防火墙技术在计算机网络安全中的应用分析

2023-12-01李生勤

数字通信世界 2023年10期

李生勤

（甘肃省武威市凉州区职业中等专业学校，甘肃武威 733000）

随着网络在各行业的不断渗透，很多行业、单位内部网络会涉及核心、敏感资料，这些重要资料一旦泄露极具破坏性，因此，保障网络安全有着重要的现实意义。防火墙技术是保障网络安全的重要技术之一，能够有效抵制大量携带病毒的危害信息，实现安全可靠的数据传输和通信，预防各种外部恶意攻击，切实保证用网安全可靠。

1 防火墙技术种类

1.1 包过滤技术

包过滤技术主要应用于网络层，用于识别和控制数据包的目的IP地址和源IP地址。如果是在传输层，仅能识别数据包所用端口以及数据包采用是UDP还是TCP[1]。目前，很多操作系统、Switch Router、路由器都使用了这项技术，该技术仅分析端口、TCP/UDP、IP地址，处理速度快、效率高且容易配置[2]。

1.2 代理技术

代理服务器作为网络边界的一道防线，在接受客户请求之前，先验证请求的合法性，如果合法，代理服务器作为客户机获取目标信息，再将目标信息转发给客户。这种方式通过代理服务器对外提供服务，而客户看不到任何内部资源，有效隔离外界和内部系统[3]。代理服务，一方面封锁不被认可、不被信赖、没有代理的服务，仅允许认可、信赖、有代理的服务通过，确保计算机网络安全；另一方面，可以过滤特定目的的协议，例如，可过滤FTP，阻止用户使用FTP命令在匿名服务器上写文件。这类防火墙技术是一类先进的防护技术，有较高的安全性。具体应用中根据一定流程处理数据包，其处理数据包流程见图1。

图1 应用代理性防火墙技术处理数据包流程

1.3 网络地址转换技术

通常，采用内部网络使用的IP地址不能直接访问外部网络，而采用网络地址转换技术完美解决了这一问题。

1.4 状态检测技术

状态检测技术使用基于连接的机制，其安全又灵活，可以有效处理动态端口协议，在实际检测过程中，同一连接中的全部数据包被视为一个整体，并生成动态连接状态表，再结合规则表，能够识别每个连接状态因素，从而及时关闭和打开动态端口[4]。

1.5 下一代防火墙

下一代防火墙在原有基础上进行更新，增加了识别引擎与匹配策略等功能，这些更新使设备性能要求降低，并提升系统的安全性，同时还融合了入侵检测、VPN和防病毒等功能，功能更丰富，因此更受市场用户的青睐。与传统防火墙相比，该防火墙在检测方面更精细，可以有效检测僵尸网络的传输方法。此外，其还可以仔细检查深层数据包，以识别已知攻击与未部署补丁的软件与系统，从而实现入侵防御系统（IPS）的精细化检查。不过这种方式也存在一定的缺陷，不能对程序滥用情况进行有效识别，很难有针对性地保护应用程序的具体特性。

2 防火墙技术在计算机网络安全中的应用分析

2.1 安全服务配置

DMZ全称为安全服务隔离区，将系统管理集群和服务器集群作为安全服务隔离区，形成一个单独局域网，属于内部网络。之所以划分出来单独管理，是为了保护服务器上的数据[5]。为了更好地保护内部网络安全，可以对内部网络的IP地址和结构进行屏蔽，借助防火墙利用网络地址转换技术（NAT）将内部网络主机地址映射为相应的有效公网IP地址。这不仅可以有效加强内部网络安全，还可以最大程度地减少公网IP地址的使用，降低投资成本。

如果之前已经有边界路由器，可在原有路由器的基础上，通过增加相应的配置使原来的路由器拥有防火墙的功能，然后再将要保护的内部网络与其相连，而安全服务隔离区中的公用服务器不经过防火墙就可直接和该路由器相连。这时，防火墙和边界路由器形成了两道安全防护。与此同时，这两者间可设置一个安全服务隔离区用于放置公共服务设施。其具体网络拓扑结构见图2。

图2 网络拓扑结构图

2.2 配置访问策略

在设置防火墙访问策略时，需要详细统计单位内部与外部应用的情况，包括UDP或TCP的端口、目的地址和源地址等信息等，这些信息对于安全访问策略至关重要。由于防火墙按照规则表的顺序查找规则[6]，因此，常用规则的位置越靠前，查找效率就越高。由此根据应用的执行频率，对访问策略进行规则表位置排序，能够显著提高防火墙的效率。

2.3 日志监控

日志监控是网络安全中有效且重要的安全管理手段之一。以往管理员普遍认为需要采集所有日志信息，包括不匹配的流量、告警和策略匹配等，这种方式看似很完善、有用，然而实际上过多的数据记录会增加服务器的负担。事实上，仅需要采集最核心、最关键、最有用的部分日志即可。通常，系统告警信息是核心关键日志，流量信息中仅需要保存和网络安全相关的流量信息即可

