新环境下的计算机网络信息安全及其防火墙技术应用探讨

游江

（中铁第五勘察设计院集团有限公司，北京 102600）

0 引言

在无网络的时代，信息安全主要表现为实用性和单一性，即只有制定的人或者单位才能得到相关信息。但是在网络时代中，信息安全内涵不断丰富，涵盖的领域和面向的用户更加广泛。为保障网络环境信息传递和使用环境安全，需制定相关措施，确保网络数据安全、网络运行安全，有效阻断和控制代码的恶意传播，高效阻止恶意代码复制，为网络运行环境创造稳妥的传输环境。

1 防火墙概念

网络信息安全问题关系到未来网络应用的深入发展，主要包含网络设备、代码程序、软件设计、数据库管理、进程保护、网络运行、网络结构等内容。通常采用的专用网络与公开网络的隔离技术被称作“防火墙”技术。防火墙技术在网络信息安全保护中有着至关重要的作用，在实际使用中需要注意3个方面。第一，目前市面上很多防火墙产品都会宣传其有防控电脑病毒的作用，但实际上此类产品可能并不具备相关功能。第二，防火墙本身运行的特性会降低网络的速度，影响人们的使用，如果想要提升网络性能就需要选购一些高速路由器，这样会增加使用网络的成本。第三，防火墙技术可能存在一定漏洞，使用防火墙时会造成数据传输的延迟，一旦这种延迟过大就会影响用户体验。

2 当前计算机网络信息安全面临的问题

2.1 黑客、间谍行为

网络黑客、间谍，是一群具备专业技术，网络知识丰富，主动针对网络发出的一种恶意行为人群，以获取有价值的机密信息，手段不道德、不合法，因此普通网络用户很难防范黑客攻击。全球性的黑客攻击泛滥会给信息安全带来严重危险，例如，通过操作系统I/O的驱动程序与系统服务，黑客或间谍人员通过模拟为系统打补丁或版本升级的方式进行恶意操作。或利用程序远程激活和创建，在目标终端设备写入类似“间谍”的软件[1]，盗取目标数据。同时，利用操作系统“支持在网络上传输文件”等功能，让黑客轻而易举地做成想做的事情，给使用者造成巨大的损失。

2.2 病毒的攻击

计算机病毒是一种把自己的拷贝附着于机器中的另一个程序上的一段代码。利用这种方式，让病毒随着某个软件或者某段代码，在网络设备间肆意传播、任意复制，还可以利用操作系统的一些服务程序伪装，轻易绕过网络的安全防御系统，成为威胁网络安全的安全服务，它们传播速度快，传播范围大，造成危害和损失极其严重。例如，2007年全网络任意传播的“熊猫烧香”和近几年名声大振的“勒索病毒”[2]，这两个病毒都属于蠕虫病毒。被“熊猫烧香”看中的电脑，电脑的可执行程序图标会变成“熊猫烧香”图案，被“勒索病毒”看中的电脑，电脑内的文件会被自动加密，然后向电脑拥有者索要赎金，以便找回重要文件。而且随着恶意使用者自身技术的进步，蠕虫病毒的躲避能力和传播传播能力也逐渐变强，变身逐渐增多。据调查数据发现，现在蠕虫病毒开始利用网页进行传播，如果客户端进入访问被添加了蠕虫病毒代码的网页，就有可能导致自己的电脑被感染。

2.3 系统和软件漏洞、后门的便利因素

由于操作系统和应用软件设计不完善，导致查找系统缺陷和漏洞作为攻击的首选目标。而且，软件的“后门”更是一些病毒非常有力的帮手。软件“后门”本是程序员在设计软件时，方便自己测试或者漏洞查找预留的方便之门，一般都是不为外人所知，更不会对外公布，但是一旦被有心之人利用，其造成的后果将不可想象。

