0 引言

隨著科學(xué)技術(shù)的進(jìn)步，計(jì)算機(jī)的性能也在不斷提升，越來越多的領(lǐng)域使用到計(jì)算機(jī)。如今計(jì)算機(jī)和電子設(shè)備已經(jīng)是我們每個(gè)人無論是生活還是工作都必不可少的一部分，計(jì)算機(jī)和網(wǎng)絡(luò)為我們的生活和工作提高了很大便捷，因而我們的生活?yuàn)蕵?、工作和學(xué)習(xí)方式已經(jīng)越來越依賴計(jì)算機(jī)、電子設(shè)備和網(wǎng)絡(luò)的幫助。但是信息技術(shù)的快速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問題也是越來越多，應(yīng)對(duì)這些安全問題方面的不足之處也是日益嚴(yán)重，為了更好的利用計(jì)算機(jī)給我們的生活工作提供便利，同時(shí)更要防止網(wǎng)絡(luò)安全問題對(duì)我們帶來不良影響，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與防火墻技術(shù)進(jìn)行更深層的研究已經(jīng)是我們工作的當(dāng)務(wù)之急，只有這樣才能為我們未來充分利用計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)營造出一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

1 計(jì)算機(jī)與網(wǎng)絡(luò)安全的現(xiàn)狀

計(jì)算機(jī)的普及，網(wǎng)絡(luò)安全技術(shù)在電腦中的應(yīng)用也被人們?cè)絹碓街匾?，其?yīng)用的領(lǐng)域已是極為廣泛。比如，在我們的日常生活中，計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)的被應(yīng)用最為常見的就是網(wǎng)上購物了，無論何時(shí)何地，我們只需利用計(jì)算機(jī)在網(wǎng)絡(luò)上進(jìn)行買賣交易，就會(huì)體會(huì)到網(wǎng)絡(luò)安全與防火墻的防御技術(shù)為我們資金安全帶來的的安全感；再如，在很多商業(yè)活動(dòng)中，企業(yè)信息化和網(wǎng)絡(luò)化的管理方式，使制造商、供應(yīng)商和零售商三方之間的相關(guān)信息資料都能夠通過安全秘鑰等安全技術(shù)在第一時(shí)間就獲得，非常方便快捷且安全；又如，在教育方面，網(wǎng)絡(luò)上的在很多線教學(xué)，主要建立在一個(gè)安全、保密的系統(tǒng)之上，這使讓教育教學(xué)顯得得更加方便、學(xué)習(xí)也顯得更加有樂趣；在醫(yī)學(xué)方面，遠(yuǎn)程會(huì)診也逐漸開始被醫(yī)生們利用起來，坐診的醫(yī)生可以通過安全的網(wǎng)絡(luò)環(huán)境相互傳送醫(yī)療資料，為身在全國各地的患者們?cè)\斷病情，這樣在充分醫(yī)療資源的情況下，也有效地防止了患者隱私泄露出去。如今我們正在朝著智能家居的方向發(fā)展，各個(gè)產(chǎn)商也在不斷推出自己的智能家居產(chǎn)品，這個(gè)時(shí)候網(wǎng)絡(luò)安全技術(shù)與保密技術(shù)也需要為智能家居提高安全保障，我們可以通過遠(yuǎn)程網(wǎng)絡(luò)操作確認(rèn)家庭環(huán)境的安全和隱私，今后的我們一定會(huì)向著生活更加智能化、隱私更加安全化的方向發(fā)展。由此可見，隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，防火墻技術(shù)的越來越多的被利用和完善，在未來的各個(gè)領(lǐng)域它都將發(fā)揮出無法被取代的作用。

