王曉玲

（電子科技大學(xué)成都學(xué)院 四川 成都 610599）

1 引言

網(wǎng)絡(luò)使得人們的生活變得更加便捷，但是網(wǎng)絡(luò)技術(shù)的應(yīng)用是一把雙刃劍，其也有不好的一方面，尤其是日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，現(xiàn)在已經(jīng)成為迫切需要解決的問(wèn)題。作為對(duì)網(wǎng)絡(luò)新生技術(shù)接受能力較高的學(xué)生們，網(wǎng)絡(luò)安全的建立和普及，也有效促進(jìn)了網(wǎng)絡(luò)安全工作的順利開展，但是當(dāng)前網(wǎng)絡(luò)也面臨著越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，使得網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)時(shí)常被嚴(yán)重?fù)p害[1]。對(duì)此，要充分利用和發(fā)揮網(wǎng)絡(luò)安全技術(shù)，從而有效保證企業(yè)網(wǎng)絡(luò)的安全平穩(wěn)運(yùn)行。本文對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了討論和研究，并提出了相應(yīng)的有效策略，以期待能夠幫助網(wǎng)絡(luò)的安全平穩(wěn)運(yùn)行。

2 網(wǎng)絡(luò)的特點(diǎn)和應(yīng)用

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，極大推動(dòng)了社會(huì)的發(fā)展和進(jìn)步，也使得人們的生活變得更為豐富多彩和便捷。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)主要有以下幾點(diǎn)：（1）網(wǎng)絡(luò)具有快捷性。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得各種新技術(shù)平臺(tái)得到了快速發(fā)展，人們通過(guò)新技術(shù)平臺(tái)能夠快速、隨時(shí)隨地來(lái)進(jìn)行交流，信息也可以一對(duì)一地單獨(dú)發(fā)展，也可以進(jìn)行一對(duì)多的群發(fā)，這樣就會(huì)使得人們的信息溝通更為快捷；（2）網(wǎng)絡(luò)技術(shù)的自由性。由于網(wǎng)絡(luò)平臺(tái)的特殊性，使得不同身份、不同地位的人們?cè)诰W(wǎng)絡(luò)平臺(tái)上可以平等交流，充分表達(dá)自己的想法和意見(jiàn)，消除了人們之間的隔閡，極大推動(dòng)了社會(huì)和諧平等的發(fā)展。（3）網(wǎng)絡(luò)的開放性。隨著共享經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)變得更為開發(fā)，人們的視野眼界也都得到了極大擴(kuò)展和開放；（4）網(wǎng)絡(luò)的互動(dòng)性。網(wǎng)絡(luò)互動(dòng)和交流平臺(tái)為人們提供了更好的溝通方式，使得人們的互動(dòng)不會(huì)受到時(shí)間和空間的影響，極大促進(jìn)了人們彼此之間的溝通和互動(dòng)；（5）網(wǎng)絡(luò)的創(chuàng)新性。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展正是創(chuàng)新的集大成者，促進(jìn)人們更好掌握新技術(shù)和利用新技術(shù)，更好地促進(jìn)技術(shù)的創(chuàng)新和發(fā)展。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及原因

3.1 網(wǎng)絡(luò)安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)能夠極大地促進(jìn)社會(huì)各領(lǐng)域的發(fā)展和進(jìn)步，網(wǎng)絡(luò)安全問(wèn)題也與日俱增，越來(lái)越嚴(yán)重地影響到社會(huì)各領(lǐng)域的發(fā)展，也嚴(yán)重影響到人們的日常生活，例如數(shù)據(jù)竊取、黑客行為等，也阻礙了社會(huì)和經(jīng)濟(jì)的發(fā)展[2]。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題可以歸納為以下幾類：（1）網(wǎng)絡(luò)非法入侵。其指的是利用計(jì)算機(jī)技巧來(lái)非法訪問(wèn)網(wǎng)站的行為，網(wǎng)絡(luò)入侵能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行非法改寫，取得非法權(quán)限，更為嚴(yán)重的將會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)被破壞，從而使得計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行；（2）后門和木馬程序。后門和木馬是網(wǎng)絡(luò)黑客慣用的手段，通過(guò)為硬件設(shè)備留有的后門來(lái)進(jìn)行硬件的入侵，通過(guò)木馬來(lái)遠(yuǎn)程控制用戶的計(jì)算機(jī)。（3）計(jì)算機(jī)病毒。其指的是在計(jì)算機(jī)正常程序中加入特定的能夠自我復(fù)制的程序代碼，使得用戶的計(jì)算機(jī)軟件系統(tǒng)容易被攻擊，造成網(wǎng)絡(luò)系統(tǒng)的崩潰。除此之外，網(wǎng)絡(luò)安全問(wèn)題還包括垃圾郵件、對(duì)加密算法的攻擊、數(shù)據(jù)竊取、數(shù)據(jù)竊聽等問(wèn)題。

