计算机网络安全中防火墙技术的运用

摘要：在软硬件处理能力不断提升的背景下，防火墙技术在计算机网络安全中的发挥了更加出色的作用。首先介绍了常见的几种防火墙，如包过滤防火墙、代理防火墙和下一代防火墙等。其次从监控网络日志、加强安全配置、阻挡病毒入侵、设置访问规则等方面，阐述了防火墙技术在计算机网络安全中的应用策略，以期在保障内部网络安全和维护用户数据隐私方面发挥作用。

关键词：计算机网络安全包过滤防火墙代理防火墙网络日志

中图分类号：TP393.0

TheApplicationofFirewallTechnologyinComputerNetworkSecurity

Sunjunde

ChangjiVocationalandTechnicalCollegeXinjiangChangji831100China

Abstract：Againstthebackdropofcontinuouslyimprovingsoftwareandhardwareprocessingcapabilities，firewalltechnologyhasplayedamoreoutstandingroleincomputernetworksecurity.Firstly，severalcommonfirewallswereintroduced，suchaspacketfilteringfirewalls，proxyfirewalls，andnext-generationfirewalls.Subsequently，theapplicationstrategiesoffirewalltechnologyincomputernetworksecuritywereelaboratedfromtheaspectsofmonitoringnetworklogs，strengtheningsecurityconfiguration，blockingvirusintrusion，andsettingaccessrules，inordertoplayaroleinensuringinternalnetworksecurityandmaintaininguserdataprivacy.

Keywords：Computernetworksecurity;Packetfilteringfirewall;Proxyfirewall;Networklogs

国务院于2023年发布的《数字中国建设整体布局规划》中明确指出，切实维护网络安全，增强数据安全保障能力，健全数据网络监测预警和应急处置工作体系。在这一背景下，切实保障计算机网络安全，为广大网络用户营造安全网络环境成为一项紧迫而又重要的任务。现阶段常用的计算机网络安全技术有若干种，如区块链加密、数字签名认证、设置访问权限以及防火墙等。其中，防火墙是一种最常用并且技术层面上最容易实现的计算机网络安全技术。许多新的防火墙产品还融合了分布式计算、人工智能等前沿技术，不仅提高了安全防范能力，而且还具有自学习功能，可以准确识别来自外部网络的最新型攻击，在提升计算机网络安全水平方面发挥了重要价值。

1计算机网络安全中常用的防火墙类型

1.1包过滤防火墙

包过滤防火墙按照既定过滤规则对所有经过防火墙的数据包的包头进行判定。如果与规则匹配，则允许该数据包继续传送、转发，否则中断传送或粉碎数据。数据包的包头中包含了源IP、目的IP、协议类型（如FTP协议、HTTP协议）、端口等重要信息，在提取包头信息并使用过滤路由器进行数据处理后，即可完成安全判定。包过滤防火墙的功能实现步骤如下：第一，设定包过滤规则，并将其存储到包过滤设备的端口中；第二，当新的数据包到达端口时，提取数据包的包头并展开语法分析，进行包过滤规则判定；第三，如果任意一条规则阻止数据包的传输或接收，将数据包判定为恶意，不允许继续传送；如果任意一条规则允许数据包的传输或接收，将数据包判定为善意，允许继续传送；如果数据包不满足任何一条规则，将其封存[1]。包过滤防火墙适用于规模较小、只需要满足基本安全功能的小型计算机网络。

1.2电路级网关

电路级网关是一种比包过滤防火墙更高级的计算机网络安全技术，通常将电路级网关布置在受信任的客户（服务器）与不受信任的主机之间，监控两者之间的TCP信息，根据信息内容判断当前会话是否合法或传送数据是否安全。电路级网关除了提供安全监控功能外，还可以支持IP地址安全转移，将企业内部需要重点保护或者设计安全机密的IP地址映射到一个受防火墙信任的安全IP地址中。这样一来，当计算机网络遭受攻击时能够具备更高的容错能力，在保护内网数据不受破坏的前提下使整个计算机网络保持正常运行。从应用效果来看，电路级网关的优势体现在两方面：一是在OSI会话层上运行，几乎不占用计算机资源，在保证用户信息安全的同时又不会影响用户的网络使用体验；二是提供详细的日志记录，网络管理员可以通过查看日志的方式进行数字取证，方便对攻击行为进行追溯追责。

