浅谈网络安全与防火墙

摘 要：在信息时代的今天，随着对信息依赖性的不断增强，人们越来越重视网络安全问题。面对越来越多的各种网络安全威胁，采用合适的方式确保网络免受各种恶意攻击就显得非常重要。本文主要介绍了各种网络安全威胁和不同类型防火墙的应用机制。

关键词：网络安全；防火墙

中图分类号：TP393.08

网络给人们提供了快速获取信息的渠道，通过网络，人们可以共享各种信息。可以说，如今的网络已经成为个人生活中重要的一部分，它在给人们的工作、生活和学习带来极大便利的同时，也带来了一系列的问题。越来越多电脑病毒、木马、钓鱼网站等问题的出现，提醒人们必须给予网络安全问题更多的关注。

网络安全是给一个单位或机构的网络提供边界保护，防止外网黑客的入侵。而信息安全则主要是通过采用数据丢失防护技术，解决由于病毒攻击或者人为误操作导致的数据丢失。现在社会中，所有的企业、政府部门和学术组织都是通过互联网实现互联互通，因此，数据在传输过程中的安全就需要通过网络安全手段来保障。

1 网络安全的主要威胁

1.1 恶意软件

恶意软件是指一些在用户本人毫不知情的情况下进入计算机系统，并执行恶意任务的计算机病毒、蠕虫、特洛伊木马、间谍软件、假冒安全软件、rootkits以及其他一些恶意的或者用户不希望安装的软件。

1.2 拒绝服务（DoS）攻击

拒绝服务攻击能够导致用户电脑瘫痪或者由于系统进程繁忙而无法使用。多数情况下，及时下载最新补丁能够预防此类攻击。此外，必须特别注意，用户电脑在成为DoS攻击目标的同时，也可能控进而DoS攻击其他系统。

1.3 垃圾邮件

垃圾邮件是指通过电子邮件系统主动发送大量未经用户允许的邮件。有资料统计，垃圾邮件占全球每天发送邮件总数的70%到84%。这些垃圾邮件导致了数十亿美元的生产力损失，同时带来了与日俱增的用以防范此类攻击和威胁的IT资源需求。

1.4 网络钓鱼

网络钓鱼是一种通过发送谎称来自银行或知名机构的垃圾邮件，诱使用户点击链接进入一些不安全的网页，来盗取用户网上交易帐号、银行卡号密码等个人信息的攻击行为。最典型的网络钓鱼攻击将收信用户引诱到一个通过精心设计与银行、网上购物网站等非常相似的钓鱼网站上，从而窃取用户在此网站上输入的个人隐私信息，通常整个攻击过程不会让受害用户警觉。

现在，随着智能手机的普及，人们的手机也变得不再安全，手机成为一种新型的网络钓鱼媒介。用户在接收短信、彩信、浏览网页、下载文件的时候，某些恶意软件，例如特洛伊木马可能会被植入用户手机中，导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息，并可能在毫无察觉的情况下自动拨打电话、发短（彩）信等而产生高额的话费。

此外，一些人还使用IP语音电话（VoIP）来进行诈骗。这些人通过短信诱骗用户拨打其提供的电话号码，通常是利用自动语音诱导用户输入银行卡号和密码，并自动记录，以达到盗取用户信息的目的。

这些手段各异的网络钓鱼方式越来越成为令网络安全管理者和商家头疼的大事。随着通过网络进行交互和网上个人信息登录使用的增多，人们越来越容易受到各种网络钓鱼行为的攻击。因此，为了保护个人网络和账户的安全性，了解黑客进行网络钓鱼诈骗的一些常见手段就显得非常必要。

1.5 网络嗅探

网络嗅探最早是为网络管理员准备的，通过抓取网络数据流来掌握网络实际状况。由于抓取的数据中包含有用户的一些敏感信息，例如用户名、密码和银行卡账号等，结果这一方法成为了黑客的利器，导致了网络数据、账户、交易信息等的丢失。因此，为了此技术能有效性地应用，首先必须确保网络嗅探的合法性。目前，应对此问题最常用的方法是采用蜜罐技术（honeypot），通过引诱黑客前来攻击，并记录黑客的入侵行为，从而了解攻击者的手段和目的，更好地防御网络攻击。

