計算機網絡安全和防火墻技術分析論文篇二

　　《淺談計算機網絡安全及防火墻技術》

　　摘要：伴隨著互聯網時代的到來，以信息技術為核心的計算機產業(yè)得到了極大的繁榮與發(fā)展，在社會生活之中的各個領域，計算機設備已經得到了極為廣泛的普及應用。然而伴隨著計算機應用規(guī)模的不斷擴大，相關的計算機網絡安全問題也變得日益嚴峻，目前已經引起了社會各界的高度關注，因此就加強計算機網絡安全為題展開相關的研究工作，對于引導信息技術產業(yè)的良性發(fā)展，具有十分重大的現實意義。本文主要就計算機網絡的安全性與相關的防火墻技術展開了具體的探究，以期能夠給予相關的網絡安全防護提供以可供參考的內容。

　　關鍵詞：計算機;網絡;安全;防火墻

　　中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2016)16-0054-02

　　1 概述

　　網絡安全在廣義范圍內通常被認為是網絡系統(tǒng)之中到的軟件、硬件以及相關的數據信息能夠得到妥善的保護，而不會由于突發(fā)狀況或惡性攻擊而遭受破壞、泄露乃至于損毀，以使得系統(tǒng)能夠持續(xù)、穩(wěn)定的運行，保障網絡服務不發(fā)生斷連。

　　針對網絡安全的內涵闡述，存在有多種角度的解讀，比如從具體的用戶端而言，網絡安全的內涵則重點偏向于個人隱私，或者是商業(yè)信息能夠在網絡環(huán)境的傳輸過程當中，得到保密性與整體性的保護，要嚴禁避免所傳輸的信息數據被認為竊取、肆意篡改等情況的發(fā)生，并且將信息數據存儲與某項計算機系統(tǒng)當中之時，要嚴格確保對非法入侵行為的防御。

　　從網絡運營商以及管理人員的角度而言，在本地網絡環(huán)境之中的信息訪問等相關操作，均要確保有一定的保護及控制措施，嚴禁預防發(fā)生對于網絡資源的惡意占領、控制，以及拒絕服務等情況的出現，高效可靠的抵御網絡黑客的攻擊行為，這便是網絡運營商及管理人員所需要做到的網絡安全部分。

　　針對國家政府機關的安全保密部門而言，網絡安全工作應當針對那些違法的、有損或者是牽涉到國家機密的信息內容，予以必要的過濾及安全性防御，從而促使國家機密不會在網絡渠道發(fā)生泄密事件，同時也使得由此可能會造成的社會危害降至最低，避免國家經濟受損。

　　2 網絡安全技術

　　網絡安全技術在最初設計之時，僅是考慮到了整體網絡的便捷性與開放性，而對于安全性考慮不足，因此也就導致了目前的網絡環(huán)境基礎較為脆弱，對于網絡攻擊的防御能力較差。對于在計算機安全領域大量的專業(yè)人士進行了各種形式的安全研究，其中主要涵括了身份認證、數據加密、安全審計、安全協(xié)議以及防火墻等多項安全措施。在這諸類安全技術當中防火墻技術是確保網絡內部安全最為行之有效的方法，防火墻技術融合了網絡、密碼、軟件以及ISO安全標準等多方面的安全技術。

　　在一般的概念理論之中，網絡安全技術大致可被劃分為下列三項：信息傳送技術、防火墻技術以及本地安全技術。其中信息傳送技術主要包含了信息加密、數字簽名以及信息發(fā)送的方式等諸多內容，主要是由信息的安全傳送層面來進行歸類劃分。而本地安全技術則涵括了審計跟蹤、訪問控制、弱項保護、病毒防御等。

　　3 防火墻技術

　　在眾多的網絡安全技術手段之中，防火墻技術無疑是最為關鍵的一項網絡安全核心技術。本段內容將重點闡述一些防火墻技術的相關內容，其中主要包括了信息傳送技術、包過濾技術、代理技術等。

　　1)信息傳送技術

　　在互聯網信息的包交換網絡之中，所有的信息內容均會被分割為等量距離的數據系統(tǒng)，在每一段的數據系統(tǒng)之中通常會包含有IP源地址、目標地址、內部協(xié)議、目標端口以及各種類型的消息路徑。在這些數據系統(tǒng)段落被傳輸至互聯網之后，相應的接收系統(tǒng)防火墻會讀取IP地址，進而選取一條物理路徑進行數據輸送，等量數據段可能會由不同的物理路徑到達同一目標地點，在所有數據段落到達目標地點后再次進行數據的重新組合，并最終促使數據復原。

