如何加强办公内网中的计算机网络安全防护

　　摘要：随着计算机科学技术的发展与应用，日常办公模式逐渐摒弃了传统的办公模式而日益趋于网络化、电子化这种信息化办公模式。新型的信息化办公模式在为办公带来巨大便利的同时，也带来了一定程度的风险，近年来，随着信息技术的提高，网络安全事件的发生率也在不断的提高，如何加强办公内网中的计算机网络安全防护，如何应对网络安全事件成为了办公过程中一个重要的部分，而防火墙技术在网络安全防护中更是一个不可或缺的部分。

　　关键词：防火墙； 包过滤技术； 代理服务技术； 双重宿主主机结构；

　　一、防火墙功能概述

　　防火墙是一种隔离技术，目的在于实现安全访问控制，工作在OSI七层结构的会话层中，一般放在整个内部网络的前端出口处，将内部网络和外部网络分隔成了两个部分。内部网络想要访问外部网络，或者外部网络想要访问内部网络，这种流量的流入和流出都要经过防火墙的允许才能够进行，因此他的访问控制机制有效地抵御了大部分非法访问及恶意流量。此外，防火墙还可以记录通过防火墙的信息内容和活动，对网络攻击进行检测和告警。

　　二、防火墙技术

　　1、包过滤技术。

　　包过滤技术是防火墙最主要的安全技术之一，工作在网络层和传输层，对用户透明。通常是安装在路由器上，利用路由器监视网络上流入流出的数据包，主要基于IP数据包包头信息建立过滤规则从而对数据进行过滤，如源地址、目的地址、源端口、目的端口等。数据包中的信息如果与某一条过滤规则相匹配并且该规则允许数据包通过，则该数据包会被转发，如果与某一条过滤规则匹配但规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，缺省规则会决定数据包是被转发还是被丢弃。包过滤技术的优点是效率高，对用户透明，规则设置简单。缺点是只能识别到主机IP地址，无法识别用户和文件，不能彻底的防止地址欺骗，管理功能弱，以及无法执行某些安全策略等，因此安全性较差。

　　2、代理服务技术。

　　代理服务技术基于软件，通常是安装在专用的服务器上，从而借助代理服务器来进行信息的交互。在信息数据从内网向外网发送时，其信息数据就会携带着正确IP,非法攻击者能够分局信息数据IP作为追踪的对象，来让病毒进入到内网中，如果使用代理服务器，则就能够实现信息数据IP的虚拟化，非法攻击者在进行虚拟IP的跟踪中，就不能够获取真实的解析信息，从而代理服务器实现对计算机网络的安全防护。另外，代理服务器还能够进行信息数据的中转，对计算机内网以及外网信息的交互进行控制，对计算机的网络安全起到保护。[1]代理服务技术具有易于配置、灵活、方便与其他安全手段集成等优点，但缺点是对用户不透明，不能改进底层协议的安全性，且代理速度较慢等。

　　三、防火墙的体系结构

　　1、双重宿主主机体系结构。

　　双重宿主主机结构是一种最简单的防火墙结构，由双重宿主主机隔离在内部、外部网络之间，这台双重宿主主机就成为了整个防火墙的主体部分。内部外部网络之间的互相访问首先要访问双重宿主主机，然后通过应用层代理技术完成对目标网络的访问。 双重宿主主机结构的优点是结构简单，便于搭建与维护。缺点是一旦攻破双重宿主主机就等于攻破了内部网络。

　　2、屏蔽主机体系结构。

　　屏蔽主机体系结构是由一个路由器加内部网络中的堡垒主机的组合而成。路由器位于内部网络与外部网络之间，提供路由功能及数据包的过滤功能。堡垒机位于内部网络中，整个内部网络中只有堡垒机才可以通过路由器与外部网络进行通信。其余的内网主机如想访问外部网络，只能先访问堡垒主机，然后通过应用层代理技术实现与外部网络的通信。屏蔽主机体系结构的优点是在内外网之间增加了路由器的安全保护，要想攻击堡垒机首先要攻破路由器。缺点是过滤规则配置比较复杂，而且堡垒机毕竟在内网中且可以通过路由器与外部网络通信，一旦攻破堡垒机就等于直接攻破了内网。

　　3、屏蔽子网体系结构。

　　屏蔽子网体系结构由外部网络路由器、内部网络路由器、堡垒机和周边网络共同构成了屏蔽子网体系结构的主体部分。屏蔽子网体系结构是在内部网络和外部网络之间增加了一个缓冲网络，即非军事区地带，将堡垒机和一些对外的、或者是安全性要求较低的应用服务器，放在周边网络中，而将对内的或者安全性要求更高的应用服务器和主机放置在内部网络中。外部网络和内部网络之间的主机要通信，需要先经过周边网络。因此想要攻破内部网络，也要先攻破外部路由器、周边网络、以及内部路由器等才能实现。因此与前两种体系结构相比，屏蔽子网体系结构的安全性是比较高的。

　　四、结束语

　　上文对常见的防火墙技术与体系结构进行了简要的介绍，但在实际应用中，往往并非只应用单独的某种结构或技术，通常是对网络体系结构和安全要求进行评估后，根据实际情况而组合应用的。防火墙虽然可以在很大程度上防止来自于外部的网络攻击和非法访问，却无法监测和防止内部的攻击和恶意流量。因此如何根据办公网络的具体情况选用防火墙及如何应对防火墙无法防御的安全漏洞仍是一个在网络安全工作中需要进一步完善的内容。

　　参考文献

　　[1]刘昊奇。计算机网络安全中防火墙技术的实践[J].电脑迷，2019,（1）：177.