计算机网络信息安全及其防火墙技术实践探析

陈兰芳

（亳州工业学校 安徽 亳州 236800）

0 引言

本文通过对数据包过滤型防火墙、应用级网关型防火墙、状态检测型防火墙、分布式防火墙、代理服务型防火墙的技术特点与作用进行详细分析，从包过滤防火墙、应用网关防火墙、入侵检测技术、访问策略中防火墙技术、计算机日志监控等层面入手，系统论述计算机防火墙技术在网络信息安全中的实践应用。 具体实践应用如下：

第一，通过分析各种网络攻击类型，如分布式拒绝服务（distributed denial of service，DDoS）攻击、恶意软件、结构化查询语言（structured query language，SQL）注入等，研究如何利用防火墙技术来防范这些攻击，保护网络的完整性和可用性。

第二，探讨如何使用防火墙技术防止敏感数据的意外泄露，包括数据包过滤、内容检测等方式，防止机密信息被窃取。

第三，研究如何结合防火墙与入侵检测系统（intrusion detection system，IDS）来监测和响应潜在的网络入侵，及时发现异常行为并采取措施。

第四，分析恶意软件的传播途径和行为特点，研究如何通过防火墙技术来阻止恶意软件的入侵和传播。

第五，研究如何使用防火墙来管理网络流量，确保网络资源的合理分配，提高网络的性能和效率。

第六，研究如何使用防火墙技术来保护用户的隐私数据，确保网络安全合规性，防止个人信息被滥用或泄露，防止违规行为。

第七，研究如何在企业内部构建安全网络架构，以保护企业敏感数据和业务流程。 探讨如何通过防火墙技术来提升用户的网络安全意识，减少因用户行为而造成的安全风险。

1 防火墙技术的分类

1.1 数据包过滤型防火墙

数据包过滤型防火墙是一种网络安全设备或软件，用于监控和控制数据包在网络中的传输，基于预先设定的规则，判断数据包是否被允许通过防火墙，实现对网络流量的过滤和管理。 依据数据包的源IP 地址、目标IP 地址、端口号、协议类型等信息，决定是否允许数据包通过。 如果数据包符合设定的规则，防火墙允许其通过；否则，防火墙会阻止其进入或离开网络。 这种防火墙技术旨在保护网络免受恶意攻击、未经授权访问、不必要的流量干扰，虽然可以有效阻止特定类型的攻击，但无法检测复杂的攻击和隐藏在正常流量中的恶意活动。 因此，数据包过滤型防火墙通常与其他防火墙技术和安全措施结合使用，实现更全面的网络安全保护。

1.2 应用级网关型防火墙

应用级网关型防火墙是一种高级的网络安全设备，用于监控、过滤和控制网络数据包，同时深入分析和检查数据包中的应用层协议内容，能够更加精细地处理应用层协议，具有更高的安全性和可定制性。 不仅能够根据源IP、目标IP、端口和协议允许或阻止数据包传输，而且还能解析数据包中的应用层信息，如超文本传输协议（hyper text transfer protocol，HTTP）请求、简单邮件传输协议（simple mail transfer protocol，SMTP）命令等，并且检测和阻止与特定应用或协议相关的威胁，如恶意软件传播、应用层攻击等，对数据流进行审计、日志记录和认证，提供更全面的网络安全保护。 然而，应用级网关型防火墙的深度检查和处理功能，会增加延迟和资源消耗。 尽管能够提供更高级的保护，但也需要更多的配置和管理。

1.3 状态检测型防火墙

状态检测型防火墙是一种网络安全设备，用于监控和控制网络流量，并根据连接的状态信息判断是否允许数据包通过防火墙，能够跟踪和维护网络连接状态，精确判定数据包是否合法，不仅考虑单个数据包的特征，还考虑数据包在通信过程中的上下文关系。 状态检测型防火墙维护的是一个连接状态表，记录正在进行的连接信息，如源IP 地址、目标IP 地址、源端口、目标端口等。 当数据包通过防火墙时，会与连接状态表中已有连接信息进行比对。如果数据包的特征与已有连接相符，防火墙会认定是合法的数据包，并允许通过，有效地防止伪装和攻击手法，如欺骗性的IP 地址或端口扫描。 状态检测型防火墙不仅能够检测基于单个数据包的攻击，还能够检测依赖于多个数据包的攻击，识别连接的开始、结束和状态变化，提供更全面的安全性保护。

