关于计算机防火墙安全应用的思考

2016-03-28高伟华赤峰学院附属医院内蒙古赤峰024000

赤峰学院学报·自然科学版 2016年9期

高伟华（赤峰学院附属医院，内蒙古赤峰 024000）

关于计算机防火墙安全应用的思考

高伟华
（赤峰学院附属医院，内蒙古赤峰 024000）

摘要：世界一体化的进程逐渐加快，我国的社会经济也在时代的变迁中迅速发展，信息技术的进步日益发达，带动了计算机与互联网的普及，人们获取信息的来源逐渐从纸质媒介拓展到电子媒介中，但与纸质媒介不同，计算机是连接互联网的终端，处理着大量繁杂的信息，而互联网实际上并不友好，常有一些威胁计算机本身安全的信息存在，计算机防火墙便是保护计算机系统的重要设置，因此，研究计算机防火墙的类型，找到影响计算机网络安全的主要因素，再分析如何将计算机防火墙的安全性能发挥到最优，是现代信息技术的重要内容.

关键词：计算机；防火墙；类型；因素；安全应用

随着计算机技术的日益进步，网络时代的飞速发展，二者对于人们的生活工作都起到了非常大的帮助，但与此同时，随着黑客技术的发展壮大，也向大众的计算机安全发出了挑战，黑客技术发挥的能量甚至足以远程破坏一台电脑的正常工作，此类的侵害已经在一定程度上影响了单位、个人的计算机设备安全以及个人隐私的保护.如若系统遭到了打击破坏，其计算机更是需要进行大量繁杂的恢复重置工作才能够令其计算机回归到原始状态，因此，一个良好的防火墙程序对计算机软硬件、个人资料、公司机密等等方面的保护是十分重要且必要的.

1 计算机防火墙的一般类型

防火墙实际上是一套对两个或多个网络之间数据传输过程中，一个安全类别的组策略监控器.它存在于网络中的边界，有软件代码及硬件承载，它经过策略的编写，来监控途径的数据访问及交换，在有效的策略内来阻止病毒及木马程序的入侵，因此，从应用技术角度，我们可以将防火墙大致分为三大类：

1.1 过滤防火墙

过滤类型的防火墙主要的作用是以最基本的工作形态，来逐个拆包读取途经的数据包，也可以成为“包过滤型技术”，这类防火墙的应用原理完全是按照一个已经建立好的一套策略来进行过滤.在网络层与传输层中，包过滤防火墙通过将两端数据之间每个数据包的地址，目的地址以及端口、协议等全部进行对比，从而判定其数据包的来源及应用方式，之后决定是否令其通过，其中有一项数据不匹配，将直接把此数据包进行丢弃处理，以防万一.过滤性防火墙的原理也决定他的局限性，但因为其价格低廉且有效，许多设备都采用了此类技术的防火墙进行基本防护.

基础性的过滤防火墙，其优点就是只需通过一个硬件承载防火墙，通过设备进行检查的数据能够得到完全观察从而来确定安全与否，但缺点也是显而易见的，由于技术的发展，地址欺骗、伪装、黑客技术的强制规则都会让正常的包过滤规则无从下手.

1.2 代理防火墙

代理防火墙顾名思义，它实施的是代理机制，此类防火墙是利用转发通过在OSI网络的应用层中进行建立过滤协议，从而达到过滤目的，主要针对网络服务中的应用协议，其使用与常规过滤型防火墙不同的数据逻辑，来进行监控与控制数据包的走向.能够有效地阻隔不明来源及非法的数据.也因为其原理为代理机制，因此模式属于只读应用专门处理相关服务.使外界计算机只能够发现其防火墙数据，观察不到被保护计算机的数据.这样能够从根源阻断外部计算机对防火墙发起的意外问题.在保护了网络安全的同时，也能够保证防火墙本身的策略逻辑不被推翻.

代理型的防火墙主要的优点即是安全.其可以针对网络中的任何层面进行分层保护.也因其保护面积过于广泛，其缺点也是非常明显的.由于通过代理机制频繁过滤数据，因此在运算处理过程中速度相对较慢，当数据吞吐量达到一定程度，代理防火墙便成为了影响处理速度的罪魁祸首，虽然能够保证其安全，但会影响正常的访问速度.

1.3 监控防火墙

防火墙的主要工作即是保证计算机的运行安全，监控型防火墙的技术实际意义已经是超越了单纯的过滤型防火墙及代理型防火墙，它的原理是在运行中将各层数据进行实时监控，微小的更改也能够引起检查，其次监控型防火墙能够不定时的进行相关数据抽取检查来实现整体布局的安全.监控防火墙的过滤规则是根据抽取检查的结果来进行实时适应修改安全策略，以保证在安全检查的前提下而又不影响速度，其特有的分布式探测功能能够有效地察觉并阻止外部来源的攻击，且其规则对计算机内部的恶意行为也拥有强大的预防作用.

监控防火墙独特的性能和安全策略，有效的避免了因端口问题所带来的安全隐患，且占用率及处理速度都要优于前两者，因此监控型防火墙的性能、技术都比较优越.

