李生勤

（甘肅省武威市涼州區(qū)職業(yè)中等專業(yè)學(xué)校，甘肅 武威 733000）

隨著網(wǎng)絡(luò)在各行業(yè)的不斷滲透，很多行業(yè)、單位內(nèi)部網(wǎng)絡(luò)會(huì)涉及核心、敏感資料，這些重要資料一旦泄露極具破壞性，因此，保障網(wǎng)絡(luò)安全有著重要的現(xiàn)實(shí)意義。防火墻技術(shù)是保障網(wǎng)絡(luò)安全的重要技術(shù)之一，能夠有效抵制大量攜帶病毒的危害信息，實(shí)現(xiàn)安全可靠的數(shù)據(jù)傳輸和通信，預(yù)防各種外部惡意攻擊，切實(shí)保證用網(wǎng)安全可靠。

1 防火墻技術(shù)種類

1.1 包過濾技術(shù)

包過濾技術(shù)主要應(yīng)用于網(wǎng)絡(luò)層，用于識(shí)別和控制數(shù)據(jù)包的目的IP地址和源IP地址。如果是在傳輸層，僅能識(shí)別數(shù)據(jù)包所用端口以及數(shù)據(jù)包采用是UDP還是TCP[1]。目前，很多操作系統(tǒng)、Switch Router、路由器都使用了這項(xiàng)技術(shù)，該技術(shù)僅分析端口、TCP/UDP、IP地址，處理速度快、效率高且容易配置[2]。

1.2 代理技術(shù)

代理服務(wù)器作為網(wǎng)絡(luò)邊界的一道防線，在接受客戶請(qǐng)求之前，先驗(yàn)證請(qǐng)求的合法性，如果合法，代理服務(wù)器作為客戶機(jī)獲取目標(biāo)信息，再將目標(biāo)信息轉(zhuǎn)發(fā)給客戶。這種方式通過代理服務(wù)器對(duì)外提供服務(wù)，而客戶看不到任何內(nèi)部資源，有效隔離外界和內(nèi)部系統(tǒng)[3]。代理服務(wù)，一方面封鎖不被認(rèn)可、不被信賴、沒有代理的服務(wù)，僅允許認(rèn)可、信賴、有代理的服務(wù)通過，確保計(jì)算機(jī)網(wǎng)絡(luò)安全；另一方面，可以過濾特定目的的協(xié)議，例如，可過濾FTP，阻止用戶使用FTP命令在匿名服務(wù)器上寫文件。這類防火墻技術(shù)是一類先進(jìn)的防護(hù)技術(shù)，有較高的安全性。具體應(yīng)用中根據(jù)一定流程處理數(shù)據(jù)包，其處理數(shù)據(jù)包流程見圖1。

圖1 應(yīng)用代理性防火墻技術(shù)處理數(shù)據(jù)包流程

1.3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

通常，采用內(nèi)部網(wǎng)絡(luò)使用的IP地址不能直接訪問外部網(wǎng)絡(luò)，而采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)完美解決了這一問題。

1.4 狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)技術(shù)使用基于連接的機(jī)制，其安全又靈活，可以有效處理動(dòng)態(tài)端口協(xié)議，在實(shí)際檢測(cè)過程中，同一連接中的全部數(shù)據(jù)包被視為一個(gè)整體，并生成動(dòng)態(tài)連接狀態(tài)表，再結(jié)合規(guī)則表，能夠識(shí)別每個(gè)連接狀態(tài)因素，從而及時(shí)關(guān)閉和打開動(dòng)態(tài)端口[4]。

1.5 下一代防火墻

下一代防火墻在原有基礎(chǔ)上進(jìn)行更新，增加了識(shí)別引擎與匹配策略等功能，這些更新使設(shè)備性能要求降低，并提升系統(tǒng)的安全性，同時(shí)還融合了入侵檢測(cè)、VPN和防病毒等功能，功能更豐富，因此更受市場(chǎng)用戶的青睞。與傳統(tǒng)防火墻相比，該防火墻在檢測(cè)方面更精細(xì)，可以有效檢測(cè)僵尸網(wǎng)絡(luò)的傳輸方法。此外，其還可以仔細(xì)檢查深層數(shù)據(jù)包，以識(shí)別已知攻擊與未部署補(bǔ)丁的軟件與系統(tǒng)，從而實(shí)現(xiàn)入侵防御系統(tǒng)（IPS）的精細(xì)化檢查。不過這種方式也存在一定的缺陷，不能對(duì)程序?yàn)E用情況進(jìn)行有效識(shí)別，很難有針對(duì)性地保護(hù)應(yīng)用程序的具體特性。