3.2 網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生原因

網(wǎng)絡(luò)安全問(wèn)題的發(fā)生并非偶然。主要有以下幾種原因：（1）設(shè)計(jì)思想導(dǎo)致網(wǎng)絡(luò)缺陷。由于計(jì)算機(jī)網(wǎng)絡(luò)開發(fā)之初只注重系統(tǒng)的穩(wěn)定性和可用性，但是計(jì)算機(jī)網(wǎng)絡(luò)安全性卻沒(méi)有得到應(yīng)有的重視，這就導(dǎo)致在計(jì)算機(jī)設(shè)計(jì)之初其安全設(shè)計(jì)欠缺，使得計(jì)算機(jī)網(wǎng)絡(luò)容易被監(jiān)聽、欺騙、篡改等網(wǎng)絡(luò)攻擊問(wèn)題，來(lái)隨意攻擊網(wǎng)絡(luò)；（2）硬件問(wèn)題。計(jì)算機(jī)硬件是否安全可靠，硬件參數(shù)等都直接關(guān)系著網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)[3]。此外，軟件設(shè)計(jì)缺陷，軟件漏洞也能夠引起網(wǎng)絡(luò)安全問(wèn)題；（3）病毒和木馬程序。其引起的網(wǎng)絡(luò)安全問(wèn)題也較為突出；（4）缺少網(wǎng)絡(luò)維護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)需要不斷更新軟硬件補(bǔ)丁，需要不斷進(jìn)行日常維護(hù)、數(shù)據(jù)備份等工作，才能做好網(wǎng)絡(luò)的維護(hù)，才能有效避免網(wǎng)絡(luò)安全問(wèn)題。

4 防火墻技術(shù)概述

防火墻分為硬件防火墻(Firewall)和軟件防火墻(WAF)。硬件防火墻是借助硬件設(shè)備隔離內(nèi)網(wǎng)和外網(wǎng)，硬件設(shè)備中配置一定的防御策略，用以阻隔外網(wǎng)中不安全的訪問(wèn)或非法攻擊，進(jìn)而達(dá)到保護(hù)內(nèi)網(wǎng)的作用，硬件防火墻允許合法信息訪問(wèn)內(nèi)部網(wǎng)絡(luò)，阻止非法信息訪問(wèn)內(nèi)部網(wǎng)絡(luò)；軟件防火墻則主要以綠盟科技、長(zhǎng)亭科技等互聯(lián)網(wǎng)企業(yè)研發(fā)的WAF為代表，軟件防火墻主要通過(guò)添加各類防御規(guī)則保護(hù)軟件安全，如通過(guò)or、and、select等規(guī)則與非法注入特征匹配，一旦匹配到非法特征值，則判斷該訪問(wèn)為非法訪問(wèn)或Seq注入等。

防火墻有諸多功能：（1）有效的保護(hù)屏障。無(wú)論是硬件防火墻或軟件防火墻，其均可以有效保護(hù)企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全，將非法訪問(wèn)和惡意攻擊屏蔽在內(nèi)網(wǎng)以外，從而有效避免內(nèi)網(wǎng)被非法入侵。此外，防護(hù)墻會(huì)將拒絕入侵的報(bào)文以日志的形式展示給防護(hù)墻管理員，使網(wǎng)絡(luò)管理人員及時(shí)知曉非法入侵；（2）防火墻有助于強(qiáng)化網(wǎng)絡(luò)安全策略。防火墻并非只是簡(jiǎn)單的防御設(shè)備，管理人員會(huì)在防火墻上配置多種安全防御策略；（3）防火墻可以有效防止內(nèi)部信息的泄露。防火墻可以有效保護(hù)內(nèi)部網(wǎng)絡(luò)的隱私信息，對(duì)高級(jí)的黑客而言，即使是很小的細(xì)節(jié)也可能成為引起網(wǎng)絡(luò)安全的導(dǎo)火索，而防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)段合理隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)所造成的影響。