　　2)包過濾技術

　　包過濾技術作為防火墻技術之中一項十分關鍵的技術內容，其能夠借助于防火墻的隔離作用對于出入網絡的數據信息流加以控制與操作。信息系統(tǒng)的管理人員可設定相應的規(guī)則系統(tǒng)，明確指出哪一類型部分的數據內容能夠進出內部網絡系統(tǒng);哪一部分的數據內容在傳輸的過程當中應當對其實行攔截處理。目前的一些包過濾防火墻技術不但需要依據IP數據的具體地址、協(xié)議、端口、服務、時間等信息要素來采取相應的訪問控制措施，并且還需要針對所有的網絡連接以及目前的會化妝與采取動態(tài)分析及監(jiān)管控制。包過濾防火墻載體可被安置于路由器當中，因為基于互聯網的網絡連接大多都需要應用到路由器這一設備，因此Router也便成為了實現網絡內部與外部環(huán)節(jié)互相通信的必由路徑，對于一項包過濾規(guī)則而言其安全程度及安裝的必要性是難以判斷的，因此在一些安全程度要求較為嚴格的使用環(huán)境中，通常還會增用一些其他的相關技術來確保安全防護的可靠性。

　　包過濾防火墻技術在實際的運行過程之中，其中的包過濾模塊通常會于操作系統(tǒng)亦或路由器轉發(fā)包前將大部分的數據信息攔截下來。不僅需要檢驗包過濾模塊是否達到了過濾標準的要求，同時還要做好對于攔截數據的記錄工作。在通過檢驗規(guī)則的數據信息可予以轉發(fā)處置，針對不符合規(guī)則要求的數據信息應當予以報警處置，并通知管理人員。如若沒有相應的過濾標準，則可通過用戶所設置的缺省參數，來明確此項數據內容應當予以通過審核亦或作舍棄處理。過濾的規(guī)則即為網絡系統(tǒng)的管理人員，根據自身部分制定出的安全策略所擬定的規(guī)則標準。在傳統(tǒng)的防火墻技術當中，基于規(guī)則標準的防火墻過濾審核，從屬于同一連接方式之中的不同數據，且這些數據內容之間不存在任何相關性，每一項數據信息都應當根據規(guī)則標準予以過濾處置，由此也便會使得系統(tǒng)的安全性審核過于冗雜;而采用包過濾防火墻技術能夠基于連接狀態(tài)實現包過濾檢查，使得從屬于相同連接境況下的數據包當作一個整體數據包進行處置，并借助于規(guī)則表以及連接狀態(tài)表的協(xié)同配合，極大提升了系統(tǒng)性能與安全性能。

　　3)代理技術 　　代理技術通常是指采用代理亦或代理服務器技術，具體可為一項代理內部網絡的用戶，能夠和外部的網絡服務器實行信息的交互。代理技術能夠使內部用戶所發(fā)出的請求在確認以后傳送至外部服務器之中，并且也能夠將外部服務器的響應再次傳輸至用戶端。

　　目前在一些包過濾防火墻技術之中，針對FTP、HTTP以及DNS等系統(tǒng)應用均能夠做到代理服務。以上所說的代理服務內容對于用戶而言是清晰可見的，即在用戶的意識當中是感知不到防火墻的存在，便能夠安全的實現對于內外部網絡的互相通信。在內部網絡用戶需應用透明代理進行外部信息的訪問時，用戶無需進行特殊設置，代理服務器會自行構建透明路徑，使用戶能夠直接和外界進行通信，此舉不僅能夠使得用戶在進行信息獲取時獲得極大的便利性，同時也能夠最大程度的降低使用過程之中的錯誤問題，避免在防火墻的日常應用過程中發(fā)生安全風險與錯誤問題。

　　代理服務器能夠將內部的網絡細節(jié)予以屏蔽處理，從而使得相關的入侵人員無法獲取到系統(tǒng)的內部結構情況。并且通過對于某些特殊命令的屏蔽，能夠避免用戶會無意使用到對系統(tǒng)產生安全威脅的命令，最終實現從網絡底層避免攻擊行為的發(fā)生。

