楊迪

摘要：互聯(lián)網(wǎng)是一個開放性的信息來源，網(wǎng)絡(luò)系統(tǒng)時常會遭受計算機病毒與黑客的攻擊，因此，存儲于計算機內(nèi)的信息和數(shù)據(jù)隨時可能遭受破壞、盜取，或?qū)е掠嬎銠C系統(tǒng)無法正常運行。防火墻作為首選的網(wǎng)絡(luò)內(nèi)外連接屏障，可有效保護計算機網(wǎng)絡(luò)安全。本文通過分析網(wǎng)絡(luò)安全問題產(chǎn)生的原因及其影響因素，以及防火墻、入侵檢測系統(tǒng)的功能與安全防范措施，對現(xiàn)行計算機網(wǎng)絡(luò)安全的硬件防范體系進行介紹。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防火墻；入侵檢測；防范措施

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)05-1037-02

The Computer Network Security Causes of Problems and Hardware Guard Against Technical Analysis

YANG Di

(Civil Aviation Northwest Air Traffic Administration, Xian 710082 ,China)

Abstract: The Internet is an open source of information, the network system often suffer from a computer virus and hacker attacks, there? fore, stored in the computer information in and data may suffer damage, steal at any time, or lead to the computer system can not run nor? mally. Firewall as the preferred network internal and external connection barrier, which can effectively protect the computer network secu? rity. This paper analyzes the causes of the problem of network security and its influencing factors and firewall, intrusion detection system function and safety measures, to the current computer network security hardware protection system was introduced.

Key words: computer; network security; firewall; intrusion detection; preventive measures

計算機網(wǎng)絡(luò)應(yīng)用的普及，使人們得以在生活、學(xué)習(xí)和工作中獲取信息共享、溝通與交流的便利。影響計算機網(wǎng)絡(luò)安全的原因有許多，有人為與非人為的因素，還有黑客入侵等，我們知道，網(wǎng)絡(luò)中總有一些人心存不良企圖，他們利用各種網(wǎng)絡(luò)和系統(tǒng)漏洞，闖入別人的計算機，非法獲得未經(jīng)授權(quán)的訪問信息，更糟糕的是，由于網(wǎng)絡(luò)傳播的便捷性，現(xiàn)如今各種網(wǎng)絡(luò)攻擊技巧與工具幾乎予取予求，而網(wǎng)絡(luò)應(yīng)用的隱蔽性和網(wǎng)絡(luò)電子商務(wù)的大量應(yīng)用，更進一步加劇了網(wǎng)絡(luò)破壞和犯罪的誘惑力。

因此，網(wǎng)絡(luò)安全問題日益受到人們的高度重視。而防火墻作為一種隔離技術(shù)，可以阻擋外來用戶的非授權(quán)入侵，防止信息被復(fù)制、篡改或損毀，有效地實現(xiàn)安全保密工作，是目前網(wǎng)絡(luò)安全保護的基本技術(shù)手段之一。

1計算機網(wǎng)絡(luò)安全問題的由來

網(wǎng)絡(luò)安全問題的產(chǎn)生，首先是由于不安全的網(wǎng)絡(luò)結(jié)構(gòu)本身。互聯(lián)網(wǎng)是一個由無數(shù)的局域網(wǎng)連接而成的超大型網(wǎng)絡(luò)，而在網(wǎng)間通信時，攻擊者可選擇在傳輸路徑中的任一臺主機上對數(shù)據(jù)包進行劫取。

數(shù)據(jù)竊聽的不可避免。在互聯(lián)網(wǎng)上傳播的絕大部分?jǐn)?shù)據(jù)流是未經(jīng)加密的，明文的電子郵件，通過鍵盤輸入的用戶名、口令等，這些信息都很容易遭到竊取。

第三，也是非常重要的一點，就是網(wǎng)絡(luò)使用者普遍缺乏安全意識。絕大多數(shù)網(wǎng)絡(luò)用戶倚重的僅僅是計算機網(wǎng)絡(luò)功能本身，而并不具備對計算機或網(wǎng)絡(luò)通信技術(shù)的精通，不恰當(dāng)、不嚴(yán)密的使用習(xí)慣加上專業(yè)知識的缺乏，可以說是造成網(wǎng)絡(luò)安全問題泛濫的誘因。