目前市場(chǎng)上主要有3種防火墻類型：（1）數(shù)據(jù)包過(guò)濾型防火墻。其主要方式是在防火墻中配置過(guò)濾規(guī)則。防火墻會(huì)對(duì)訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾，過(guò)濾主要是規(guī)則匹配的過(guò)程，若訪問(wèn)數(shù)據(jù)包與過(guò)濾規(guī)則匹配成功，則將其判定為非法訪問(wèn)包，否則允許該訪問(wèn)通過(guò)；（2）應(yīng)用代理型防火墻。應(yīng)用代理型防火墻有效地隔絕著內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。防火墻作為代理設(shè)備，代理服務(wù)則運(yùn)行在防火墻上，一般是一種專門的應(yīng)用程序，代理集成了數(shù)據(jù)包過(guò)濾和分發(fā)的功能，其將過(guò)濾后的數(shù)據(jù)包轉(zhuǎn)發(fā)到實(shí)際的服務(wù)上，而不會(huì)經(jīng)過(guò)內(nèi)網(wǎng)和外網(wǎng)；（3）混合型防火墻。混合型防火墻也稱為堡壘機(jī)，是將防火墻的代理功能和過(guò)濾功能集合在一起，借此提高防火墻的靈活性并增加其防御性。當(dāng)然，任何防火墻都不可能完全地抵御所有的攻擊，這就需要相關(guān)的技術(shù)型人才深入探究防御技術(shù)，使其可以滿足多種非法的攻擊。

5 防火墻技術(shù)在網(wǎng)絡(luò)安全防范中的應(yīng)用

5.1 防火墻和IDS結(jié)合聯(lián)動(dòng)技術(shù)

防火墻在最初投入使用時(shí)極大地提高了網(wǎng)絡(luò)安全，但隨著攻擊技術(shù)的提升，防火墻技術(shù)逐漸暴露出不足之處。例如，防火墻是靜態(tài)防御，因此其無(wú)法對(duì)實(shí)時(shí)攻擊和異常行為做判斷和反應(yīng)；再如，網(wǎng)絡(luò)內(nèi)部的襲擊完全無(wú)法被防火墻識(shí)別，入侵檢測(cè)系統(tǒng)雖然可以及時(shí)有效地監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，并判斷攻擊企圖，入侵檢測(cè)系統(tǒng)針對(duì)系統(tǒng)整體，包括有系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，因此其一定程度可以彌補(bǔ)防火墻技術(shù)的不足。當(dāng)然，入侵檢測(cè)系統(tǒng)也存在諸多不足，如其雖然可以實(shí)時(shí)檢測(cè)攻擊并報(bào)警，但無(wú)法真正有效阻止攻擊。防火墻技術(shù)的側(cè)重點(diǎn)是控制，入侵檢測(cè)系統(tǒng)的側(cè)重點(diǎn)是對(duì)入侵信號(hào)的檢測(cè)，因此兩者的結(jié)合可以極大程度體現(xiàn)兩種方式的優(yōu)勢(shì)。

將兩者結(jié)合起來(lái)運(yùn)行，防火墻可以通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)準(zhǔn)確地發(fā)現(xiàn)僅依靠防火墻無(wú)法識(shí)別的攻擊行為，而入侵檢測(cè)系統(tǒng)則可以通過(guò)防火墻及時(shí)阻斷外部網(wǎng)絡(luò)的攻擊行為，兩者結(jié)合聯(lián)動(dòng)技術(shù)有效解決了兩者相互的劣勢(shì)。

防火墻是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中最直接的網(wǎng)絡(luò)防護(hù)措施，企業(yè)網(wǎng)絡(luò)管理工作人員要高度重視防火墻的應(yīng)用，對(duì)防火墻的相關(guān)設(shè)置要不斷調(diào)試，以保證最佳的網(wǎng)絡(luò)配置。此外，要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，充分發(fā)揮防火墻關(guān)于數(shù)據(jù)包的排查功能，根據(jù)企業(yè)網(wǎng)絡(luò)的要求，要對(duì)防火墻設(shè)置正確的安全過(guò)濾配置，以保障企業(yè)網(wǎng)絡(luò)的安全。

