防火墙技术在计算机安全构建中的应用分析

计算机是现代科学技术的重要产物，对于现代社会的发展，起到举足轻重的重要作用。随着计算机的不断普及，应用价值的不断提高，随之而来的计算机安全问题也成为制约计算机发展，影响其现实应用价值的重要制约因素。本文立足于对计算机安全问题的分析，阐述了防火墙的功能、作用及工作原理，并在此基础之上，论述了基于计算机安全下防火墙入侵检测的实现，以及“防火墙+入侵检测”互动关系的建立。本文旨在强化对防火墙技术的认识，以及对计算机安全构建的研究，为今后相关领域之研究，提供相应的参考资料。

【关键词】防火墙技术 计算机安全 构建 策略

随着网络信息技术的不断发展，计算机网络已广泛应用于现代生产生活之中。但在开放的互联网环境之下，网络信息安全问题日益成为制约网络信息技术发展，影响计算机网络有效应用的重要因素。从实际来看，计算机系统设计缺陷、应用软件漏洞、计算机病毒、人为恶意攻击等，都是当前计算机面临的主要安全威胁。如何在快速发展的互联网时代，构建完备的安全防御体系，既是计算机自身安全的内部需求，也是强化计算机发展的重要举措。特别是多样化的外部威胁源，对计算机的网络信息安全构成了极大地安全隐患，恶意攻击行为的发生、计算机病毒感染，轻则造成计算机系统运行效率下降，重则重要数据丢失、被截获，甚至出现系统瘫痪等问题。防火墙技术是当前广泛应用与计算机安全构建中的安全技术之一，随着防火墙技术的不断发展与成熟，其在计算机安全构建中的作用日益凸显。通过“防火墙+入侵检测”的互动构建，提高了计算机安全防御系统的整体性能，也优化了防火墙的防御性能，特别是对于难响应等问题的解决，提高了防火墙的现实应用价值。

1 防火墙概述

在互联网快速发展的当前，开放的互联网推动力现代社会的发展，但在发展的同时也伴随着诸多的新问题，特别是计算机网络信息安全问题的日益严峻，强调构建计算机安全防护体系的必要性与紧迫性。防火墙技术是现代计算机安全构建中重要技术之一，对于网络信息安全起到重要的作用。如图1所示，是防火墙的防火作用的体系图，从中可以知道，防火墙就是在本地网络与外地网络之间构建了防御系统，进而起到安全防护的作用。

因此，防火墙防护作用的体现，主要在于防止未经授权或不希望的通信进入被其保护的网络。一般而言，防火墙的作用体现在以下几点：

（1）对Internet的外部进入行为，防火墙可以进行过滤非法用户或不安全服务，进而起到安全防护作用；

（2）在开放的互联网环境下，存在诸多不安全站点，防火墙可以限制人们对特殊站点的访问，进而起到安全防御作用；

（3）防火墙的监视作用也十分有效，通过对Internet的安全监视，进而确保内部网络行为安全。

但是，从防火墙技术本身而言，其实质上是一种被动技术，难以对内部的非法访问起到有效防护的作用。这就决定，防火墙适合用于相对独立的网络环境，起到网络防护屏障的效果。一方面，防火墙作为网络安全的屏障，对于存在的恶意攻击、不安全服务，可以进行过滤，降低网络安全风险；另一方面，防火墙对于一些精心选择的应用协议可能难以防御，但就目前的网络安全构建而言，防火墙在净化网络安全环境上仍具有重要的现实作用，可以同时保护网络免受基于路由的不安全攻击。因此，从实际而言，防火墙在诸多计算机网络安全上，可以起到实际性的安全防护作用。

（1）实现对“脆弱服务”的有效保护；

（2）实现对系统安全访问的切实控制；

（3）确保计算机的集中安全管理，并在保密性上进一步强化；

（4）通过对不法使用数据等的记录与统计，强化对网络不安全行为的监控。

2 防火墙的分类及工作原理

当前，防火墙已广泛应用于计算机安全领域，并不同类型的防火墙，在网络安全构建中的功能不同。强化对各类防火墙的认识，对于其在计算机网络安全中的应用，具有十分重要的现实意义。具体而言，防火墙主要分为代理服务型防火墙；包过滤防火墙、复合型防火墙。