1.4 分布式防火墙

分布式防火墙是一种网络安全架构，通过将防火墙功能分布到不同的网络节点或设备中，实现更高级安全性能，使网络中的每个节点都能执行防火墙功能。 在分布式防火墙架构中，每一个网络节点都可以担任防火墙的角色，对流量进行检查、过滤和控制。 这种架构可以分散防火墙的负载，提高网络的吞吐量和响应速度，充分适应复杂的网络拓扑和流量分布，提供更精细的安全策略［1］。

1.5 代理服务型防火墙

代理服务型防火墙是一种网络安全设备，充当客户端和目标服务器之间的中间人，负责处理和管理网络通信，不仅是单纯检查数据包，还能深入分析和处理通信内容和应用层协议。 代理服务型防火墙在客户端和目标服务器之间建立连接，接收来自客户端的请求，然后转发这些请求并传输到目标服务器，将服务器反馈的响应再传递给客户端。 在此过程中，代理服务器可以执行多种安全功能，如访问控制、内容过滤、数据加密等。 通过代理服务型防火墙，可以实现更精细的访问控制和安全审计，根据用户的身份、角色或请求的性质，限制对特定资源的访问权，提高安全性［2］。

2 计算机防火墙技术在网络信息安全中的实践应用

2.1 包过滤防火墙

包过滤防火墙通过设定规则，对进出网络的数据包进行检查和过滤，控制访问、阻止未经授权的访问、保护敏感信息和阻止恶意软件传播，有效维护其网络安全，防止各种潜在威胁的影响。 以某企业内部网络的包过滤防火墙为例，该企业内部网络中，包过滤防火墙可以部署在网络边界处，监控进出流量。

通过设定访问规则，只允许经过授权的数据包通过，同时阻止潜在的恶意或未经授权的访问［3］。 例如，防火墙可以设定规则，只允许来自特定IP 地址或端口的合法数据包进入内部网络，阻止外部恶意攻击者的访问。

包过滤防火墙还可以防止内部网络中的敏感信息外泄，公司内部数据库存储着客户的个人数据，如姓名、地址和信用卡信息。 通过防火墙规则，只有特定部门的员工可以访问这些数据，其他员工或外部人员无法获取。 即使有人试图通过网络攻击获取敏感数据，防火墙也会阻止其访问行为。 比如，当目的IP 为43.225.211.133 时，对源IP、传输控制协议（transmission control protocol，TCP）控制位无任何要求，此时允许任何数据通过；当目的IP 为任意来源时，源IP 为43.225.211.133，TCP 控制位为SYN ＝1，ACK＝0，此时禁止任何数据通过，从而保护网络安全［4］。

2.2 应用网关防火墙

应用网关防火墙通过位于网络边界的设备，控制进出流量、实施访问控制和监控网络活动，保护内部网络的安全。 通过规则设置和流量检测，可以有效地防范各种网络威胁，确保网络和数据的安全性。

以某企业内部网络中的网关防火墙应用为例，该企业通过网关防火墙控制其内部网络与外部网络之间的通信。网关防火墙的规则设置可以限制进出流量，例如，只允许特定的端口和协议通过，降低网络攻击的风险。 网关防火墙可以实施访问控制，限制哪些用户或设备可以与外部网络通信，防止未经授权的访问［5］。 当员工试图通过远程桌面协议（remote desktop protocol，RDP）访问公司内部的服务器时，通过网关防火墙的规则设置，只有特定IP 地址和授权的员工可以使用RDP 协议进行连接，其他非授权的IP 地址将被阻止［9］。 比如，配置华为网管防火墙时，配置接口IP 地址，并将接口加入安全区域；配置域间安全策略，允许互联网密钥交换（internet key exchange，IKE）协议协商报文、互联网络层安全协议（internet protocol security，IPsec）封装前和解封装后的原始报文能通过华为防火墙；配置华为防火墙到Internet 的缺省路由；配置IPsec 策略，包括定义需要保护的数据流、配置IPsec 安全提议、创建IKE 安全提议、配置IKE 对等体；在接口上应用IPsec策略［6］。