5.2 代理服務(wù)器的應(yīng)用

代理服務(wù)器是防火墻技術(shù)的應(yīng)用之一，通過(guò)代理服務(wù)器為計(jì)算機(jī)提供網(wǎng)絡(luò)代理，使真實(shí)網(wǎng)絡(luò)地址不被發(fā)現(xiàn)，順利完成信息交互。計(jì)算機(jī)IP信息的泄露往往發(fā)生在內(nèi)網(wǎng)傳輸?shù)酵饩W(wǎng)的過(guò)程中，IP信息被網(wǎng)絡(luò)黑客解析并跟蹤，計(jì)算機(jī)的數(shù)據(jù)信息很容易被竊取。使用代理服務(wù)器，網(wǎng)絡(luò)黑客只能解析虛擬IP，不會(huì)獲取任何真實(shí)信息，從而保護(hù)內(nèi)網(wǎng)信息。代理服務(wù)器在控制內(nèi)外網(wǎng)信息的交互過(guò)程中起到中轉(zhuǎn)作用，同時(shí)在賬號(hào)管理、信息驗(yàn)證上具有明顯的優(yōu)勢(shì)。另外，公司或企業(yè)可以把內(nèi)部用戶對(duì)外網(wǎng)的SSL訪問(wèn)信息先轉(zhuǎn)到內(nèi)部的代理服務(wù)器，進(jìn)行分析確認(rèn)安全后再轉(zhuǎn)發(fā)外網(wǎng)，在內(nèi)部進(jìn)行對(duì)加密數(shù)據(jù)包的審計(jì)分析，避免黑客利用SSL加密把內(nèi)部的數(shù)據(jù)取走。

5.3 包過(guò)濾技術(shù)的應(yīng)用

包過(guò)濾技術(shù)是具有信息選擇特質(zhì)的防火墻，本地電腦在獲取傳輸信息后，比對(duì)相應(yīng)的安全注冊(cè)表，依據(jù)此判斷傳輸信息是否安全。包過(guò)濾技術(shù)首先要獲取傳輸信息的目的IP，并據(jù)此解析目的IP數(shù)據(jù)，將數(shù)據(jù)包與用戶安全注冊(cè)表進(jìn)行對(duì)比，識(shí)別數(shù)據(jù)是否含有威脅信息，確認(rèn)安全后，再將數(shù)據(jù)包傳輸?shù)接?jì)算機(jī)中。該技術(shù)將計(jì)算機(jī)分為內(nèi)、外網(wǎng)兩類路徑，首先在內(nèi)到外的信息傳輸中，限制危險(xiǎn)信息傳出。在由外到內(nèi)的傳輸過(guò)程內(nèi)，限制傳輸主機(jī)信息的安全性非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)或計(jì)算機(jī)。在應(yīng)用上，包過(guò)濾技術(shù)可以應(yīng)用在計(jì)算機(jī)主機(jī)與路由器上，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)中局域網(wǎng)進(jìn)行選擇，提供對(duì)應(yīng)安全服務(wù)。

6 結(jié)語(yǔ)

綜上所述，網(wǎng)絡(luò)攻擊技術(shù)在不斷提高，網(wǎng)絡(luò)安全防范任重而道遠(yuǎn)。有關(guān)部門要高度重視網(wǎng)絡(luò)安全問(wèn)題的影響，充分利用當(dāng)下的新技術(shù)和新策略來(lái)預(yù)防和解決網(wǎng)絡(luò)安全問(wèn)題，使得網(wǎng)絡(luò)健康、安全的發(fā)展。此外，各個(gè)互聯(lián)網(wǎng)企業(yè)要針對(duì)不斷出現(xiàn)的網(wǎng)絡(luò)安全新問(wèn)題進(jìn)行及時(shí)的研究，積極開發(fā)新的網(wǎng)絡(luò)安全技術(shù)和新策略來(lái)進(jìn)行應(yīng)對(duì)，從而進(jìn)一步保障網(wǎng)絡(luò)安全的發(fā)展，進(jìn)而有效促進(jìn)社會(huì)各領(lǐng)域的健康、快速的發(fā)展。