2.1 包过滤防火墙

一般而言，包过滤防火墙安置于路由器，以IP信息包作为基础，实现对目标地址、IP源地址等进行帅选，进而在过滤中确保计算机安全。如图2所示，是基于包过滤技术的防火墙设计。其中，网络层是包过滤防火墙的工作点，在Intranet与Internet中，对于传输的IP数据包进行检查与过滤。因此，包过滤防火墙有着显著的优越性：

（1）具有灵活有效性。

（2）简单易行性。

但是，包过滤防火墙由于防火墙机制的固有缺陷，存在以下几点缺陷：

（1）对于“假冒”难以实现有效防控。

（2）只能在网络层与传输层实现防御作用。

（3）对于网络内部的攻击威胁不能起到防御作用。因此，在基于包过滤防火墙下的计算机安全构建，在很大程度上提高了计算机的运行环境的安全性，但也存在一些不足，应针对实际的安全构建需求，进行科学合理的安全加固，确保计算机网络安全。

2.2 代理服务型防火墙

一般而言，代理服务型防火墙主要有客户程序段、服务器端程序等构成。具体如图3所示，是代理服务型防火墙体系。代理服务型防火墙的中间节点与客户端程序处于相连状态，并且，在中间节点上，又与外部服务器进行连接也就是说，当客户端将浏览器配置成使用代理功能时，防火墙就将客户端浏览器的请求转给互联网；当互联网返回响应时，代理服务器再把它转给你的浏览器。因此，相比于过滤型防火墙，在代理服务型防火墙中并不存在内外网之间的直接连接，并且代理服务型防火墙在功能上，也提供审计、日记等服务功能。

2.3 复合型防火墙

复合型防火墙作为新一代的防火墙技术，集和了智能IP识别技术，实现了对应用、协议等的高效分组识别，也进一步强化了对应用的访问控制。在智能IP识别技术中，实现了创新性的发展，在摒弃传统复合型防火墙技术的同时，创新性的采用了诸多新技术，如特有快速搜索算法、零拷贝流分析等，在构建计算机安全上，日益发挥重要的作用。下图4所示，是复合型防火墙工作原理图。在计算机安全构建中，复合型防护墙实现了内容过滤、病毒防御的整合。常规防火墙难以对隐蔽的网络信息安全实现有效防控，复合型防火墙体现了网络信息安全的新思路，在网络界面对应用层进行扫描。正如图4所示，网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

因此，在计算机安全构建中，针对安全体系之需求，选择相应的防火墙，以全方位确保计算的运行安全。当前，计算机安全因素日益多样化，防火墙在计算机安全中的作用日益显现，这也强调防火墙在今后的发展中，应不断地创新，以更好地满足计算机安全需求。

3 计算机安全问题

3.1 计算机系统设计缺陷

从Windows XP到Windows7、Windows8，再到现在的Windows10，操作系统的不断发展，带给了计算机快速发展的重要前提。但是，由于系统设计的缺陷也是计算机陷入安全危机的重要原因。一方面，系统补丁的不断出现，用户通补丁的及时下载，以确保计算机的安全性；另一方面，系统越来越完善、越来越完善，设计上的缺陷难以避免，这些缺陷的存在，是计算机安全的最大隐患之一，值得微软、杀毒软件商、客户的重视。

3.2 应用软件漏洞

计算机的普及与应用，推动了现代社会的发展，特别是各类应用软件的研发与应用，极大地提高并丰富了计算机的用途。在计算机应用软件的设计过程中，设计者往往会在软件中设置“后门”，以便于设计公司“防盗版”。但是，设计中所设置的“后门”，却极易成为病毒或黑客攻击，进而造成计算机安全。当然，计算机应用软件“后门”存在的同时，很多应用软件也存在自身的安全隐患。从实际来看，计算机应用软件的常见安全漏洞主要有以下几个方面：

3.2.1 SQL注入

SQL注入是指，将SQL命令插入至Web表单的输入域的查询字符串，进而欺骗服务器执行恶意的SQL命令。如图5所示，就是典型的恶意SQL注入，对于计算机的安全构成了较大的安全隐患，导致用户端的信息安全。