2 網(wǎng)絡(luò)信息安全的主要威脅

2.1 網(wǎng)絡(luò)信息安全威脅的來源

網(wǎng)絡(luò)信息安全威脅的主要來源大致可分為兩大類，一種是自然原因，網(wǎng)絡(luò)設(shè)備的自然老化，設(shè)備之間搭建的不合理等，都會(huì)直接或者間接地使得計(jì)算機(jī)網(wǎng)絡(luò)信息安全性能降低，這種很容易影響信息的存儲(chǔ)，也很容易造成信息的丟失。那么，在平時(shí)的工作當(dāng)中，負(fù)責(zé)管理設(shè)備的工作人員做好這方面的保障工作，最大限度的避免自然原因給網(wǎng)絡(luò)信息安全帶來不良影響。還有一種網(wǎng)絡(luò)信息安全威脅來源于人為因素，計(jì)算機(jī)網(wǎng)絡(luò)安全最嚴(yán)重的威脅主要來源于人為因素造成，人為攻擊安全系統(tǒng)，利用系統(tǒng)的缺陷，從而達(dá)到破壞、欺騙和竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上的損失和政治方面信息的泄露?？偠灾谟?jì)算機(jī)網(wǎng)絡(luò)信息安全方面，網(wǎng)絡(luò)資源的不合理濫用、信息的泄露、用戶不合理的操作或者惡意行為、數(shù)據(jù)庫存儲(chǔ)的安全隱患等等這些都是計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅的來源。

2.2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的具體因素

（1）網(wǎng)絡(luò)本身的開放性。網(wǎng)絡(luò)上為了方便用戶訪問互聯(lián)網(wǎng)的各種信息資源，使得網(wǎng)絡(luò)具有很高的開放性，這樣便使得一個(gè)單位、企業(yè)或者個(gè)人的一些相關(guān)信息很容易獲得。

（2）網(wǎng)絡(luò)資源具有共享性。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的本身目的就是方便資源的共享，但是這剛好給攻擊者利用共享的資源對(duì)系統(tǒng)安全進(jìn)行破壞提供了條件。

（3）網(wǎng)絡(luò)操作系統(tǒng)本身存在漏洞。網(wǎng)絡(luò)操作系統(tǒng)一方面要負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備之間的接口封裝，另一方面還要保證網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序的實(shí)現(xiàn)。然而網(wǎng)絡(luò)協(xié)議和服務(wù)的實(shí)現(xiàn)存在很大復(fù)雜性，這也就決定了網(wǎng)絡(luò)操作系統(tǒng)在實(shí)現(xiàn)過程中必然會(huì)存在各種缺陷和漏洞。

（4）網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)存在缺陷。任何一個(gè)系統(tǒng)不可能做到盡善盡美，只有經(jīng)過不斷的改善才能避免安全隱患的產(chǎn)生。網(wǎng)絡(luò)系統(tǒng)也是一樣，在設(shè)計(jì)初期，由于設(shè)計(jì)人員，技術(shù)原因，沒有經(jīng)過合理的檢測等等這些都會(huì)造成網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)存在或多或少的缺陷，因而很容易被人為利用并攻擊，給網(wǎng)絡(luò)安全留下隱患。

（5）人為的攻擊。人為攻擊就是我們比較常見的黑客攻擊和網(wǎng)絡(luò)病毒攻擊，這個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅是最難防范的，而且一般后果都比較嚴(yán)重。隨著計(jì)算機(jī)技術(shù)的普及，人為的攻擊也是越來越多，給我們?cè)斐傻膿p失也是越來越大。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)對(duì)策

3.1 計(jì)算機(jī)網(wǎng)絡(luò)物理安全

所謂的物理安全就是指保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器和打印設(shè)備等實(shí)體硬件和通信鏈路不受自然災(zāi)害影響、人為破壞和惡意搭線攻擊；對(duì)用戶的身份及使用權(quán)限進(jìn)行驗(yàn)證，防止個(gè)人的越權(quán)操作行為；保證計(jì)算機(jī)系統(tǒng)在一個(gè)良好的電磁兼容環(huán)境中進(jìn)行工作；建立和完善計(jì)算機(jī)網(wǎng)絡(luò)的安全管理制度，杜絕非工作人員非法進(jìn)入計(jì)算機(jī)控制室進(jìn)行偷竊或者破壞行為的發(fā)生。抑制和防止電磁泄漏是計(jì)算機(jī)網(wǎng)絡(luò)物理安全需要解決的主要問題。當(dāng)前我們對(duì)此主要抑制和防止措施主要有兩種：一種是防護(hù)傳導(dǎo)發(fā)射，主要方法是對(duì)電源線和信號(hào)線加裝濾波效果良好的濾波器，減小傳輸阻抗與導(dǎo)線間的交叉耦合。另一種是防護(hù)輻射，可以采用各種電磁屏蔽方法，比如對(duì)設(shè)備的金屬進(jìn)行屏蔽和各種接插件進(jìn)行屏蔽，除此外我們還需要對(duì)機(jī)房的下水管、暖氣管道甚至是金屬類門窗都要進(jìn)行屏蔽及隔離；另外還可以通過安裝干擾裝備干進(jìn)行防護(hù)，就是指在計(jì)算機(jī)系統(tǒng)工作的時(shí)候，我們利用干擾裝置產(chǎn)生的偽噪聲來掩蓋計(jì)算機(jī)系統(tǒng)工作的頻率及信息的特征?？偠灾?jì)算機(jī)網(wǎng)絡(luò)物理安全對(duì)策能夠很有效的對(duì)計(jì)算機(jī)安全進(jìn)行防護(hù)。

