李萍

引言：网络安全是人们使用网络进行通信等操作时隐私不被侵犯的保证，确保网络安全最基本的手段就是计算机防火墙。防火墙种类较多，使用原理和方法也各不相同，如何通过合理设置防火墙提高网络安全度是防火墙技术的关键。本文将简要分析网络安全环境，并对防火墙的关键技术和使用特点展开讨论。

人们对于网络的使用已经渗透到各种日常生活活动中，但网络的开放性使得在网络中传播的信息存在安全隐患，这些隐患不仅威胁着个人隐私安全，企业和政府在使用网络时，机密内容也收到严重影响。近几年我国通过网络实施犯罪的案例骤增，并以每年三成的比例持续上升，且不说家庭电脑和个人电脑，社会中有超过八成的互联网服务器遭到过黑客攻击，这些服务器就包括银行业和证券业。网络安全逐渐成为网络发展的一个重点问题，信息安全也成为新技术开发的重点方向。防火墙是较早的网络安全保证技术，但是随着其他新技术的出现，如数据包双向加密，云安全服务器等，使得人们对于防火墙的认识逐渐退化，认为防火墙的概念太模糊，根本感受不到防火墙的作用。

一、网络安全

社会网络化程度不断加深，信息时代的到来让网络安全问题提上人们的议程。网络安全是网络时代可靠运行的基本保证，我们的信息和重要数据成了我们在网络时代的重要财产，保证财产不被侵犯不被破坏是网络安全的基本职责。

目前网络环境复杂，存在很多安全隐患。比如黑客的恶意攻击、网络信息丢失、隐私信息被破解等，不夸张的说我们存放在网络中的信息，和通过网络进行交换的信息正受到恶意攻击的威胁，这就让人们不得不将网络安全重视起来，否则定会产生不必要的损失。

网络安全从概念上讲，就是网络设备安全运行，网络中的信息不会遭到泄露或者破坏，人们在利用网络解决问题时不会受到恶意的攻击。从个人使用网络来说，网络安全就是个人信息不被他人窃取，个人电脑不会因为来自网络的恶意攻击而不能正常工作，确保个体的完整性和保密性；对于企业来说，网络安全就是内部网络平稳运行，信息不会遭到外界修改或者破坏，商业机密等在存储和传输方面能够完整不被未授权人浏览或修改；对于网络运行部门来说，网络安全是对所有通过网络流通信息真实而完整的到达目的地，存在安全隐患的网络资源、非法网络操作等都是不允许的；对于安全保密部门来说，网络安全就是确保安全信息不被泄露，避免因为网络造成社会恶性舆论或危害；对于整个社会而言，网络安全就是对网络内容良好的控制。总而言之，网络安全包括大小三个方面，第一是网络运行系统本身的安全，负责信息传输和控制的中心系统要确保自身的安全；第二是数据安全，对于网络流通数据的独立性进行保护；第三是传播安全，网络涉及范围广，在网络中传播的信息不能对传播环境造成不好影响。

网络安全细致划分具有以下特征，根据以下特征可以制定更好的网络安全方案：

1.独立性，也就是网络信息保密，在网络中传播的信息很多是需要授权才可以读写的，这样的信息具有相对的独立性，在网络传播过程中要保护其不受恶意修改和破坏。

2.完整性，在网络中传播的信息在到达传输目的地时，要能够完全解释，如果在传输过程中被破坏，该信息也就失去了使用意义。

3.真实性，信息在网络中传播不能被擅自篡改，确保在到达目的地是仍具有可用性，这种可用性一方面是指信息内容依然有效，另一方面就是不影响信息的再次传播或储存。

4.规范性，网络信息传播需要一定的规范和协议进行控制与管理，对于信息内容和传播途径都要有可控性，这样在网络出现问题是能够及时调整和处理。

二、网络攻击简介

基于网络的攻击主要有口令式攻击、劫持式攻击、欺骗式攻击、伪装式攻击等，只有了解了网络攻击的模式和原理，才能更好的保证网络的安全。

口令式攻击：一种常见的在线攻击模式，攻击者会尝试利用证书或口令绕过安全系统计算机，而获得这个证书或口令的方法多采用穷举法，直到尝试出对应密钥，常说的“字典”就是攻击者自动口令攻击的关键。Unix系统在这方面防护能力较差，多次受到错误口令登录不会对账户进行封锁保护，往往成为黑客重复攻击的对象。还有就是可以通过一些网络协议获得口令，如Telnet和FTP，虽然计算机会在协议中采用加密算法对口令进行保护，但是这种算法一旦破译仍然可能遭到恶意攻击。

劫持式攻击：从网络传输理论上说，信息在Internet中传输，到达目的地之前会经过多台网络设备，分组数据交换时很容易被第三方在传输过程中将信息解惑，通过专门的手段将报文解码重组，从而获得报文去向和信息内容等。