3.2.2 缓冲区溢出

在软件安全中，缓冲区溢出已成为重要的安全威胁。在实际当中，计算机诸多安全问题与缓冲区溢出有关。如，设计空间的转换规则的校验问题；局部测试空间与设计空间不足。这些问题的出现，就是因为缓冲区溢出所致，影响计算机的安全运行与操作。

3.2.3 加密弱点

加密是确保计算机安全的有效措施，也是构建安全体系的重要方法。但是由于不安全加密算法的使用；身份验证算法有缺陷；未对加密数据进行签名等，都在很大程度上造成了加密弱点，进而影响到计算机的网络信息安全。

3.3 人为恶意攻击

开放的互联网环境之下，人为恶意攻击成为计算机网络的最大安全问题之一，对用户的信息安全造成严重的威胁。当前，人为恶意攻击主要分为两种：一种是主动攻击；另一种是被动攻击。其中，主动攻击是指利用各种攻击手段，有选择性或针对性的破坏信息的完整性，进而造成网络信息安全问题；而被动攻击则是在不影响网络正常工作的前提之下，对相关机密信息进行截获或破译。因此，无论是主动的人为恶意攻击，还是被动的人为恶意攻击，都对计算机安全造成极大的安全威胁。轻者影响正常运行；重则导致系统瘫痪、数据丢失。

3.4 计算机病毒

谈“毒”“色”变的网络信息时代，病毒已成为计算机安全的重要威胁源。计算机病毒具有隐蔽性、传播性和可存储性，这是病毒之所有如此大破坏性的原因。首先，计算机病毒隐藏于数据文件或可持续的程序之中，强大的隐蔽性导致难以发现。一旦病毒入侵、触发，对计算机系统安全直接构成威胁。；其次，计算机病毒主要通过程序运行、文件传输（复制）等方式进行传播，可传染性是病毒对计算机安全构成安全威胁的重要因素。从实际来看，计算机病毒运行之后，对计算机安全的危害轻则系统运行效率降低，重则出现系统瘫痪，重要文件、数据发生丢失。近年来，计算机病毒随着信息技术的不断发展，不断出“新”，诸多恶性病毒基于网络形成了较大范围内的计算机安全问题。例如，威震一时的“熊猫烧香病毒”、“CH病毒”等，在网络传播之下，形成了严重的计算机网络安全，造成巨大损失。

3.5 用户安全意识淡薄

网络时代的到来，让计算机网络成为现代社会生产生活的不可获取的重要产物。目前，我国网民数量已超6亿人，其中有近90%的网民遭遇过计算机安全问题，但这些网民对计算机安全问题比较忽视，在思想上缺乏安全意识。如，。据不完全统计，我国有近83%的计算机用户有过病毒感染的经历。其中，16%的用户在计算机病毒的入侵下，出现全部数据遭到破坏；58%的用户是部分数据遭到破坏。一方面，计算机病毒所造的网络信息安全威胁是巨大的，轻则造成用户数据出现部分丢失或损坏，重则导致系统瘫痪，直接给用户造成致命的安全威胁；另一方面，我国广大的计算机用户缺乏良好的安全意识，上网行为不规范、进入非法网站等行为，都会对计算机安全造成较大影响。

3.6 拒绝服务攻击

当前，在恶意人为进攻中，拒绝服务攻击的网络安全问题尤为突出。通过利用操作系统漏洞、TCP/IP漏洞，对网络设备实施恶意攻击，进而造成不同程度的网络信息安全问题。一般情况之下，攻击者通过对网络服务系统进行恶意干扰，进而造成服务系统流程发生改变，一些无关的恶意程序被执行，以至于操作系统运行减慢，甚至出现系统瘫痪。而对于合法的用户，被恶意程序排斥无法进入网络服务系统。从实际来看，电子邮件炸弹等网络安全事例，就是拒绝服务攻击所带来的网络信息安全问题。

3.7 黑客入侵

黑客是网络信息安全的重要威胁源，通过破译密码、放置木马程序等方法，对网络系统实施攻击。近年来，黑客入侵的网络安全事件频发，逐步成为全球网络信息安全的重要防范领域。特别是在金融证券、军事等领域，黑客入侵事件尤为频繁。当前计算机的所使用的操作系统易win7为主，但由于系统存在安全漏洞，且漏洞补丁未能及时开发。这样一来，黑客利用系统漏洞，实施黑客入侵，对计算机用户造成威胁。一旦计算机被黑客入侵，黑客可以对用户的数据库进行任意的修改、删除，进而对用户的网络信息安全带来极大的安全隐患。

