn)，其原因在于網(wǎng)絡(luò)具有較大的開(kāi)放性，各種不安全因素會(huì)在訪問(wèn)網(wǎng)絡(luò)時(shí)出現(xiàn)，對(duì)互聯(lián)網(wǎng)安全帶來(lái)了巨大的威脅。計(jì)算機(jī)網(wǎng)絡(luò)都有固定的主體服務(wù)器，而防火墻則可以將“流動(dòng)”的威脅隔絕在“墻外”，避免受到惡意攻擊[1]。

1.2 防火墻技術(shù)

在當(dāng)前互聯(lián)網(wǎng)發(fā)展日新月異的時(shí)代背景下，計(jì)算機(jī)應(yīng)用變得格外常見(jiàn)，從通常意義上來(lái)說(shuō)，防火墻可以稱之為一道阻止病毒入侵的“圍墻”，且各類安全防護(hù)任務(wù)都是通過(guò)防火墻開(kāi)展的，其能夠阻擋“墻”外部的數(shù)據(jù)流，且可以為數(shù)據(jù)設(shè)立一道“門”，一般IT設(shè)備的使用壽命被設(shè)計(jì)為3至5年，通過(guò)冗余協(xié)議（VRRP）等技術(shù)實(shí)現(xiàn)主備冗余，可以自由選擇允許數(shù)據(jù)進(jìn)入或不允許數(shù)據(jù)進(jìn)入，防止計(jì)算機(jī)被惡意攻擊。可見(jiàn)在網(wǎng)絡(luò)使用過(guò)程中，必須采用現(xiàn)代防火墻技術(shù)對(duì)現(xiàn)存信息漏洞進(jìn)行補(bǔ)充，從而使計(jì)算機(jī)網(wǎng)絡(luò)更加安全。

2 計(jì)算機(jī)信息系統(tǒng)的特點(diǎn)及防火墻安全技術(shù)

計(jì)算機(jī)信息系統(tǒng)在我國(guó)發(fā)展建設(shè)中有著重要的作用，其不僅是資源整合的手段，也是資源傳遞、儲(chǔ)存、應(yīng)用的重要工具。

2.1 計(jì)算機(jī)信息系統(tǒng)的特點(diǎn)

計(jì)算機(jī)信息系統(tǒng)集成當(dāng)中包括各類核心數(shù)據(jù)，指操作系統(tǒng)對(duì)計(jì)算機(jī)信息系統(tǒng)的硬件和軟件資源進(jìn)行有效控制，包括口令機(jī)制有口令字、IC卡控制、指紋鑒別和視網(wǎng)膜鑒別等，利用對(duì)程序和數(shù)據(jù)的讀、寫(xiě)管理，操作系統(tǒng)的安全性必須有所保障，因此在技術(shù)應(yīng)用過(guò)程中可以結(jié)合防火墻進(jìn)行認(rèn)證與隔離，融合現(xiàn)代化監(jiān)測(cè)手段實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的有效防護(hù)。用戶認(rèn)證具備一定的復(fù)雜性與精密性，因此建設(shè)中必須借助防火墻系統(tǒng)進(jìn)行完善，替代密碼RAS加密、PKI和MD5等算法以及秘密同態(tài)加密技術(shù)等，保證系統(tǒng)負(fù)荷用戶需求[2]。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

在計(jì)算機(jī)網(wǎng)絡(luò)中，安全技術(shù)的應(yīng)用尤為重要，如忽視相關(guān)內(nèi)容則可能早信息傳遞的過(guò)程中被盜取或攔截，即用戶受到主動(dòng)攻擊而造成嚴(yán)重的損失，比如對(duì)信息的內(nèi)容進(jìn)行更改、刪除、添加，從安全角度上考慮，需要在交換過(guò)程中提高合理性，避免非法入侵情況的發(fā)生。系統(tǒng)安全性常常依賴于對(duì)終端用戶身份的正確識(shí)別與檢驗(yàn)，防火墻是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，能夠通過(guò)“墻”來(lái)限制未經(jīng)許可的用戶訪問(wèn)相關(guān)資源，也無(wú)法在他人網(wǎng)絡(luò)內(nèi)進(jìn)行信息攔截或信息獲取，即對(duì)互聯(lián)網(wǎng)區(qū)域進(jìn)行限制，可以理解為內(nèi)部網(wǎng)和外部網(wǎng)(INTERNET)之間的海關(guān)檢查站。