2.3 入侵检测技术

入侵检测技术通过监控网络流量和系统活动，识别异常模式和行为，及早发现和应对潜在威胁。 通过入侵检测系统和入侵防御系统的结合，可以有效提高对恶意攻击和异常行为的检测能力与响应能力，维护网络和数据的安全。 以企业内部网络中入侵检测技术的应用为例，企业建立的内部服务器和数据库存储了大量客户数据和机密信息，为了保护这些重要数据免受攻击，企业在内部网络中部署了IDS［7］。 IDS 还可以结合入侵防御系统（intrusion prevention system，IPS）实现实时响应，当入侵检测系统检测到异常行为时，IPS 可以采取有效的应对措施，例如封锁IP 地址、终止连接、阻止恶意数据包，防止安全风险进一步扩散。 IDS 分为网络入侵检测系统（network intrusion detection system，NIDS）和主机入侵检测系统（host-based intrusion detection system，HIDS），在不同的层次上监视和检测异常活动。 NIDS 通过监控网络流量，检测异常的数据传输和连接行为。 例如，如果有大量的数据包发送到内部网络，NIDS 可以识别出这种异常流量，并触发警报，通知管理员可能存在的拒绝服务（denial of service，DoS）攻击。 而HIDS 则监控服务器和主机上的活动，例如，如果某个服务器上的系统文件被篡改，HIDS 可以检测这种变化，并警示管理员可能存在的入侵行为［8］。

2.4 访问策略中防火墙技术

访问策略中的防火墙技术通过制定和执行访问规则，控制用户、设备、应用程序对资源的访问权限，实现安全的跨地点访问，确保只有经过授权的用户可以访问内部资源，提高网络的安全性、保护敏感数据的机密性。 以企业内部网络中防火墙技术的应用为例，该公司拥有多个办公地点，员工需要在不同地点之间访问公司内部资源。 为了实现安全的跨地点访问，公司在内部网络中实施了访问策略，利用防火墙技术进行控制［9］。 公司通过虚拟专用网络（virtual private network，VPN）建立加密通道，员工在远程访问时，需要通过VPN 连接到公司内部网络。 防火墙设定了访问规则，只允许经过授权的VPN 连接访问公司内部网络，其他未经授权的连接将被阻止。 即使外部攻击者试图通过未经授权的手段访问内部资源，防火墙也会拦截并阻止他们的访问［10］。

2.5 计算机日志监控

计算机日志监控通过记录和分析系统和网络活动的日志信息，发现异常行为和潜在的安全事件。 借助实时监控和事件调查，企业可以提高对网络威胁的感知能力，及早发现和应对潜在的风险，帮助企业维护网络的安全性和稳定性。

以企业内部网络中计算机日志监控的应用为例，该企业拥有多个分支机构和内部系统，为了确保这些系统的安全性，企业在内部网络中建立了计算机日志监控系统，监控服务器、工作站和网络设备的日志信息，识别异常活动［11］。 当企业使用计算机日志监控系统实时监测网络和系统活动时，如果有多次失败的登录尝试，日志监控系统会发现异常情况，并触发警报，有助于防范恶意攻击，如暴力破解密码。

计算机日志监控还可以帮助企业进行事件响应和调查，当员工发现自己的电子邮件账户被非法访问时，企业可以通过分析日志信息，追踪此次入侵的来源和影响范围，并采取适当的措施，防止类似事件再次发生。 如果员工账户在短时间内从不同地点登录，日志监控系统也会识别这种异常行为，查看账户是否被盗用。

3 结语

综上所述，防火墙通过过滤网络流量、实施访问控制政策和检测异常行为来阻止潜在的威胁。 不同类型的防火墙，如网络层、应用层和代理层防火墙，在不同层次上提供保护。 未来，应通过整合多种安全技术手段，建立更强大和灵活的网络安全体系，更好地应对网络安全挑战。