4 基于计算机安全下防火墙入侵检测

当前，防火墙技术已广泛应用于计算机网络信息安全的构建之中，发挥着保护层的重要作用。首先，防火墙可以有效地对外部网访问进行限制，进而为内部网构建了保护层，确保内部网络的安全访问；其次，防火墙通过对网络访问进行统计记录，对恶意行为或可以动作进行报警，以确保外部可疑动作及时有效地进行监视；再次，防火墙的安全体现，主要在于防范技术体系的建立。如，通过分组过滤技术、代理服务技术，构建计算机安全防范技术体系，为网络信息安全构建安全可靠的网络安全防范体系。

在计算机安全隐患日益多样化、互联网开放化的当前，防火墙技术的应用，一方面是计算机安全构建的内部需求，在确保计算机安全上起到重要作用；另一方面，防火墙技术不断发展与日益完善，相对成熟的技术状态，为防火墙技术广泛应用于计算机安全构建，创造了良好的内外条件。因此，强化防火墙技术在计算机安全构建中的应用，特别是防火墙的入侵检测，符合计算机安全构建的要求，也是充分发挥防火墙防御作用的集中体现。

4.1 入侵检测

随着计算机安全问题的日益突出，如何强化威胁入侵检测，已成为构建计算机安全的重要基础。实质而言，入侵检测就是指对网络资源、计算机上的“恶意”行为进行有效的识别，并及时响应。因此，入侵检测一方面对来源于外部的攻击进行有效检测，进而确保计算机网络安全；另一方面，对于未被授权的活动进行检测，对可能存在的入侵行为进行防御。这就说明，入侵检测为计算机构建了完备的安全体系，并强化了计算机防御恶意入侵的能力。

4.2 入侵检测技术（IDS）

随着计算机安全技术的不断发展，入侵检测技术作为新一代安全防范技术，已广泛应用于计算机的安全构建之中，并取得良好的应用效果。入侵检测系统通过对计算机系统和计算机网络中的关键点的若干信息进行收集，并进行全面的分析，以便于发现是否有被攻击或违反安全策略的恶意攻击行为。因此，入侵检测系统实现了检测、记录及报警响应于一体的动态安全防御体系，不仅能够对外部入侵行为进行有效监测，而且对于计算机网络内部行为进行监督，是否存在未授权活动的用户。IDS对计算机内部的数据通讯信息进行全面的分析，而且对网络外部的不良入侵企图进行分辨，确保计算机系统在受到危险攻击之前，能够及时作出报警。当然，入侵检测系统只是起到预防报警响应等作用，但是自身无法进行阻止和处理。IPS是用于计算机安全构建中的入侵防御系统，如表1所示，是IDS与IPS的比较分析。从中可以知道，IPS在安全构建中，其诸多性能优于IDS，特别是多重检测机制，提高检测性能与精准度。但是，IDS部署简单，具有良好的适应性和可操作性。在安全构建中起到一定的响应报警，对于计算机安全防御体系十分重要。

4.3 “防火墙+入侵检测技术”，构建安全防护体系

在计算机的安全构建中，完备的安全防御体系应具备是三个部分：一是防护；二是检测；三是响应。从一定层面而言，任何一部分的缺失，都可能造成计算机安全防御体系的功能缺失，进而影响正常的防御能力。首先，防御体系中的三个部分，其之间的关系体现，主要在于实现基于时间的简单关系，即P>R+D。其中，D代表检测入侵行为所需时间；R为事件响应设施产生效力所需的时间；P为防御体系防护手段所需的支持时间。因此，从这一简单的关系式，我们可以清楚地知道，但恶意入侵行为尚未突破计算机的安全防御系统，入侵检测系统已发现这一恶意行为，进而及时报警效应。也就是说，对于计算机安全防御体系，虽然难以实现百分百的安全防御，但是快速有效的检测响应机制，是确保计算机安全的重要前提，在接受到报警响应之后，防火墙的防护作用发挥重要作用。“防火墙+入侵检测技术”的防御体系构建，对于提高安全防御能力，具有十分重要的现实意义。两者结合实现的有效互动，一方面实现了更加完备的安全防御体系，在很大程度上解决了传统计算机网络信息安全技术单一的不足；另一方面，解决了防火墙防御难响应的现实问题，进而提高了防火墙在计算机安全构建中的应用价值，满足计算机的安全需求。