欺骗式攻击：IP协议在传输信息时，利用IP伪造等技术修改返回主机地址，复制或伪造其他TCP/IP地址让返回的报文错误的转向第三方计算机，这使得很多信息没有返回到应当返回的对象单位，从而造成了大量的数据泄露。

伪装式攻击：网络中较为危险的攻击方式，攻击者会对自己的身份进行伪装，以某一特定IP地址向用户发送信息，让用户误认为攻击者是可信任对象，从而获得用户的重要信息和口令，这种攻击方式让用户误以为自己的信息始终安全，实际上是用户对自己信息的读写权限了解不清，没有特殊情况，除了授权单位外没有任何对象可以随便获得用户口令，这种攻击模式也是钻了用户不了解网络的空子。

三、一些网络安全技术手段的简要分析

网络安全技术可以细化为安全传输技术、防火墙技术和本地安全技术。安全传输技术主要包括数据加密、对等密钥等技术，保护信息在传输过程中即使被截获也不容易被第三方获得内容。防火墙技术主要通过设立安全系统，对来源于网络的威胁信息进行屏蔽，确保用户尽可能少的接触网络攻击。本地安全技术则是针对信息儲存提出的，可以通过加密存储设备、加密存储和备份等技术，来保证信息在存储过程中不会受到未授权单位的影响，最大程度上保证了信息存储的完整性。

1.物理手段。例如对于网络设备的保护，及交换机，服务器和用户数据库大型计算机等，通过制定严格的网络设备管理制度，做好设备的防火，防盗，防辐射和防断电工作，严格记录对于网络设备进行操作的用户。

2.操作控制。用户对于网络资源的获取权限进行认证控制，用户对于资源信息的访问前，首先要通过口令或者密钥的方式获得操作权限，设置严格的用户访问权限，细致到目录及目录下文件。同时，对于用户及维护人员，操作过程的整体记录也十分重要，在问题出现时能够方便找到原因，也能更快的解决问题。

3.数据加密。所谓数据加密，就是将数据通过特别的编码模式保存，保障信息被获取后无法直接获取原数据内容。数据加密工作需要网络维护人员设计足够安全的编码模式，将数据加密后，在发送端编码加密，在接收端用特定的手段解码分析，严格确保信息的传递过程中不会泄漏。

4.网络隔离。对于单台机器的隔离确保对于数据库主机操作时信息的安全，网闸则是确保信息在网络内流通时不被截获。一种是隔离方式的储存保护机制，从物理层面上保证信息的储存介质是难以获取的，另一种是安全的传递方式保护信息只在访问端与被访问端之间被操作，是基于网络通信安全的一种保护方式，通过开通一条经过保护的网络通路，使要传递的信息资源在该通路中传输得到安全的保护。

5.其他措施。信息过滤、备份用数据库的建立和数据挖掘等措施，是针对近年来网络隐患增多而采取的多重防护。信息过滤是在服务器端设立信息过滤条件，将不符合流通要求的信息移除，避免这些信息对于正常信息产生不必要的影响；数据库备份是基于物理层，将信息复制到另外一个备用的数据库中，备用数据库一般不参与网络连接，只有在主数据库出现数据丢失时，调用备用数据，确保数据流通的完整性。

四、防火墙技术的简要介绍

1.防火墙概念。防火墙是计算机中布置与Internet和局域网端口，通过一系列处理对来源于网络的信息进行保护。一般来说，计算机中的防火墙首先要保护本地资源不被来自于网络的内容所影响，能够安全的使用来自于网络的信息；其次就是要对网络中的不安全因素进行屏蔽，这种屏蔽是强制的，根据用户对网络信息的授权情况，严格过滤存在隐患的网络信息。

2.防火墙的主要组成。防火墙是有安全操作系统、过滤原则、网络关口和相关安全服务组成。

3.防火墙的基本功能。（1）在本地计算机与网络之间屏蔽不安全项，满足通过条件和符合通信协议的内容才能通过。（2）对访问站点进行控制，对非法用户的非法站点访问进行屏蔽，避免非法站点的侵害。（3）集中安全策略，在局域网规划中，安全防火墙如果附加在每个本地计算机中，容易产生基于内部攻击的隐患。实际上防火墙的功能较为集中，所以要发挥防火墙最优效果，可以将防火墙部署与集中系统中，让该系统对局域网进行保护，这样防火墙的作用才能严格被执行。（4）集中管理策略，防火墙可以对一个系统实现安全策略，就能够对这个系统进行安全管理，不再需要每台本地计算机单独管理，也避免了系统内部因为策略不同而出现安全漏洞。（5）保密功能，防火墻可以利用网关对特定服务进行屏蔽，一定程度上将隐私信息进行密封。（6）连接日志，防火墙的工作会被系统中的安全日志记录下来，具体的屏蔽操作和通过操作都会被记录，这样方便网络安全检查时有更加详细的依据。