2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用分析

2.1 安全服務(wù)配置

DMZ全稱為安全服務(wù)隔離區(qū)，將系統(tǒng)管理集群和服務(wù)器集群作為安全服務(wù)隔離區(qū)，形成一個(gè)單獨(dú)局域網(wǎng)，屬于內(nèi)部網(wǎng)絡(luò)。之所以劃分出來單獨(dú)管理，是為了保護(hù)服務(wù)器上的數(shù)據(jù)[5]。為了更好地保護(hù)內(nèi)部網(wǎng)絡(luò)安全，可以對(duì)內(nèi)部網(wǎng)絡(luò)的IP地址和結(jié)構(gòu)進(jìn)行屏蔽，借助防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）將內(nèi)部網(wǎng)絡(luò)主機(jī)地址映射為相應(yīng)的有效公網(wǎng)IP地址。這不僅可以有效加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，還可以最大程度地減少公網(wǎng)IP地址的使用，降低投資成本。

如果之前已經(jīng)有邊界路由器，可在原有路由器的基礎(chǔ)上，通過增加相應(yīng)的配置使原來的路由器擁有防火墻的功能，然后再將要保護(hù)的內(nèi)部網(wǎng)絡(luò)與其相連，而安全服務(wù)隔離區(qū)中的公用服務(wù)器不經(jīng)過防火墻就可直接和該路由器相連。這時(shí)，防火墻和邊界路由器形成了兩道安全防護(hù)。與此同時(shí)，這兩者間可設(shè)置一個(gè)安全服務(wù)隔離區(qū)用于放置公共服務(wù)設(shè)施。其具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2.2 配置訪問策略

在設(shè)置防火墻訪問策略時(shí)，需要詳細(xì)統(tǒng)計(jì)單位內(nèi)部與外部應(yīng)用的情況，包括UDP或TCP的端口、目的地址和源地址等信息等，這些信息對(duì)于安全訪問策略至關(guān)重要。由于防火墻按照規(guī)則表的順序查找規(guī)則[6]，因此，常用規(guī)則的位置越靠前，查找效率就越高。由此根據(jù)應(yīng)用的執(zhí)行頻率，對(duì)訪問策略進(jìn)行規(guī)則表位置排序，能夠顯著提高防火墻的效率。

2.3 日志監(jiān)控

日志監(jiān)控是網(wǎng)絡(luò)安全中有效且重要的安全管理手段之一。以往管理員普遍認(rèn)為需要采集所有日志信息，包括不匹配的流量、告警和策略匹配等，這種方式看似很完善、有用，然而實(shí)際上過多的數(shù)據(jù)記錄會(huì)增加服務(wù)器的負(fù)擔(dān)。事實(shí)上，僅需要采集最核心、最關(guān)鍵、最有用的部分日志即可。通常，系統(tǒng)告警信息是核心關(guān)鍵日志，流量信息中僅需要保存和網(wǎng)絡(luò)安全相關(guān)的流量信息即可

2.4 身份驗(yàn)證和加密技術(shù)

防火墻技術(shù)不僅可以用在安全配置和日志監(jiān)控中，還可用于驗(yàn)證身份和加密。通過身份驗(yàn)證的使用者可以訪問資源、分享和獲取信息，進(jìn)而實(shí)現(xiàn)通信。這種方式能夠有效保證通信過程的安全性。另外，防火墻具有加密功能，可對(duì)部分機(jī)密信息進(jìn)行加密，以提供高效率、高質(zhì)量的保護(hù)，提升數(shù)據(jù)傳輸?shù)陌踩?，防止惡意攻擊，降低信息被篡改的風(fēng)險(xiǎn)。與此同時(shí)，防火墻還可以有效過濾攜帶病毒的危害信息，使其不能進(jìn)入計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)。

3 防火墻配置

防火墻配置步驟：首先配置VPN服務(wù)器，其次配置VPN客戶端，最后使服務(wù)器和客戶端VPN連接建立。具體操作步驟是，先確保VPN客戶機(jī)和VPN服務(wù)端都能正常上網(wǎng)且VPN服務(wù)器有Internet公網(wǎng)IP地址，然后VPN客戶機(jī)使用虛擬撥號(hào)連接VPN服務(wù)器，這樣VPN客戶機(jī)和VPN服務(wù)器處于一個(gè)局域網(wǎng)[7]。該局域網(wǎng)和其他普通局域網(wǎng)相同，局域網(wǎng)內(nèi)資源共享，任何一臺(tái)計(jì)算機(jī)都可以依據(jù)相應(yīng)權(quán)限訪問其他計(jì)算機(jī)上資源。