1.6 密码攻击

密码攻击是一个统称，指的是各种用于盗取用户账号密码的技术手段。上面介绍的网络嗅探、特洛伊木马等都是常见的形式，其中，黑客们使用的最简单、同时最耗时间的一种方法就是强力攻击。它将字典中不同的字母和短语进行组合，并反复尝试，直到猜出用户的密码，甚至是用户名。因此，增加用户名和密码的复杂度是应对此类攻击、提高网络安全系数的有效方法。

2 防火墙

防火墙作为阻挡网络攻击的第一道防线，是所有网络中必不可少的一部分。然而，由于防火墙的复杂性，如果配置或者管理不当则可能会导致网络安全漏洞。在任何网络环境下，网络安全都是网络管理配置中至关重要的一环。通常，一个网络由许多不同的用户应用构成，这些应用可能都是潜在的安全漏洞。进一步说，有很多系统默认生效的协议，例如包封装/解封装（PAD）、网际控制报文协议（ICMP）和简单网络管理协议（SNMP）等，都是必须明确禁用的；还有一些协议，如超文本传输协议（HTTP和HTTPs）必须启用，但是要限制使用访问控制列表。因此，通过配置防火墙来禁用一些不用的服务和设备端口、选择性地限制一些协议是非常必要的。在确认可能存在的安全漏洞后，必须为路由器配置防火墙来保障网络的安全。

防火墙是互联网中使用最广的一种安全手段，所有内、外网之间的通信都必须经过防火墙。不同类型的防火墙有不同的配置规则和安全策略。所有的网络通信和数据包只有经过本地策略的认证的才能顺利通过防火墙。同时，防火墙自身也必须使用可信人的硬件和操作系统来确保其安全性。通常，防火墙有三种类型，即电路层防火墙、应用层防火墙和包过滤防火墙。

2.1 电路层防火墙

对于某些应用而言，电路层防火墙既可以是一个独立的系统，又可以作为应用层网关的一部分来实现特定功能。在电路层防火墙中，端到端的TCP连接是禁止的。相反，网关在其内部创建两个TCP连接，一个TCP的用户在内网，另一个在外网。当TCP连接建立后，防火墙将不再检查传输内容而直接进行信息交换。可见，该类型防火墙的安全功能只是决定哪些连接是允许的。电路层防火墙建立内、外网用户连接关系的方式如图1所示。

2.2 应用层防火墙

应用层防火墙也被称为防火墙，用作应用层的接力通信。本端用户可以采用TCP/IP应用与防火墙进行通信，再通过防火墙询问远端用户哪一个是允许通过的。作为响应，本端用户必须提供有效的用户ID和授权信息，而后通过防火墙连接远端应用，并交换两端间的TCP段应用数据。所有这些都必须在防火墙实现代码的基础之上。我们可以对防火墙进行配置，使其只能支持应用的某些特定特性。应用层防火墙连接两端的方式如图2所示。

2.3 包过滤防火墙

包过滤的实现是基于包过滤路由器的基础之上的。包是通过还是丢弃取决于所做的配置。对于包是通过还是丢弃，有如下两种默认策略：

（1）默认“丢弃”：即不满足配置规则；

（2）默认“通过”：即满足至少一条规则。

如果包匹配规则中的任意一条，则默认设置生效：允许通过；如果不满足任一设定规则，则另一默认设置生效：丢弃包。包过滤路由器的方框图如图3所示。

包过滤的实现是基于以下网络包内信息的基础之上。

（1）源IP地址：即包的来源IP地址；

（2）目标IP地址：即包将放送到的IP地址；

（3）源和目标的传输层地址：即由传输层端口（TCP或UDP）定义的应用，例如SNMP或telnet；

（4）接口：即包来源于路由器的哪个接口，将发送到路由器的那个目标接口。

3 结论

本文介绍了网络安全威胁的主要形式和使用不同类型防火墙的安全机制和潜在弱点。在现代的计算机网络中，只有应用了防火墙的网络安全架构才能保护内网不受到外网的攻击。同样，为了更好地保护系统不受到黑客发起的各种网络威胁，适当的安全机制必须覆盖应用层、传输层和网络层中至少两层。因此，我们可以说，通过使用防火墙实现适当的安全机制可以提升抵御网络威胁的能力，使面对众多威胁的网络更加安全。

参考文献：

[1]张淼.浅谈网络安全面临的威胁因素[J].科技向导，2010，34.

[2]李书平.防火墙技术及其在网络安全中的应用[J].信息技术，2010，10.

作者单位：上海警备区，上海 200040