2影響計算機網(wǎng)絡(luò)安全的技術(shù)因素

從技術(shù)上講，首先是由于網(wǎng)絡(luò)資源的開放性。網(wǎng)絡(luò)是信息的載體，網(wǎng)絡(luò)之所以存在，就是因為需要發(fā)布和傳播信息，而任何一個網(wǎng)絡(luò)中的用戶都有可能發(fā)布或獲取信息。

其次，網(wǎng)絡(luò)資源的共享性。計算機網(wǎng)絡(luò)必須要能實現(xiàn)資源共享的目標(biāo)，因此，外部的服務(wù)請求不可能完全被隔離，這樣一來，攻擊者們便有了通過服務(wù)請求截取或破壞數(shù)據(jù)包的可能性。

不合理的網(wǎng)絡(luò)系統(tǒng)設(shè)計，以及操作系統(tǒng)本身存在的漏洞加劇了這種風(fēng)險。因為所有的網(wǎng)絡(luò)通信協(xié)議與服務(wù)程序都要依靠操作系統(tǒng)去實現(xiàn)，它同時也是網(wǎng)絡(luò)硬件設(shè)備驅(qū)動的載體，各種協(xié)議的復(fù)雜機理，使得網(wǎng)絡(luò)操作系統(tǒng)充滿了漏洞與缺陷，所謂道高一尺、魔高一丈，在現(xiàn)有的技術(shù)層面上，被惡意者抓住漏洞進行攻擊幾乎是無可避免的。

3計算機網(wǎng)絡(luò)安全的基本防護技術(shù)

計算機網(wǎng)絡(luò)安全防范，是通過各種網(wǎng)絡(luò)管理的控制手段，以及技術(shù)領(lǐng)域的解決辦法，以保證網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的正確、保密及完整。計算機網(wǎng)絡(luò)安全主要有物理安全和邏輯安全兩個方面，但是根據(jù)使用者的不同，對網(wǎng)絡(luò)安全概念的理解也就不太一樣。例如：一般使用者認(rèn)為，計算機網(wǎng)絡(luò)安全就是在網(wǎng)絡(luò)上傳輸涉及自身隱私或重要信息時，能夠保護信息不被竊聽或篡改，而網(wǎng)絡(luò)供應(yīng)商們則認(rèn)為，除了要保證網(wǎng)絡(luò)中傳輸信息的安全，還要考慮對網(wǎng)絡(luò)配置環(huán)境甚至硬件的各種破壞，以及出現(xiàn)異常后網(wǎng)絡(luò)通信的快速恢復(fù)。

保護網(wǎng)絡(luò)安全，最常用的一些技術(shù)手段包括：

1）身份驗證。即在進行信息交換之前，先驗證對方的“身份”，看是否合法授權(quán)用戶。舉一個簡單的例子，如登錄網(wǎng)銀系統(tǒng)時，要求用戶輸入用戶名、密碼等信息，就是一個身份驗證的過程。

2）加密技術(shù)。運用一些技術(shù)手段，把需要傳輸?shù)臄?shù)據(jù)變成“亂”碼傳送，數(shù)據(jù)傳至目的地后，再用特定的技術(shù)手段予以還原。數(shù)據(jù)在傳輸過程中即使遭偷竊，也因為“亂碼”“不知所云”，或者所需破解時間過長而失去了破解價值，從而達(dá)到數(shù)據(jù)保護的目的。

3）入侵檢測技術(shù)。

4）防病毒技術(shù)。

4防火墻與入侵檢測應(yīng)用

4.1防火墻是什么

防火墻（Firewall）“防火墻”，顧名思義就是一道墻，一道將危險隔離于網(wǎng)絡(luò)之外的屏障。它其實就是一種隔離技術(shù)，你可以把它更形象地理解成一道防盜門，只有擁有授權(quán)的用戶（拿著鑰匙的人）可以進出，或者只有某些數(shù)據(jù)（出門證上羅列的物品）可以進出。

有了防火墻這種防范系統(tǒng)，除非是經(jīng)過嚴(yán)格“審批”的用戶和信息，網(wǎng)絡(luò)再也不能任意出入，這樣一來，便可保證網(wǎng)絡(luò)中的輸入輸出信息是受到安全防護的。