1.3代理防火墙

代理防火墙应用了Proxy代理服务器技术，从外部网络发出的数据包在经过代理技术处理后，使防火墙能够实时监视数据包的流向，在防火墙认为该数据包可能对内网安全或用户隐私数据构成威胁时，可以直接禁止该数据包的一些活动，避免造成实质性的破坏，从而显著提升了计算机网络安全。根据代理技术参与过程的不同，代理防火墙又可分为应用层代理和电路层代理两种。以应用层代理防火墙为例，它可以在用户层和应用协议层提供访问控制。当客户端发出传送数据包的请求后，代理防火墙首先核实该请求，确认请求后做出接收应答并进行处理，在确认安全后将处理结果反馈至客户端。常用的应用层代理有HTTP代理、SMTP代理等[2]。

1.4下一代防火墙

为了应对更大流量、更高风险和更多业务的复杂网络环境，下一代防火墙（Next-GenerationFirewall，NGFW）应运而生。它不仅能多维度、立体化地识别网络风险，而且还能辅助用户制定相应的安全策略，从而实现了对计算机网络的个性化维护，全方位保障了主机、网络以及用户数据的安全。面向计算机网络安全的下一代防火墙，提供了一体化的引擎数据包处理流程，实现方式如下。

第一，对数据包进行解析处理。对于从外网进入内网的所有数据包，防火墙会根据既定的安全策略进行数据包的解析，并根据解析结果决定是丢弃还是允许传送。第二，对于允许传送的数据包，通过会话查找判断是否存在相关会话，如果有直接匹配；如果没有则需要创建新的会话。在创建会话信息后进行应用识别和内容检测，包括协议解码、内容解析、模式匹配等一系列操作。第三，数据包出站。在通过内容检测后，允许数据包进入内网。根据数据包的安全等级，如果有需要会对数据进行VNP加密后再进行转发。

2防火墙技术在计算机网络安全中的应用

防火墙在计算机内网与外网之间建立一道相对隔绝的屏障，所有从外网进入内网的流量，都必须经过防火墙的安全检测，凡是非授权的访问或带病毒的文件都会被阻挡在外，从而保证了内网安全。基于防火墙技术实现计算机网络安全的可行性策略有监控网络日志、加强安全配置、阻挡病毒入侵等。

2.1监控网络日志

防火墙能够对所有进出网络的流量进行动态监控，保证部署了防火墙的计算机网络不会受到恶意流量的攻击与破坏。在启用防火墙后，一方面，利用预定义的规则监控进入和传出的流量；另一方面，又会以“日志”的形式记录与流量相关的信息，如目标IP地址、端口号、协议等。这些被记录下来的信息即为网络日志。防火墙在收集日志数据的同时，还能完成日志的筛选、分析、解读，并根据解读结果采取相应的措施[3]。考虑到计算机网络运行中会产生海量的日志数据，防火墙需要通过筛选保留关键信息（如异常流量、异常连接等）。在此基础上对分析，如访问内部网络的IP地址、哪些端口被频繁访问等。防火墙根据分析结果对计算机网络当前的安装状态做出评估，包括有无安全漏洞、是否有潜在威胁等。最后根据分析结果采取更新防火墙规则、封锁可疑IP地址等必要的行动。

防火墙日志除了监控网络流量、识别恶意活动外，还支持验证和添加防火墙规则，以及建立威胁源黑名单功能。网络管理员可以通过自定义的方式编辑防火墙规则，将新规则添加到防火墙系统后，防火墙能够允许或拒绝来自特定IP地址的流量，从而实现了精准定向的防控。同样地，网络管理员查询防火墙日志，从中获取已知恶意行为者的信息，然后将这些威胁源或恶意IP添加到黑名单中。在启动防火墙后，当防火墙再次检测到与黑名单中同样的IP地址后可以立即阻止，最大程度上保障计算机网络的安全。

2.2加强安全配置

防火墙的绝大多数安全策略都是基于安全区域（SecurityZone）实施的，这里的安全区域可以看作是防火墙全部接口所连网络的集合。除了防火墙默认的安全区域外，网络管理员也可以根据实际需求创建新的安全区域。在计算机网络安全中，基于防火墙的安全配置包括以下要点。

2.2.1划分安全区域

通常将防火墙的安全区域划分为4类，按照安全优先级从高到低依次是本地区域（Local）、授信区域（Trust）、非军事化区域（Dmz）和非授信区域（Untrust）。对于相同安全区域之间的流量，防火墙默认放行；对于跨区域的流量，防火墙会利用预定义的规则进行安全验证，验证通过后放行[4]。这样就能避免病毒、木马等在计算机网络中大范围地扩散。