3 計(jì)算機(jī)信息網(wǎng)絡(luò)安全現(xiàn)狀分析

3.1 網(wǎng)絡(luò)自身漏洞

網(wǎng)絡(luò)系統(tǒng)作為信息網(wǎng)絡(luò)系統(tǒng)核心所在，是連接應(yīng)用協(xié)議和服務(wù)的載體，因此信息系統(tǒng)都不可避免的存在漏洞，信息網(wǎng)絡(luò)系統(tǒng)軟件或數(shù)據(jù)傳輸都有可能會(huì)帶來(lái)風(fēng)險(xiǎn)，不法分子會(huì)利用這一偏差出現(xiàn)的空白區(qū)進(jìn)行入侵，控制設(shè)備盜取重要信息、文件等，進(jìn)而導(dǎo)致安全風(fēng)險(xiǎn)問(wèn)題的發(fā)生[3]。

3.2 木馬病毒威脅

木馬病毒還可能影響系統(tǒng)正常運(yùn)行，自檢也很難將其查出，造成的信息網(wǎng)絡(luò)安全問(wèn)題較為嚴(yán)重。木馬病毒威脅可以將其稱之為計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的一大難題，在用戶使用計(jì)算機(jī)時(shí)若不進(jìn)行預(yù)防則會(huì)受到木馬攻擊，且該問(wèn)題的潛伏期可長(zhǎng)可短，可通過(guò)信息、文件、郵箱、軟件、網(wǎng)頁(yè)等途徑進(jìn)行傳播，潛伏期內(nèi)會(huì)侵蝕計(jì)算機(jī)系統(tǒng)，通過(guò)毀壞保護(hù)程序來(lái)盜取相關(guān)信息，對(duì)用戶造成無(wú)法挽回的損失。

3.3 網(wǎng)絡(luò)結(jié)構(gòu)偏差

現(xiàn)有的信息網(wǎng)絡(luò)可能都會(huì)存在一定的結(jié)構(gòu)偏差問(wèn)題，受到攻擊后程序代碼、指令受到串改，包括文件錯(cuò)誤、軟件錯(cuò)誤等，由于此時(shí)系統(tǒng)狀態(tài)并不穩(wěn)定，如缺少防火墻技術(shù)的支撐，則可能會(huì)收到黑客攻擊，對(duì)數(shù)據(jù)信息進(jìn)行肆意盜取，信息安全受到嚴(yán)重影響。

3.4 操作安全隱患

信息網(wǎng)絡(luò)開(kāi)放的系統(tǒng)性使得其共享性大大提高，在開(kāi)放性系統(tǒng)模式下，各類網(wǎng)絡(luò)信息數(shù)據(jù)的安全性得不到有力的保障。由于使用不當(dāng)系統(tǒng)操作成為了主要風(fēng)險(xiǎn)問(wèn)題之一，當(dāng)前市面上有大量的鉤魚(yú)網(wǎng)站專門進(jìn)行惡意操作，通過(guò)非法軟件竊取資源謀得利益，可進(jìn)行入侵盜取信息網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，最終導(dǎo)致信息泄露。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

4.1 分析用戶行為

計(jì)算機(jī)相關(guān)項(xiàng)目是極為重要的工作內(nèi)容，要求掌握影響項(xiàng)目的不確定因素，從各個(gè)層面進(jìn)行分析與判斷，分析限制項(xiàng)目發(fā)展的條件，因此在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的過(guò)程中，需要通過(guò)新建項(xiàng)目系統(tǒng)對(duì)設(shè)備進(jìn)行參數(shù)調(diào)整，在大數(shù)據(jù)技術(shù)下采用不同設(shè)備、不同類型設(shè)備互聯(lián)互通的方式進(jìn)行控制，避免項(xiàng)目出現(xiàn)較大風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全要分析相關(guān)行為，監(jiān)測(cè)非法的網(wǎng)絡(luò)問(wèn)題，并借助防火墻可以建立有效的網(wǎng)絡(luò)用戶特征數(shù)據(jù)庫(kù)，根據(jù)實(shí)際需要開(kāi)展評(píng)估工作，基于網(wǎng)絡(luò)用戶特點(diǎn)甄別出假冒合法用戶，保證局域網(wǎng)（LAN）網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，使多個(gè)系統(tǒng)相互獨(dú)立且關(guān)聯(lián)。同時(shí)需要通過(guò)數(shù)據(jù)分析掌握用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)和習(xí)慣，減少對(duì)系統(tǒng)破壞的問(wèn)題，從而不斷提高計(jì)算機(jī)網(wǎng)絡(luò)安全分析與管理的質(zhì)量。