4.2防火墻的基本技術(shù)類型

防火墻產(chǎn)品已然眾多，但總體來講，傳統(tǒng)技術(shù)不外乎“包過濾型”和“應(yīng)用代理型”兩大類。

防火墻的包過濾型技術(shù)。是在OSI模型中的傳輸層與網(wǎng)絡(luò)層之間，為了證明數(shù)據(jù)包是否允許被通過，直接對數(shù)據(jù)信息進行檢驗其是否屬于合格。在保證了傳輸數(shù)據(jù)的安全后，才能將數(shù)據(jù)包發(fā)送到出口端，否則就會在數(shù)據(jù)流中毀滅和丟棄。這種防火墻技術(shù)使用廣泛且相對廉價，現(xiàn)今的大多數(shù)路由器均可提供這種功能，實現(xiàn)成本不高，事實上，它也確實能夠基本滿足大多數(shù)用戶的安全需求。

防火墻的應(yīng)用代理型技術(shù)。它工作于OSI模型中的最高層——應(yīng)用層，所謂應(yīng)用代理又被稱為應(yīng)用網(wǎng)關(guān)，它可阻擋不安全信息的侵入，確保傳輸過程的安全，監(jiān)控與控制應(yīng)用層的通信流，阻止不安全信息的進入。應(yīng)用代理型防火墻的優(yōu)點是安全性更高，缺點則是設(shè)置復(fù)雜，對系統(tǒng)的整體性能也存在一定影響。

新一代的應(yīng)用中還包括了應(yīng)用型監(jiān)測防火墻技術(shù)，它實際已超越了最初設(shè)定的防火墻的定義——主動、實時的監(jiān)測；具有分析判斷能力，屬于“智能型”系統(tǒng)；檢測網(wǎng)絡(luò)外部攻擊的同時，也防范內(nèi)部破壞。顯然，這種運行機理大大提升了它的防護強度，不過，雖然監(jiān)測型防火墻的安全性更好，但由于其實現(xiàn)成本較高，制約了它的進一步普及。

4.3防火墻與入侵檢測聯(lián)動

入侵檢測（Intrusion Detection）是傳統(tǒng)防火墻技術(shù)的合理補充與延伸。它將計算機網(wǎng)絡(luò)與系統(tǒng)中的關(guān)鍵點信息進行分析，從而發(fā)現(xiàn)不安全的侵入現(xiàn)象。它集記錄、檢測、報警、響應(yīng)等各安全技術(shù)于一身，除了對外來入侵進行檢測，還可監(jiān)督內(nèi)在的未經(jīng)授權(quán)活動。

入侵檢測是一種積極、主動的安全防護技術(shù)。在實際應(yīng)用中，我們根據(jù)所要防范對象的不同，將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測。

保護網(wǎng)絡(luò)安全是一項系統(tǒng)工程，它不可能僅靠一兩個功能單一的產(chǎn)品來實現(xiàn)，更為合理的狀況應(yīng)該是，整個系統(tǒng)的安全性應(yīng)由一套工作機理不同、技術(shù)手段互相補充、軟硬件結(jié)合的綜合措施來保障。而這其中，入侵檢測系統(tǒng)和防火墻的組合就是一種比較好的安全防護模式，防火墻的不足可由入侵檢測系統(tǒng)來填補，反之，防火墻的技術(shù)特點又成為入侵檢測系統(tǒng)的保障。大量的實踐證明，此防范措施可以使得網(wǎng)絡(luò)安全防御能力得到進一步的提高。

綜上，計算機網(wǎng)絡(luò)安全是一個超越于純技術(shù)領(lǐng)域的社會性問題，防火墻或入侵檢測這樣的單一產(chǎn)品雖然無法解決所有的網(wǎng)絡(luò)安全難題，但它的確不失為一種可以利用有限的資源，保護大多計算機網(wǎng)絡(luò)免受威脅的有效的硬件防護手段。

參考文獻：

[1]皮興進.計算機網(wǎng)絡(luò)系統(tǒng)安全威脅及其防護策略的研究[J].才智,2009(17).

[2]馬莉.基于防火墻病毒防護的計算機網(wǎng)絡(luò)安全[J].科技資訊,2010(2).

[3]陳文惠.防火墻系統(tǒng)策略配置研究[D].合肥:中國科學(xué)技術(shù)大學(xué),2007.

[4]續(xù)敏，方潔.防火墻技術(shù)與Internet網(wǎng)絡(luò)安全[J].計算機應(yīng)用,1997(5).