2.2.2配置安全策略

基于防火墙的安全策略由3个部分组成，即匹配条件、动作、安全配置文件。匹配条件包括源IP、目标IP以及端口号等，配合动作（允许或禁止）可以允许特定IP访问外网或者禁止特定流量。防火墙默认的基础网络配置有端口属性、工作模式等，保证防火墙可以顺利接入计算机网络；管理员可根据需要启用高可用性配置（如双机热备），进一步提升防火墙的容错能力。

2.3阻挡病毒入侵

防病毒是防火墙最基本的功能，面向计算机网络安全的防火墙防病毒技术可以做到病毒的预防、检测和清除。病毒本质上是一种恶意代码，利用计算机网络安全漏洞或者是隐藏在正常文件中进入内部网络，然后感染应用程序并通过文件共享协议实现扩散，达到接管主机权限、窃取用户数据等目的，对主机与网络的安全构成严重威胁。基于防火墙的反病毒原理如下：当携带病毒的文件通过网络流量经过防火墙时，防火墙分3步进行病毒检测。第一步是应用协议识别，判断该文件“是否支持协议”。如果不支持应用协议不做病毒检测，如果支持应用协议则继续第二步判断“是否在白名单内”。如果在白名单内不做病毒检测，如果不在白名单内则继续第三步病毒检测，利用反病毒特征库与文件进行特征匹配。如果匹配不成功，说明文件安全；如果匹配成功可以检测出文件携带的病毒，进行阻断、告警、删除文件等病毒处理，防止携带病毒的文件进入内部网络中，从而保护了主机与网络的安全[5]。在防火墙反病毒过程中，基于特征库的病毒检测是关键环节，可选择基于FTP协议的检测、基于HTTP协议的检测。

2.4设置访问规则

面向计算机网络安全的防火墙技术，能够有效阻挡未经授权的访问或者恶意攻击。但是防火墙设置不当，可能会导致用户无法进行正常访问，反而会影响用户正常使用计算机网络。为了避免此类情况，在应用防火墙技术时必须要科学设置网络访问规则。正常情况下，防火墙默认允许执行FTP或HTTP这类常用协议的流量通过。对于执行其他非常规协议，或者是访问其他端口的流量，必须要设置相应的访问规则。例如：在进行远程访问时会用到SSH协议（安全外壳协议），此时必须要在防火墙中配置基于SSH端口的访问规则，才能确保远程访问被允许。需要注意的是，网络管理员在设置访问规则时必须考虑实际应用场景。假设内网用户想要访问外部的Web服务器，这种情况下必须配置执行HTTP协议的流量通过防火墙；假设内网用户想要访问外部的邮件服务器，这种情况下则需要配置执行in9pDyZCeiYrrBBtZttiJAqBdAK3qcJwOpGcGW7QR3s=SMTP或者POP3协议的流量通过防火墙[6]。基于“流量+访问控制”的防火墙技术，可以做到不依赖防火墙日志、监测结果更加准确，成为计算机网络安全防护的新模式。

3结语

防火墙将本地局域网与外部互联网隔绝开来，通过访问控制保证内部网络安全和用户数据隐私。将防火墙技术应用到计算机网络安全中，在不影响用户正常使用计算机网络的前提下，准确检测出非法访问和恶意攻击，并采取阻断、清除等措施来维护计算机网络安全。随着网络安全技术的成熟发展，现阶段常用的防火墙有若干类型，除了常规的包过滤防火墙、状态检测防火墙外，还有融合了人工智能技术的智能防火墙以及分布式防火墙等。在计算机网络安全配置中，应综合考虑网络结构、安全要求、应用场景等因素合理选择防火墙类型，在此基础上发挥防火墙在监控网络日志、阻挡病毒入侵、加强访问控制等方面的应用优势，切实保障计算机网络安全。

参考文献

[1] 李之玲，朱德新.基于防火墙技术的网络认证协议密钥交换算法[J].计算机仿真，2022（6）：39-40.

[2] 朱晨迪.防火墙技术在计算机网络安全中的应用：以上海计算机软件技术开发中心为例[J].华东科技，2023（7）：48-50.

[3] 李健，江昊，罗威.基于可编程数据平面的状态防火墙技术[J].武汉大学学报：工学版，2022（14）：55-57.

[4] 吴红.新环境下的计算机网络信息安全及其防火墙技术应用分析[J].网络安全技术与应用，2022（7）：14-16.

[5] 倪震.电力工控网络安全风险分析与预测关键技术研究[D].南京：南京理工大学，2019.

[6] 陈博.基于下一代防火墙技术在医院网络安全中的应用[J].网络安全技术与应用，2022（8）：100-102.