4.2 監(jiān)控網(wǎng)絡(luò)流量

計(jì)算機(jī)網(wǎng)絡(luò)作為我國(guó)信息化發(fā)展的重要內(nèi)容，期安全性直接會(huì)影響到建設(shè)效果，導(dǎo)致整體網(wǎng)絡(luò)規(guī)劃難以按照管控要求進(jìn)行，而防火前可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的全方位監(jiān)控，而且能夠在點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)連接通信過(guò)程中，對(duì)不同計(jì)算機(jī)之間傳輸?shù)馁Y源進(jìn)行監(jiān)控，基于Intel X86架構(gòu)的防火墻，結(jié)合ASIC專用集成電路，采用PCI總線接口達(dá)到2Gbps的吞吐量甚至更高，相關(guān)網(wǎng)絡(luò)管理員分析異?，F(xiàn)狀尋找原因，以此解決帶寬容量和性能不足的問(wèn)題。在此基礎(chǔ)上可以采用多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù)，ASIC架構(gòu)防火墻穩(wěn)定性也得到了很好的保證，防火墻的構(gòu)建可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞，確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

4.3 數(shù)據(jù)準(zhǔn)確獲取

系統(tǒng)安全管理是一項(xiàng)周期性工作，需要對(duì)涉及到的人員、材料、質(zhì)量等進(jìn)行實(shí)時(shí)的監(jiān)督與管理，打破傳統(tǒng)管理的時(shí)間和地域的限制，NAT（Network Address Translation）地址翻譯技術(shù)，自動(dòng)啟動(dòng)預(yù)防和管理控制程序措施，將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址，外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，需要由防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行地址翻譯，使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，而NAT模式能夠挖掘數(shù)據(jù)，完善數(shù)據(jù)接入、識(shí)別、分類，通過(guò)建模以及數(shù)據(jù)模型代入等進(jìn)行預(yù)測(cè)，保證數(shù)據(jù)資料不會(huì)因網(wǎng)絡(luò)而被非法獲取，具體如圖1.所示。在現(xiàn)階段科學(xué)技術(shù)的支持下，應(yīng)進(jìn)一步完善網(wǎng)絡(luò)安全管理的內(nèi)容，從而不斷提高網(wǎng)絡(luò)安全分析的效率。

5 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

5.1 完善信息服務(wù)模式

要求借助“平臺(tái)化”思路轉(zhuǎn)變現(xiàn)有的安全管理模式，有效連接信息的提供方和需求方，以促進(jìn)平臺(tái)系統(tǒng)完成整體操作，提高信息網(wǎng)絡(luò)的安全系數(shù)。在技術(shù)的實(shí)際應(yīng)用過(guò)程中，現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的防護(hù)設(shè)備通過(guò)系統(tǒng)本身實(shí)現(xiàn)對(duì) OSI 全層次的數(shù)據(jù)處理，包括以及data字段的數(shù)據(jù)分析，以此保證多個(gè)系統(tǒng)的獨(dú)立性，使得計(jì)算機(jī)信息網(wǎng)絡(luò)中的數(shù)據(jù)在經(jīng)過(guò)平臺(tái)后的各個(gè)“動(dòng)作”都會(huì)被捕捉，在匯總和整理數(shù)據(jù)信息后，保證數(shù)據(jù)資料不會(huì)因網(wǎng)絡(luò)而被非法獲取，且如發(fā)現(xiàn)風(fēng)險(xiǎn)能夠及時(shí)處理，避免更大的問(wèn)題出現(xiàn)。

5.2 合理劃分子網(wǎng)

劃分子網(wǎng)對(duì)于防護(hù)十分重要，結(jié)合大數(shù)據(jù)技術(shù)的應(yīng)用可以突破這個(gè)弊端，將局域網(wǎng)內(nèi)部合理劃分，優(yōu)化整合子網(wǎng)降低資源的消耗約40%，進(jìn)一步提高系統(tǒng)的安全性和穩(wěn)定性。而ASP是發(fā)展比較成熟的第三方專業(yè)管理平臺(tái)，利用ASP語(yǔ)言編制的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)管理系統(tǒng)，能夠根據(jù)板塊設(shè)置進(jìn)行各種內(nèi)容進(jìn)行劃分，創(chuàng)建出符合用戶需求的網(wǎng)絡(luò)環(huán)境，多部門都可以同步獲得豐富的項(xiàng)目信息，實(shí)節(jié)約層層上報(bào)的時(shí)間，還可以保證信息資源使用的安全性與有效性，防止網(wǎng)絡(luò)黑客攻擊或木馬侵入，進(jìn)而為用戶提供一個(gè)良好健康的網(wǎng)絡(luò)平臺(tái)。