当然防火墙也存在一定的技术漏洞，并不是有了防火墙用户就能安枕无忧。首先第一点，防火墙对外部不安全信息有屏蔽作用，但是对于防火墙内部的攻击无法做到筛选和过滤，也就是说一旦进入了受到防火墙保护的网络系统，再发动攻击防火墙是无法处理的。其次第二点无法防范后门式攻击，如果用户主动绕过了防火墙，那么用户相当于直接暴露在危险中，即使在回到防火墙中，依然可能被遗留在计算机中的后门程序攻击。还有第三点就是防火墙过滤和屏蔽不够只能，对于用户设定的屏蔽原则无条件执行，一些信息内容可能符合某些设定的评比条件，但本身不具有威胁性，那么用户就会流失掉一部分有用信息，对于网络的利用是不利的。其他缺点比如过滤器占用带宽，对计算机病毒的过滤存在漏洞等，这些问题在使用过程中和防火墙布设中都需要注意，结合不同的安全策略才能发挥防火墙的最大作用。

4.防火墙主要技术。针对Internet或局域网进入本地计算机的数据包，防火墙可以通过过滤原则和过滤器对数据进行选择过滤；对于网络环境的选择，防火墙可以通过网络关口和相关安全服务选择安全的网络代理服务。

防火墙实现数据过滤，主要是在网络层对流入本地计算机的数据流和数据包进行选择，这个选择是按照安全操作系统内设定好的安全通过规则执行的，这个规则会对数据来源的地址和去向进行检查，还会对使用本地接口和连接状态进行监控，通过来源于去向决定是否接受该数据包，接收后还会对通过的接口进行监控来确保数据包状态。防火墙数据过滤最大的优点是用户可以对通过原则修改来强化安全模式，并且过滤只要开启是必须执行的，除了用户直接操作其他应用软件不能进行修改。不过因为数据过滤技术开发较早，应用也存在一定的缺陷，过滤器在内部系统中是允许全部通过的，而如果是内部攻击则过滤器不能产生作用，也就是说过滤器对外部信息流具有过滤作用，在内部流通时不会对信息进行检查。所以包过滤只作为外层防线，现在一般在路由设备上就已经设置了过滤器。

网络关口是一种建立在应用层上的安全服务，通过信息交流协议对信息进行过滤，同时这种协议还对转发有限制作用，相较于数据过滤更多一层保护。通信协议针对网络数据进行逻辑过滤，数据包不再只是通过顾虑原则，而是要对数据包进行标记和内部分析，从日志报告我们可以看出其工作内容。在关口搭建的信息协议，对于所有通过信息都会进行逻辑分析，这种安全保证是双向的。

代理服务是一种建立在应用层上的新技术，在数据过滤和网络关口之间进行弥补，在网络通路中，有一些是跨过防火墙的，代理服务将这些通路分为两段，这样防火墙两侧计算机进行的连接将由代理服务接管，代理服务器通过安全策略对通过信息进行管理，外部网络信息进入时先进入代理服务器，相当于在本地计算机防火墙外部又搭建了一个更为严格防火墙，这样那些直接接入本地计算机的内部网络也能得到防火墙的处理。

理论上基于网络层的安全技术效率最高，但安全性最差，因为网络层安全策略最简单，检测机制也更为简单；而应用层的安全技术安全性最高，效率也由安全策略决定，例如代理服务，在应用层上采用分段式链路，在之间接入计算机之前安置服务器，通过服务器内嵌安全策略对信息进行安全处理，明显需要的时间更长，但这样的安全措施更有保证，避免了网络层安全漏洞。

五、总结

网络安全问题不容小视，尤其是对企业和重要服务器，信息时代信息安全就是最重要的保证。防火墙技术是较早的网络安全策略之一，是计算机接入互联网时信息安全的重要防线，在搭建系统安全策略时，一定不要忽略了防火墙技术的应用，从基础上建立起坚实的防护机制，再结合更多新的安全机制，才能更为全面的形成安全系统，最大程度保护信息的安全。

参考文献

[1]张鸣，高杨.计算机网络安全与防火墙技术研究[J]. 黄河水利职业技术学院学报. 2011（02）.

[2]葛玮，谢坚，刘斌.基于终端的计算机网络防御体系技术小析[J]. 江西电力职业技术学院学报.2011（01）.

[3]罗黎明.加强内部网络安全管理浅谈[J]. 长江大学学报（自然科学版）理工卷. 2010（01）.

[4]贾成兵.基于防火墙的身份认证模块的分析与设计[J]. 硅谷. 2010（24）.

[5]张洁.计算机网络安全之防火墙[J]. 电脑知识与技术. 2011（01）.

（作者单位：伊犁州公安边防支队司令部）