　　4 防火墻的構建

　　傳統(tǒng)的包過濾防火墻系統(tǒng)，僅是依據所收集到的數據信息來進行安全性評估，例如對于數據信息的源地址、目標地址、TCP端口號，以及數據信息之中的各類過濾信息，而這些安全性評估評估內容相對都是較為基礎的，因此較易遭受到病毒性的供給，例如源地址、源路由選取等病毒欺騙。據此應當采取一種新型的包過濾防火墻設計方式，以促使防火墻設備除了在對過濾數據進行核查之外，同時也應當針對相關的路由設備予以檢查，將滿足于數據過濾規(guī)則卻未能夠通過路由安全檢測的數據包遺棄，以期最大程度的改善此類問題。

　　具體的防火墻構建流程為：

　　首先，對于Linux內核予以修改，使得其能夠具備路由記錄的功能。在Linux系統(tǒng)之中并不包含有支持IP數據包路由記錄功能，因而便需要對其內核進行修改處理。對于此種功能的實現需要給予IP程序之中的選項控制模塊，即build_options，因此應當對其采取相應的修改，使之能夠具備路由記錄的功能。

　　其次，在Linux系統(tǒng)之中安裝以雙項網卡，并對路由進行合理的設置。在Linux主機之中安排路由功能往往需要在主機當中具備不低于兩個的網絡接口，在執(zhí)行具體的操作之時可能會發(fā)生Linux系統(tǒng)當中以太網卡缺少自行檢測的功能，要解決這一功能性缺失問題，通常有兩類方法，第一，在加載程序文件/etc/lilo.conf文件之中設置：append=“ether=irq0，io-port0，eth0 ether=irql，io-portl，ethl”;而第二種修改方式為對內核源程序進行修改，將/usr/src/Linux/drivers/net/Space.c之中的ethl結構進行修改。

　　再次，構建基于路由記錄基礎之上的包過濾防火墻軟件。此軟件的構建從本質上來說，即是在初始Linux系統(tǒng)的包過濾防火墻軟件基礎上進行了一定的修改。這主要是由于Linux系統(tǒng)的內核程序，其自身便是一項包過濾程序，且具備常規(guī)防火墻技術的優(yōu)勢特性，如：簡便、高效、功能強大，能夠依序系統(tǒng)的具體設定來執(zhí)行相關的安全策略，同時對于數據包內容也能夠予以有效的過濾。

　　5 結束語

　　總之，伴隨著相關計算機網絡技術的持續(xù)發(fā)展，以及其應用范圍的不斷擴展，網絡技術在帶給人們極大便捷性的同時，也產生了一定的信息安全隱患。因為網絡系統(tǒng)的安全性不但與技術與管理兩方面存在著密切的相關性，并且也和網絡設備的日常應用及維護具有一定的相關性。盡管當前防火墻技術是預防惡意網絡入侵的主要手段，然而因為網絡安全是由多個方面的因素所決定的，所以單純的憑借防火墻技術顯然是不能夠滿足于人們對于網絡安全性的需要，因而，要想能夠給予用戶提供以更為優(yōu)秀的網絡安全服務，就必須要將網絡安全研究和相關的防火墻技術相結合，以期最終能夠實現計算機網絡安全性的持續(xù)提升。

　　參考文獻：

　　[1] 鄒勇，白躍彬，趙銀亮，等.增強型包過濾防火墻規(guī)則的形式化及推理機的設計與實現[J].計算機研究與發(fā)展，2014(12).

　　[2] 秦拯，厲怡君，歐露，等.一種基于SFDD 的狀態(tài)防火墻規(guī)則集比對方法[J].湖南大學學報：自然科學版，2014(10).

　　[3] 秦拯，歐露，張大方，等.高吞吐量協(xié)作防火墻的雙向去冗余方法[J].湖南大學學報：自然科學版，2013(1).

看過“計算機網絡安全和防火墻技術分析論文”的人還看了：

1.計算機網絡安全及防火墻技術論文

2.計算機網絡安全方面研究論文

3.計算機專業(yè)畢業(yè)論文:淺析網絡安全技術

4.有關計算機網絡安全發(fā)展論文

5.計算機網絡安全防范的論文