3.2 入網(wǎng)訪問控制的限制

對(duì)訪問權(quán)限進(jìn)行管理能夠有效的阻止網(wǎng)絡(luò)資源的非法竊取行為的發(fā)生。訪問控制的限制能夠?qū)W(wǎng)絡(luò)資源安全起著非常重要的作用，這也是我們計(jì)算機(jī)網(wǎng)絡(luò)安全的重要手段之一。入網(wǎng)訪問控制的限制：網(wǎng)絡(luò)訪問是我們安全防護(hù)的首要關(guān)卡，通過訪問控制管理的方式來決定用戶是否能登陸到服務(wù)器，并決定用戶是否有獲取資源的權(quán)限。對(duì)用戶的入網(wǎng)訪問控制主要可分為三個(gè)步驟：對(duì)用戶的賬戶名進(jìn)行驗(yàn)證、對(duì)用戶的口令進(jìn)行驗(yàn)證、對(duì)用戶帳號(hào)的缺省限制驚喜檢查。只有以上三個(gè)步驟都通過方可具備訪問該特定網(wǎng)絡(luò)的權(quán)限，否則將被該網(wǎng)絡(luò)拒絕。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)防火墻防護(hù)

所謂的防火墻就是我們用來強(qiáng)化網(wǎng)絡(luò)訪問控制的另外一種網(wǎng)絡(luò)防護(hù)設(shè)備，利用網(wǎng)絡(luò)防火墻我們對(duì)用戶進(jìn)行限制，從而達(dá)到避免一些非法用戶的非法訪問造成網(wǎng)絡(luò)資源被竊取的行為的發(fā)生。它主要的運(yùn)行機(jī)制在網(wǎng)絡(luò)和網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)包傳遞的時(shí)候進(jìn)行檢測，判斷數(shù)據(jù)的傳遞是否在允許的范圍之內(nèi)，若不在允許之內(nèi)就會(huì)瞪起進(jìn)行阻止，這樣一方面可以對(duì)網(wǎng)絡(luò)的運(yùn)行起著監(jiān)視的作用，一方面也對(duì)網(wǎng)絡(luò)安全騎著防護(hù)的作用。

4 防火墻技術(shù)

在計(jì)算機(jī)網(wǎng)絡(luò)安全方面，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全及訪問控制都比較容易實(shí)現(xiàn)，但是由于計(jì)算機(jī)的復(fù)雜性與多變形，網(wǎng)絡(luò)防火墻也呈現(xiàn)出復(fù)雜性和特殊性的特征，下面筆者針對(duì)防火墻技術(shù)進(jìn)行了一些詳細(xì)分析，希望能對(duì)計(jì)算機(jī)的安全防護(hù)有所幫助。

