陳偉東

摘要：近年來，隨著計算機在社會生活各個領域的廣泛運用，網(wǎng)絡已成為一個無處不在、無所不用的工具。然而，網(wǎng)絡安全問題也越來越突出，特別是計算機病毒以及計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性、網(wǎng)絡資源的共享性等因素，致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，我們必須不斷加強和提高網(wǎng)絡安全防范意識。

關鍵詞：網(wǎng)絡安全病毒防火墻

1.影響網(wǎng)絡安全的幾個方面

1.1計算機病毒的內(nèi)涵

計算機病毒：指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。

計算機病毒雖是一個小小程序，但它和別的計算機程序不同。具有以下特點：

①計算機病毒的程序性：它是一段可執(zhí)行程序，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序上；②計算機病毒的傳染性：是病毒的基本特征，計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。③計算機病毒的潛伏性：一個編制精巧的計算機病毒程序，進入系統(tǒng)之后可以長時間的隱藏在合法文件中。對其他系統(tǒng)進行傳染；④計算機病毒的可觸發(fā)性：病毒因某個事件會誘使病毒實施感染或進行攻擊的特性；

1.2網(wǎng)絡資源共享性因素

資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯(lián)網(wǎng)需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。

1.3網(wǎng)絡開放性因素

網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。

2.網(wǎng)絡安全防御方式

防火墻作為一種邊界安全的手段，在網(wǎng)絡安全保護中起著重要作用。它使得內(nèi)部網(wǎng)絡與因特網(wǎng)之間或與其它外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪，用來保護內(nèi)部網(wǎng)絡。

2.1防火墻的主要功能

①防火墻可以對流經(jīng)它的網(wǎng)絡通信進行掃描，從而過濾掉一些攻擊；

②防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息；

③防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網(wǎng)絡的訪問：

④防火墻可以控制網(wǎng)絡內(nèi)部人員對Internet上特殊站點的訪問；

⑤防火墻提供了監(jiān)視Internet安全和預警的方便端點。

2.2防火墻的主要優(yōu)點

防火墻可作為網(wǎng)絡通信的阻塞點。所有進出網(wǎng)絡的信息都必須通過防火墻。防火墻承擔風險的范圍從整個內(nèi)部網(wǎng)絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網(wǎng)絡安全，并簡化了網(wǎng)絡管理。

2.3防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護網(wǎng)絡不受攻擊。防火墻的主要缺陷有：

①防火墻對繞過它的攻擊行為無能為力；

②防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，所以對于以上提到的計算機病毒只能安裝反病毒軟件。

2.4防火墻的分類

防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復合型防火墻。

2.4.1包過濾防火墻

包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾路由器的最大優(yōu)點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。

2.4.2代理防火墻

代理防火墻也叫應用層網(wǎng)關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡，對于這樣的企業(yè)，應用代理防火墻是更好的選擇。

代理服務是設置在Internet防火墻網(wǎng)關上的應用，是在網(wǎng)管員允許下或拒絕的特定的應用程序或者特定服務，一般情況下可應用于特定的互聯(lián)網(wǎng)服務，如超文本傳輸、遠程文件傳輸?shù)?。同時還可應用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。

2.4.3復合型防火墻

復合型防火墻是將數(shù)據(jù)包過濾和代理服務結合在一起使用。從而實現(xiàn)了網(wǎng)絡安全性、性能和透明度的優(yōu)勢互補。

總之，防火墻是網(wǎng)絡安全的關口設備，安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應安裝防火墻。計算機網(wǎng)絡不安全因素的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，提高人們的防范意識，才有可能從根本上保護網(wǎng)絡系統(tǒng)的安全運行。

參考文獻：

[1]鄭成興著.《網(wǎng)絡入侵防范的理論與實踐》機械工業(yè)出版社

[2][美]Merike Kaeo著.《網(wǎng)絡安全性設計》人民郵電出版社