5.3 數(shù)據(jù)加密模塊設(shè)計(jì)

防火墻的包過(guò)濾技術(shù)一般只應(yīng)用于OSI7層的模型網(wǎng)絡(luò)層的數(shù)據(jù)中，其能夠完成對(duì)防火墻的狀態(tài)檢測(cè)，隨著我國(guó)經(jīng)濟(jì)化建設(shè)逐漸深化，現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)技術(shù)正逐步完善，如數(shù)據(jù)加密模塊便是其中之一，能夠?yàn)橛脩籼峁┮欢ǖ陌踩Ｕ?。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中，可以利用大數(shù)據(jù)技術(shù)對(duì)系統(tǒng)對(duì)模塊進(jìn)行整體劃分，包括以太網(wǎng)數(shù)據(jù)包最小字節(jié)檢測(cè)，通過(guò)接口設(shè)計(jì)大數(shù)據(jù)技術(shù)模塊，整合abber幀檢測(cè)、接口緩存區(qū)溢出檢測(cè)、線路信號(hào)檢測(cè)等，以計(jì)算機(jī)的信息平臺(tái)掌握網(wǎng)絡(luò)應(yīng)用過(guò)程中動(dòng)態(tài)，數(shù)據(jù)包在此完成物理層及數(shù)據(jù)鏈路層檢測(cè)，在處理過(guò)后實(shí)現(xiàn)鄰層交換，從而滿足時(shí)代發(fā)展的實(shí)際需求，為信息提供安全保障。

5.4 防火墻系統(tǒng)部署

考慮到計(jì)算機(jī)信息系統(tǒng)的重要性，技術(shù)人員當(dāng)下需要考慮到沙漠存在的隱性風(fēng)險(xiǎn)，做好技術(shù)風(fēng)險(xiǎn)管控，避免項(xiàng)目開(kāi)展出現(xiàn)隱患。計(jì)算機(jī)惡意攻擊會(huì)導(dǎo)致信息泄露，黑客會(huì)利用各類病毒對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行惡意行為，防火墻能夠根據(jù)信息采取不同的保護(hù)措施，截至2018年防火墻產(chǎn)品包括：智能防火墻、分布式防火墻和網(wǎng)絡(luò)產(chǎn)品的系統(tǒng)化應(yīng)用等，能夠?qū)Ω鞣N不良信息或者攻擊進(jìn)行防護(hù)，避免黑客對(duì)單一終端造成毀壞。同時(shí)防火墻技術(shù)將會(huì)對(duì)計(jì)算機(jī)開(kāi)展系統(tǒng)部署，以秘鑰設(shè)置允許、拒絕和重定幾種不同的選項(xiàng)，還可以使用地址/端口映射（MAP）技術(shù)，在防火墻上進(jìn)行地址/端口映射配置，防火墻將請(qǐng)求映射到內(nèi)部服務(wù)器上對(duì)信息或者攻擊的IP進(jìn)行追蹤，工作在橋模式下的防火墻沒(méi)有IP地址，有效控制各類信息數(shù)據(jù)，避免計(jì)算機(jī)被惡意入侵。

6 結(jié)束語(yǔ)

隨著我國(guó)科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也愈發(fā)完善，如防火墻技術(shù)現(xiàn)已被廣泛應(yīng)用在各個(gè)行業(yè)的中，防火墻是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，能夠保護(hù)用戶在網(wǎng)絡(luò)應(yīng)用過(guò)程中的安全隱私問(wèn)題?，F(xiàn)如今我國(guó)人民日常生活中，正廣泛運(yùn)用信息網(wǎng)絡(luò)開(kāi)展工作，信息數(shù)據(jù)是計(jì)算機(jī)中的重要內(nèi)容，為了提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性，需要合理運(yùn)用防火墻技術(shù)，并根據(jù)實(shí)際需求進(jìn)行完善，以此保證數(shù)據(jù)安全，避免出現(xiàn)意外風(fēng)險(xiǎn)問(wèn)題。