3.1 VPN服務(wù)器的配置

VPN服務(wù)器配置使用系統(tǒng)自帶組件即可，操作系統(tǒng)可以是Windows7、Windows8、Windows10等，配置的一個(gè)前提條件是VPN服務(wù)器可以正常上網(wǎng)且有獨(dú)立公網(wǎng)IP地址。以Windows Server 2012 R2為例，其默認(rèn)沒有安裝VPN服務(wù)。Server 2012安裝VPN服務(wù)的步驟是先打開“服務(wù)器管理器”，再添加角色和功能，在勾選遠(yuǎn)程訪問和路由后單擊下一步，單擊“安裝”在開始安裝VPN服務(wù)，服務(wù)安裝完成后會(huì)呈現(xiàn)在左下角開始選項(xiàng)頁面。具體的配置過程如下：①在開始選項(xiàng)頁面找到“路由和遠(yuǎn)程訪問”并打開其控制臺(tái)；②找到左側(cè)列表“SERVER（本地）”后右鍵單擊，單擊“配置并啟動(dòng)路由和遠(yuǎn)程訪問”，進(jìn)入到安裝向?qū)Т翱冢虎墼诎惭b向?qū)g迎頁面，選擇“自定義配置”后單擊“下一步”；④勾選VPN訪問和NAT后單擊“下一步”按鈕直到出現(xiàn)“啟動(dòng)服務(wù)”，單擊“啟動(dòng)服務(wù)”；⑤在IPv4下找到NAT，右鍵單擊選擇“新增接口”，選擇外網(wǎng)接口后點(diǎn)擊確定，在彈出的屬性中選擇“公用接口連接到Internet”，同時(shí)勾選“在此接口上啟用NAT”，最后單擊“確定”；⑥右鍵單擊“SONG(本地)”選擇屬性，在屬性頁面單擊“IPv4”配置客戶端地址池。

3.2 賦予用戶撥入權(quán)限

通常，計(jì)算機(jī)上所有用戶默認(rèn)均不被允許撥入VPN服務(wù)器，這要為用戶設(shè)置撥入權(quán)限，以“user”用戶為例：①右鍵單擊“我的電腦”，通過“管理”進(jìn)入“計(jì)算機(jī)管理”控制臺(tái)；②在左側(cè)打開“本地用戶和組”，再打開“用戶”，雙擊“user”進(jìn)入user屬性窗口；③點(diǎn)擊“撥入”按鈕，在選擇（撥入或VPN）權(quán)限的選項(xiàng)組中，設(shè)為“允許訪問”，確定后返回，此時(shí)user用戶具有了撥入權(quán)限。需要注意的是，創(chuàng)建用戶可以指定某一靜態(tài)IP，但不能是地址池的起始IP地址（起始IP地址不起作用），同時(shí)不能超出池最后一個(gè)IP地址（超出也不起作用）。

3.3 VPN客戶機(jī)的配置

客戶機(jī)配置VPN的具體過程如下：①在客戶端打開“網(wǎng)絡(luò)和共享中心”，設(shè)置新的網(wǎng)絡(luò)或連接；②單擊“連接到工作區(qū)”選擇“使用我的Internet連接VPN”；③選擇稍后設(shè)置Internet連接，在地址一欄填入VPN服務(wù)器IP地址后單擊“創(chuàng)建”按鈕，然后單擊連接；④填寫正確的用戶名與密碼后單擊“確定”按鈕，完成VPN客戶端的配置，此時(shí)成功建立一個(gè)專用的虛擬通道，可以進(jìn)行安全可靠的通信。

3.4 VPN網(wǎng)絡(luò)實(shí)際應(yīng)用中遇到的問題及解決辦法

（1）VPN客戶機(jī)和VPN服務(wù)器連接建好以后，客戶機(jī)怎樣訪問服務(wù)器所在網(wǎng)絡(luò)？方法是通過“網(wǎng)上鄰居”或在地址欄填入目標(biāo)計(jì)算機(jī)IP地址來訪問與其他計(jì)算機(jī)共享的網(wǎng)絡(luò)資源。

（2）成功建立VPN網(wǎng)絡(luò)后，客戶機(jī)可能無法正常訪問互聯(lián)網(wǎng)，這是因?yàn)榉?wù)器的網(wǎng)關(guān)會(huì)覆蓋客戶機(jī)原本的網(wǎng)關(guān)設(shè)置，可以通過禁止VPN客戶機(jī)使用服務(wù)器的默認(rèn)網(wǎng)關(guān)來有效解決這一問題。

（3）成功建立VPN網(wǎng)絡(luò)后，VPN服務(wù)器和客戶機(jī)已經(jīng)成功建立的連接沒有在“網(wǎng)上鄰居”顯示。這一問題的解決辦法是確保服務(wù)器和客戶機(jī)在相同工作組中，且兩者都需安裝“NetBEUI”協(xié)議。

（4）如何直觀、快速、全面地找到活躍計(jì)算機(jī)的I P 地址、計(jì)算機(jī)名及共享的資源？具體步驟為:借助“IP-Tools”軟件，在工具列表中選擇“NB Scanner”；在“NB Scanner”界面中，填寫需要掃描的IP地址范圍；點(diǎn)擊"Start"按鈕開始掃描；“NB Scanner”會(huì)展現(xiàn)活躍計(jì)算機(jī)的IP地址、計(jì)算機(jī)名及共享的資源等重要信息。

4 結(jié)束語

綜上所述，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全具有重大的現(xiàn)實(shí)意義，而防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的作用不言而喻。借助防火墻技術(shù)，可有效控制合法用戶訪問資源、防止外部非法入侵、保障內(nèi)部網(wǎng)絡(luò)安全和利益。目前，防火墻技術(shù)得到了普遍應(yīng)用，為我們安全使用計(jì)算機(jī)網(wǎng)絡(luò)提供著必要的保障?！?/p>