4.1 計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的概述

網(wǎng)絡(luò)防火墻由軟硬件共同組成，他們共同對(duì)計(jì)算機(jī)信息安全起著非常重要的作用。比如個(gè)人計(jì)算的網(wǎng)絡(luò)防火墻，他可以作用于內(nèi)部網(wǎng)與外部網(wǎng)之間，從而為互聯(lián)網(wǎng) Internet和企業(yè)內(nèi)部網(wǎng)（Intranet）建立網(wǎng)關(guān)，使得內(nèi)部網(wǎng)關(guān)使用者信息避免了泄露出去，從而保障用戶的信息安全。一旦防火墻開始運(yùn)作，加強(qiáng)對(duì)內(nèi)外網(wǎng)的使用限制，內(nèi)部用戶網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換將受到很大程度上的限制。運(yùn)行網(wǎng)絡(luò)防火墻，就好比擁有了一堵能把病毒等對(duì)計(jì)算機(jī)產(chǎn)生破壞的程序的隔離在外的一座“防火墻”。而防火墻充分利用能夠在確保網(wǎng)絡(luò)安全運(yùn)作情況下還能讓用戶網(wǎng)絡(luò)內(nèi)部的安全運(yùn)行，極大程度上保護(hù)了網(wǎng)絡(luò)信息的安全性。

4.2 網(wǎng)絡(luò)防火墻的功能和特點(diǎn)

防火墻不僅是簡單對(duì)我們計(jì)算機(jī)網(wǎng)絡(luò)信息安全騎著保護(hù)作用，它還具備很多功能和特點(diǎn)。其中最為突出的功能和特點(diǎn)分別有以下幾方面：一方面，防火墻可以對(duì)非本機(jī)的數(shù)據(jù)進(jìn)行檢查和篩選，避免一些惡意軟件和代碼附著在數(shù)據(jù)中對(duì)本機(jī)造成攻擊，于此同時(shí)防火墻還可以對(duì)訪問網(wǎng)站進(jìn)行檢測，防止網(wǎng)站上的非主觀操作給本機(jī)造成攻擊。其次，防火墻的可以檢查出網(wǎng)站合格和不合格，合格的網(wǎng)站才方可進(jìn)行訪問，不合格的將被拒絕，從而避免了計(jì)算機(jī)受網(wǎng)站上病毒和惡意代碼的入侵。此外，防火墻的使用可以保護(hù)操作者的使用記錄情況，當(dāng)操作者的使用記錄被泄漏是會(huì)在第一時(shí)間報(bào)告給使用者。由此可見，防火墻不僅可以保護(hù)電腦的的安全，還能防止用戶信息外露。

4.3 網(wǎng)絡(luò)防火墻的主要體系結(jié)構(gòu)及其優(yōu)缺點(diǎn)

防火墻主要的體系結(jié)構(gòu)有以下幾類：包過濾型防火墻；雙宿/多宿主機(jī)防火墻；被屏蔽主機(jī)防火墻；被屏蔽子網(wǎng)防火墻；其他防火墻體系結(jié)構(gòu)。

4.3.1 包過濾型防火墻

優(yōu)點(diǎn)：（1）處理數(shù)據(jù)包的速度較快（與代理服務(wù)器相比）；（2）實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用；（3）包過濾路由器對(duì)用戶和應(yīng)用來說是透明的。

缺點(diǎn)：（1）包過濾防火墻的維護(hù)較困難；（2）只能阻止一種類型的 IP欺騙；（3）任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)，一些包過濾路由器不支持有效的用戶認(rèn)證，僅通過 IP地址來判斷是不安全的；（4）不能提供有用的日者或者根本不能提供日志；（5）隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降；（6）IP包過濾器可能無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。

4.3.2 雙宿/多宿主機(jī)防火墻

優(yōu)點(diǎn)：（1）可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性；（2）可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。

缺點(diǎn)：（1）使訪問速度變慢；（2）提供服務(wù)相對(duì)滯后或者無法提供。

4.3.3 被屏蔽主機(jī)防火墻

優(yōu)點(diǎn)：（1）其提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）；（2）入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)；（3）安全性更高。

缺點(diǎn)：路由器不被正常路由。

4.3.4 被屏蔽子網(wǎng)防火墻

優(yōu)點(diǎn)：安全性高，若入侵者試圖破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由，既不切斷連接，同時(shí)又不使自己被發(fā)現(xiàn)，難度系數(shù)高。

缺點(diǎn)：（1）不能防御內(nèi)部攻擊者，來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的，他們的所有攻擊行為都不通過防火墻；（2）不能防御繞過防火墻的攻擊；（3）不能防御完全新的威脅：防火墻被用來防備已知的威脅；（4）不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊：防火墻不能防御基于數(shù)據(jù)驅(qū)動(dòng)的攻擊。