总而言之，“防火墙+入侵检测”的互动结合，实现了防火墙通过IDS发现策略之外的恶意攻击行为，并且对源于外部的网络攻击进行有效阻断。正如图6所示的互动逻辑，互动关系的建立极大地提高了防火墙的整体防护性能，进一步满足了当前计算机安全构建的现实需求。

4.4 “防火墙+入侵检测”的接口互动方式

从实际而言，“防火墙+入侵检测”的接口互动方式主要有两种：

（1）将入侵检测技术嵌入防火墙之中，实现两者紧密结合。在这种互动方式之下，流经防火墙的数据源进入入侵检测系统，而非数据包。这就说明，所有需要通过的数据包，一方面要接受防火墙的验证，另一方面也要判断其是否具有攻击性，进而确保防御体系性能的充分发挥。

（2）两者的互动通过开发接口实现。也就是说，入侵检测系统或防火墙开放一个接口，用于另一方的接入。这种互动方式，需要双方按照固定的协议进行通信，进而完成网络安全事件的传输。相比而言，第二种接入方式的灵活性更大，且在很大程度上不会对防火墙的防护性能造成影响。

5 结语

总而言之，构建安全的网络信息环境，是网络信息技术发展的必然要求，也是网络信息技术更好服务社会发展的重要基础。在网络信息安全的防范中，一方面要构建安全防范体系，对计算机病毒等实施有效的拦截；另一方面，逐步完善防火墙与其他技术的整合，进一步强化防火墙的防御性能。当前，计算机安全问题突出，在很大程度上影响了计算机的发展，同时也影响了其在日常生产生活中的应用价值。因此，在实现安全构建的过程中，一方面充分认识到当前计算机安全所面临的主要安全问题，特别是对于计算机病毒、人为恶意攻击等安全问题，直接影响了计算机的安全运行。防火墙技术在近年的发展中，技术不断完备与成熟，

在计算机安全构建中的作用日益凸显，通过“防火墙+入侵检测”的互动结合，一方面提高了安全构建中的安全防御能力；另一方面也改善了防火墙的防御性能，强化了其在计算机安全构建中的应用价值。

参考文献

[1]张晓双.浅析计算机网络安全的主要隐患及管理措施[J].电子制作，2015（03）.

[2]盛洪.分析就死算计网络通信安全问题与防范策略探究[J].电子测试，2015（05）.

[3]刘涛.浅析计算机网络安全技术[J].电子制作，2015（05）.

[4]郑伟.基于防火墙的网络安全技术的研究[D].吉林大学，2012.

[5]林国庆.浅析计算机网络安全与防火墙技术[J].恩施职业技术学院学报，2010（07）.

[6]易前旭.网络安全中的防火墙使用技术[J].电子技术与软件工程，2014（08）.

[7]王蕾.企业计算机网络的安全管理探讨[J].中国新技术新产品，2014（12）.

[8]赖月芳.LINUX环境下的防火墙网络安全设计与实现[D].华南理工大学，2013.

[9]温爱华.计算机网络安全与防火墙技术[J].产业与科技论坛，2011（10）.

[10]沈国平.试析计算机安全与防火墙技术[J].黑龙江科技信息，2012（05）.

[11]Wan.perp.The application of firewall technology in campus network security [J].information and computer，2011 （01）.

[12]z-lfreid.The system configuration and the selection of computer firewall to implement the technology [J]. value engineering，2011（03）.

[13]Li Chunlin.Research and application of ADO.NET database technology [J]. information technology，2010（04）.

[14]major.Internet firewall technology development of [J].microcomputer world，2008（12）.

[15]Lin Guoqing.Analysis of computer network security and firewall technology [J].Journal of Enshi Technical College，2010（07）.

作者简介

郭志强（1971-），男，广东省广州市番禺区人。硕士学位。现为广州市番禺区教育装备中心教师（中学一级）。

作者单位

广州市番禺区教育装备中心 广东省广州市 511400

推荐访问:防火墙 构建 计算机 分析 技术