2.4 数据库管理系统的原因

在网络信息迅速发展的时代，在为企业和个人都带来更好机遇的同时，也带来了信息安全隐患。企业因为线上业务不断拓大，面向全世界用户的可能性也日渐增加，数据也越来越庞大，接触世界任何一个客户的机会弹指即可成真。因此，企业为建立一个稳定、高质量业务服务系统，必须要建设一个全面的数据库。与此同时，数据库包括金融、知识产权以及企业数据等各方面有价值和敏感的数据也就成为黑客的主要攻击目标。例如，2003年的SQL Slammer蠕虫病毒[3]，仅仅利用了短短的10分钟，让90%的脆弱设备感染了蠕虫病毒。此次蠕虫病毒能在几分钟内让成千上万的数据库同时被传染，让庞大的数据库数据瞬间听它指挥。因为这个病毒发现并利用微软SQL Server数据库的漏洞，根据漏洞进行传播，瞬间导致全球范围内的互联网瘫痪。

2.5 安全意识薄弱

网络信息安全通常是根据网络的硬件设备和软件系统设定的，但是在很大程度上忽略了人这个关键因素。比如，网络管理人员保密观念不强、不懂保密规则、不遵守规章制度、业务不熟练、不能及时发现修补网络漏洞，甚至责任心不强、操作失误等，都可能让网络或信息遭遇破坏。

例如，广州市一家经营网店，开办的公司近期陆陆续续收到一些客户的投诉，说店主以商品存在质量问题，可以办理退货退款为由，要求客户添加一个指定微信，之后客户收到一个假冒的支付宝链接网址，最终导致客户在不知情的情况，被骗输入支付账号及密码。多个客户被骗金额高达10～20万元。经警方侦查核实，确认为该网店新招的员工莫某所为，莫某将客户私密信息从后台管理数据库导出，经过非法渠道进行买卖，将数据信息卖给不法人士，最后莫某及倒卖数据的上家赖某被警方一并抓获。

3 防火墙技术分类及特点分析

在互联网信息威胁日益猖獗的今天，防火墙已变成计算机网络安全的一个重要组成部分，其杀毒软件在网络中也占据重要的地位。但是它和杀毒软件却又有着决然的不同，杀毒软件是针对已经入侵病毒的破坏进行拦截，防火墙是将即将入侵的病毒拦截在网络之外，保护计算机网络免受非法入侵和破坏。防火墙是一种隔离技术，物理地将专用网络和公开网络隔断，形成一个屏障，按照一定的规则为“允许”的放行，将不被允许的拦截。

表1 防火墙技术分类

3.1 数据包过滤型防火墙

数据包过滤防火墙的工作模式是打包各种类型的网络端口、网络地址或不同的数据，然后对这些整理好的数据包进行删选。并注意核对每个数据包的原发地、目的地、协议等重要信息，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入内部网络，而将不合逻辑的过滤剔除掉。第一代防火墙就属于过滤防火墙。

包过滤防火墙处理速度快，可以为用户提供一种透明的服务，用户不用学习新技能，也不用对应用程序进行改变，使用成本相对较低。但它不支持应用层协议，对应用层的攻击无能为力；不能分辨好的和坏的用户，只能区分好的和坏的数据包；只能实施静态控制，且路由器的过滤规则设置和配置相对复杂，会面临新的协议的威胁和IP欺骗。

3.2 代理服务型防火墙

代理服务型防火墙主要是针对数据包过滤和应用网关技术存在的缺点而设计的，起到了计算机内外系统隔离的作用。计算机的外部系统数据只能到达代理服务器，代理服务器会对外部系统传输的数据进行安全检测，如果发现数据中存在安全隐患，就会及时发出报警信号，为网络信息安全提供保障[4]。

代理型防火墙是通过一种计算机技术，自动参与到一个TCP连接的全过程。自内部网络发出一个访问请求后，经过防火墙处理后访问外部网络。这个防火墙像是一个外部网卡，隐藏了内部网结构。但这种防火墙处理速度比较慢，对每项服务需要不同的服务器，而且提供应用保护的协议范围是有限的的，能够处理的并发数也比较少。