4.4 網(wǎng)絡(luò)防火墻的硬件連接

防火墻的連接位置非常關(guān)鍵，其硬件的連接主要在內(nèi)網(wǎng)與外網(wǎng)連接的中間區(qū)域，從而可以對(duì)外網(wǎng)訪問的數(shù)據(jù)起到過濾和監(jiān)控的作用。當(dāng)防火墻上有 WAN 接口這種情況，我們直接將 WAN接口連接在外網(wǎng)方可，而防火墻所有接口都為 LAN 接口的這種情況下，我們通常選這最后一個(gè) LAN接口連接外網(wǎng)。其他 LAN接口用作內(nèi)網(wǎng)內(nèi)其他網(wǎng)絡(luò)設(shè)備。

4.5 常見的防火墻技術(shù)

目前，防火墻技術(shù)已經(jīng)成為運(yùn)用最多的網(wǎng)絡(luò)安全產(chǎn)品之一。作為最主要的保護(hù)網(wǎng)絡(luò)安全的有效手段之一，近些年來，防火墻的技術(shù)得到了迅速的發(fā)展，并取得了很大的進(jìn)步，下面主要闡述以下三種防火墻技術(shù)：

（1）包過濾型防火墻（網(wǎng)絡(luò)級(jí)防火墻）

這種防火墻一般是以源地址和目的地址、應(yīng)用、協(xié)議和每個(gè)IP包的端口來作出通過與否的依據(jù)。而路由器便是一個(gè)簡單且常見的包過濾性防火墻，路由器通過檢查這些信息來判斷是否將所收到的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，只有滿足了所有過濾的條件的數(shù)據(jù)包才可以通過被轉(zhuǎn)發(fā)，而不能滿足條件的數(shù)據(jù)包將會(huì)被拒絕兵被數(shù)據(jù)流拋棄。

（2）應(yīng)用級(jí)網(wǎng)關(guān)防火墻

這種防火墻主要針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議采用指定的數(shù)據(jù)過濾邏輯，在對(duì)數(shù)據(jù)過濾的同時(shí)針對(duì)數(shù)據(jù)包進(jìn)行分析、登記和統(tǒng)計(jì)并形成報(bào)告。實(shí)際工作中的應(yīng)用網(wǎng)關(guān)防火墻一般安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾及應(yīng)用網(wǎng)關(guān)防火墻具備一個(gè)共同的特性，就是它們只是根據(jù)特定的邏輯來判定是否允許數(shù)據(jù)包通過和轉(zhuǎn)發(fā)。

（3）狀態(tài)檢測型防火墻

這種防火墻是用一種主要對(duì)連接的狀態(tài)檢測檢測的防火墻，它將同一連接上的所有的包看成是一個(gè)總體的數(shù)據(jù)流，形成了連接狀態(tài)表，在通過規(guī)則表與狀態(tài)表的是否配合一致來識(shí)別表中的各個(gè)連接狀態(tài)的因素。通過狀態(tài)表我們了解之前的通信信息，也能相關(guān)的應(yīng)用程序的信息進(jìn)行了解。與傳統(tǒng)的包過濾型防火墻相比，它顯得更加靈活，也更加安全可靠。

5 結(jié)束語

隨著計(jì)算機(jī)的發(fā)展，網(wǎng)絡(luò)的安全問題越來越被人們所重視，一旦計(jì)算機(jī)網(wǎng)絡(luò)信息被泄漏，計(jì)算機(jī)遭受到攻擊，造成的后果是我們遠(yuǎn)遠(yuǎn)不發(fā)估量的。當(dāng)前加快計(jì)算機(jī)網(wǎng)絡(luò)安全的研究，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)防火墻的研究已是我們構(gòu)建核心網(wǎng)絡(luò)的當(dāng)務(wù)之急。防火墻是網(wǎng)絡(luò)安全的一個(gè)重要屏障，確保系統(tǒng)的高速高效運(yùn)行的同時(shí)，加強(qiáng)防火墻的防護(hù)，這將是未來網(wǎng)絡(luò)安全工作的重中之重。