2.4 身份验证和加密技术

防火墙技术不仅可以用在安全配置和日志监控中，还可用于验证身份和加密。通过身份验证的使用者可以访问资源、分享和获取信息，进而实现通信。这种方式能够有效保证通信过程的安全性。另外，防火墙具有加密功能，可对部分机密信息进行加密，以提供高效率、高质量的保护，提升数据传输的安全性，防止恶意攻击，降低信息被篡改的风险。与此同时，防火墙还可以有效过滤携带病毒的危害信息，使其不能进入计算机内部网络。

3 防火墙配置

防火墙配置步骤：首先配置VPN服务器，其次配置VPN客户端，最后使服务器和客户端VPN连接建立。具体操作步骤是，先确保VPN客户机和VPN服务端都能正常上网且VPN服务器有Internet公网IP地址，然后VPN客户机使用虚拟拨号连接VPN服务器，这样VPN客户机和VPN服务器处于一个局域网[7]。该局域网和其他普通局域网相同，局域网内资源共享，任何一台计算机都可以依据相应权限访问其他计算机上资源。

3.1 VPN服务器的配置

VPN服务器配置使用系统自带组件即可，操作系统可以是Windows7、Windows8、Windows10等，配置的一个前提条件是VPN服务器可以正常上网且有独立公网IP地址。以Windows Server 2012 R2为例，其默认没有安装VPN服务。Server 2012安装VPN服务的步骤是先打开“服务器管理器”，再添加角色和功能，在勾选远程访问和路由后单击下一步，单击“安装”在开始安装VPN服务，服务安装完成后会呈现在左下角开始选项页面。具体的配置过程如下：①在开始选项页面找到“路由和远程访问”并打开其控制台；②找到左侧列表“SERVER（本地）”后右键单击，单击“配置并启动路由和远程访问”，进入到安装向导窗口；③在安装向导欢迎页面，选择“自定义配置”后单击“下一步”；④勾选VPN访问和NAT后单击“下一步”按钮直到出现“启动服务”，单击“启动服务”；⑤在IPv4下找到NAT，右键单击选择“新增接口”，选择外网接口后点击确定，在弹出的属性中选择“公用接口连接到Internet”，同时勾选“在此接口上启用NAT”，最后单击“确定”；⑥右键单击“SONG(本地)”选择属性，在属性页面单击“IPv4”配置客户端地址池。

3.2 赋予用户拨入权限

通常，计算机上所有用户默认均不被允许拨入VPN服务器，这要为用户设置拨入权限，以“user”用户为例：①右键单击“我的电脑”，通过“管理”进入“计算机管理”控制台；②在左侧打开“本地用户和组”，再打开“用户”，双击“user”进入user属性窗口；③点击“拨入”按钮，在选择（拨入或VPN）权限的选项组中，设为“允许访问”，确定后返回，此时user用户具有了拨入权限。需要注意的是，创建用户可以指定某一静态IP，但不能是地址池的起始IP地址（起始IP地址不起作用），同时不能超出池最后一个IP地址（超出也不起作用）。

3.3 VPN客户机的配置

客户机配置VPN的具体过程如下：①在客户端打开“网络和共享中心”，设置新的网络或连接；②单击“连接到工作区”选择“使用我的Internet连接VPN”；③选择稍后设置Internet连接，在地址一栏填入VPN服务器IP地址后单击“创建”按钮，然后单击连接；④填写正确的用户名与密码后单击“确定”按钮，完成VPN客户端的配置，此时成功建立一个专用的虚拟通道，可以进行安全可靠的通信。

3.4 VPN网络实际应用中遇到的问题及解决办法

（1）VPN客户机和VPN服务器连接建好以后，客户机怎样访问服务器所在网络？方法是通过“网上邻居”或在地址栏填入目标计算机IP地址来访问与其他计算机共享的网络资源。

（2）成功建立VPN网络后，客户机可能无法正常访问互联网，这是因为服务器的网关会覆盖客户机原本的网关设置，可以通过禁止VPN客户机使用服务器的默认网关来有效解决这一问题。

（3）成功建立VPN网络后，VPN服务器和客户机已经成功建立的连接没有在“网上邻居”显示。这一问题的解决办法是确保服务器和客户机在相同工作组中，且两者都需安装“NetBEUI”协议。

（4）如何直观、快速、全面地找到活跃计算机的I P 地址、计算机名及共享的资源？具体步骤为:借助“IP-Tools”软件，在工具列表中选择“NB Scanner”；在“NB Scanner”界面中，填写需要扫描的IP地址范围；点击"Start"按钮开始扫描；“NB Scanner”会展现活跃计算机的IP地址、计算机名及共享的资源等重要信息。