3.3 应用级网关型防火墙

应用级网关型防火墙的工作模式是在应用网络时建立过滤协议和转发协议，过滤时完成对数据包的分析，并且将分析得出的结论整理形成报告。应用级网关型防火墙一般安装在特定的系统中，它和数据包过滤型防火墙存在相似之处，二者都是简单地对数据安全情况进行分析，以此来判定网络是否安全。应用级网关型防火墙主要是依据规定好的逻辑来判断，判定是否允许某一个数据包通过。如果可通过，外网用户便有可能直接访问内部的网络结构和运行状态。代理实现的内部网络安全是以牺牲速度为代价的，而且代理不能改进底层协议的安全性。

3.4 分布式防火墙

随着计算机网络信息安全技术的发展，用户对防火墙技术要求也越来越高，也应运而生了“分布式防火墙”技术，它是在目前传统的边界式防火墙基础上开发的[5-6]。分布式防火墙与其他防火墙技术不同，不依赖于网络搭建结构去制定安全策略，规避了先前防火墙技术的缺点，实施了全方位的安全控制、动态可扩展的结构体系、内部主机“步步为营”的战略部署和简单的分布式接入，但分布式防火墙任务是既要保证内部网络的安全，还有效防止外网对内网的恶意攻击和蓄意访问，对技术要求高，运行成本要求也高，而且分布式防火墙都是“独立作战”，无法形成联系紧密的防火墙带。

3.5 检测型防火墙

状态检测防火墙，不同于数据包过滤型防火墙，只关注审查进出网络的数据包，不审查数据包状态。检测型防火墙在防火墙的核心部位建立了状态连接表，将进出网络的数据包当作一个整体事件来处理。例如为第一个报文数据包建立检测会话后，不再对后续的数据包检测，而是直接转发，提高了转发效率。

这种防火墙安全性好，虽然工作在网络的较低层，但它对所有应用层的数据包，从中提取有效数据检测处理，如IP地址、端口号、协议等，这样有效提高了网络信息的安全性。而且由于这种防火墙工作在网络的较低层，减少了高层协议层的开销，执行效率也大大提高。它不同于应用级网关型防火墙，不需要每一个应用对应一个服务程序，检测型防火墙不区分每个具体的应用，只根据数据包中提取出的信息、对应的安全策略及过滤规则处理数据包。每当有一个新的应用程序时，它能动态产生新的应用规则，且不用另外写代码，所以具有很好的伸缩性和扩展性。

检测型防火墙，既涵盖了数据包过滤型防火墙和应用级网关型防火墙的优点，又有效改善了它们的不足，但检测型防火墙只是针对网络第三层仍制定了安全策略，并不能很好地分辨数据包内部信息，不能对垃圾邮件、广告和木马程序等采取有效措施。

4 结语

随着计算机网络技术的快速发展，网络信息安全问题也逐渐引起了人们的关注，而且还涉及它是否为一种犯罪行为。因此，面对无处不在的威胁，网络信息安全尤为重要。防火墙技术的出现适时地改变了网络信息安全的现状，并逐渐趋于稳定状态。防火墙作为网络访问关卡的唯一技术，是为内部网络和外部网络之间的访问制定一定的检测规则，用于防范和制止一些不符合规则或者违法的访问行为，防止数据信息因网络间的访问而进行网络传播，有效实现了网络信息安全策略，加固网络的安全和稳定。但防火墙不能阻断知情人的蓄意破坏，对于来自恶意人事的主动攻击，只能建立约束机制，加强内部管理；防火墙也不能防范不通过它传输的数据，不能防范病毒，不能防备未知的威胁，因此要求我们要正确对待防火墙策略，合理应用防火墙技术。