2 影响计算机网络安全的主要因素

2.1 系统病毒

入侵计算机系统的病毒主要是由病毒编程人员将一段带有破坏性的数据写入了一个正常外表的可执行文件中，此类文件普遍后戳为EXE或DLL，病毒程序能够通过自我繁衍、复制，来感染其他计算机里的正常系统程序.系统病毒具有很强大的传播性，感染性及破坏性，这段可执行代码类似医学中的生物病毒，可以互相传染，自我再生，通过向各种文件中复制病毒数据，在用户之间互相访问时又带给了另一用户，其独特的复制能力往往让感染后的计算机难以根除.

2.2 系统漏洞

系统漏洞是指在软件开发和系统创建发展过程中在程序逻辑中所产生的错误和先天缺陷.这些缺陷和错误统称为漏洞.漏洞通常会被不法分子所利用，通过网络系统漏洞，将病毒木马送到系统中来，攻击并破坏计算机，盗取资料及个人信息，系统漏洞的存在是不可避免的，软件与软件在互相唤醒中的特权漏洞，硬件与软件在使用过程中产生的BUG等很多种情况下都会产生不懂种类及危害程度的漏洞.

2.3 非法入侵

网络安全中最大的安全隐患当属黑客的非法入侵.他会利用操作系统及网站的各类漏洞及特权进行分析，找出突破口对目标计算机进行入侵，在后台放置隐藏程序，在windows启动时悄悄的随之而运行，并且向黑客发出信号.告知黑客计算机已经连接互联网，并将计算机的IP地址，端口等等暴露.黑客利用得到的信息，运行木马，夺取超级权限后完全控制计算机，一旦被控制，危害性极大，轻者计算机由于木马的影响而陷入瘫痪，重者丢失机密、银行信息等重大财产资料.

3 计算机防火墙的安全应用

防火墙的基本功能全在两端或多端网络之间，通过不同的信任程度进行放行或组织书数据的传输.在防火墙的保护下，入侵者就必须穿过防火墙这一道防线，而后才能见到计算机本来面目，因此在计算机防火墙的安全应用方法上，应做到以下两点.

3.1 监控防火墙日志

通过监控防火墙的日志，能够有效调整运行规则以及当前形势下的规则是否适用等情况.计算机防火墙在工作的时候会保留一块区域，用来记录发现问题时的具体详细信息，以供计算机恢复之后来查看原因.因此计算机防火墙的日志监控是工作中是必不可少的，通过监控日志，可以深入的解决问题并且不易找到问题.

3.2 安全策略的应用

日志的监控只能够发现正常行为表现，当进行下一步的时候首先要有一个坚固的防火墙作一名个后盾，后将配置好的防火墙应用到相关网络中去.需要注意的是，防火墙的安全配置将决定了防火墙的用处，在配置方面可以将网络服务器的服务进行激活，如今当下的网络服务大致有以下几种：DNS、FTP、web、SSH等等，在配置时就将每种服务器里的各类服务器程序分散给各个端口，这样一来，两端的网络在结合过程中的安全情况将大大增加.

在制定防火墙的过程中，安全策略是防火墙诞生的第一步.要明确哪些数据是让过的，哪些则需要直接丢包的.这便拥有了防火墙的基本雏形，接下来才可以进行安全策略的细致策略.例如，通过以防火墙的安全方案配置，将所有软件的可执行程序放在防火墙上，等待程序运行时将数据进行直接检查，这样的做法要比等待数据执行后再进行拦截要安全得多.类似的集中处理也更加经济省时，从而提高计算机与数据之间的传输效率.

其次要对网络数据的存储读取进行监控.由于指定的规则决定了所有的数据都应经过防火墙才能够到达目的地，这样的情况表明了防火墙本身就可以记录下来完整的数据日志，并且还能够统计流量，记录数据发生.当访问过程中发现可疑数据运行时，防火墙可以直接对照已经定制的策略进行适当的警报，并且提供当前计算机是否被黑客所监控，必要时直接丢包.

收集网络中其他有利因素进行学习性补充也是防火墙可做的重要工作之一.这不仅仅能够令防火墙提前预知所发现的数据是否能够有能力阻挡，也能够令防火墙对未知的文件发出警告，通知用户手动进行查看排除，有助于问题的分析及防火墙能力的提升并且降低用户计算机受到新型病毒的攻击风险.

通过策略的应用，利用防火墙本身的特性，将内部网络进行划分，将一整条网段分成多个，划分出主要和次要监控区，且两部分进行根本隔离，限制局域网之间数据传输，防止互相访问数据时所发生的安全问题，从而保证了内部网络访问过程中的数据安全.并且可以通过防火墙的策略设定，将内部网络隐私化，例如将敏感词汇从内部就进行隐藏，内部网络互相传输过程中就不会引起外部攻击者的注意，降低被入侵的风险.例如，将公共账户关闭，利用防火墙将finger所显示的消息进行阻塞，同理将DNS的有关信息也进行隐藏.这样内部网络之间的用户名，数据真名，登录时间以及个人隐私记录都会被防火墙所监控并阻塞外泄，不被外界所了解.从根本上保护了用户的数据安全.