孫文良　劉文奇　叢　郁　蘇　華

摘要：在信息社會(huì)中人們對(duì)網(wǎng)絡(luò)的依賴越來越強(qiáng)，網(wǎng)絡(luò)的安全性也越來越重要，選擇合理的安全管理和防火墻是保證網(wǎng)絡(luò)安全的重要措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全管理；防火墻

1引言

21世紀(jì)全世界的計(jì)算機(jī)大部分都將通過互聯(lián)網(wǎng)連到一起，在信息社會(huì)中，隨著國民經(jīng)濟(jì)的信息化程度的提高，有關(guān)的大量情報(bào)和商務(wù)信息都高度集中地存放在計(jì)算機(jī)中，隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大，信息的泄露問題也變得日益嚴(yán)重，因此，計(jì)算機(jī)網(wǎng)絡(luò)的安全性問題就越來越重要。

2網(wǎng)絡(luò)威脅

2.1網(wǎng)絡(luò)威脅的來源

(1)網(wǎng)絡(luò)操作系統(tǒng)的不安全性：目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。

(2)來自外部的安全威脅：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒等。

(3)網(wǎng)絡(luò)通信協(xié)議本身缺乏安全性(如：TCP／IP協(xié)議)：協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù)，缺乏對(duì)IP包中源IP地址真實(shí)性的認(rèn)證機(jī)制與保密措施。

(4)木馬及病毒感染。

(5)應(yīng)用服務(wù)的安全：許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮的不周全。

2.2網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)

目前新發(fā)現(xiàn)的安全漏洞每年都要增加一倍。管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)，而且現(xiàn)在攻擊工具越來越復(fù)雜，與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)，具有反偵察的動(dòng)態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術(shù)。攻擊自動(dòng)化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術(shù)可以繞過防火墻。在許多的網(wǎng)站上都有大量的穿過防火墻的技術(shù)和資料。由此可見管理人員應(yīng)對(duì)組成網(wǎng)絡(luò)的各種軟硬件設(shè)施進(jìn)行綜合管理，以達(dá)到充分利用這些資源的目的，并保證網(wǎng)絡(luò)向用戶提供可靠的通信服務(wù)。

3網(wǎng)絡(luò)安全技術(shù)

3.1網(wǎng)絡(luò)安全管理措施

安全管理是指按照本地的指導(dǎo)來控制對(duì)網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被侵害，并保證重要信息不被未授權(quán)的用戶訪問。網(wǎng)絡(luò)安全管理主要包括：安全設(shè)備的管理、安全策略管理、安全風(fēng)險(xiǎn)控制、安全審計(jì)等幾個(gè)方面。安全設(shè)備管理：指對(duì)網(wǎng)絡(luò)中所有的安全產(chǎn)品。如防火墻、VPN、防病毒、入侵檢測(cè)(網(wǎng)絡(luò)、主機(jī))、漏洞掃描等產(chǎn)品實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控。

安全策略管理：指管理、保護(hù)及自動(dòng)分發(fā)全局性的安全策略，包括對(duì)安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的安全策略的管理。

安全分析控制：確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程，包括風(fēng)險(xiǎn)分析、選擇、實(shí)現(xiàn)與測(cè)試、安全評(píng)估及所有的安全檢查(含系統(tǒng)補(bǔ)丁程序檢查)。

安全審計(jì)：對(duì)網(wǎng)絡(luò)中的安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的日志信息收集匯總。實(shí)現(xiàn)對(duì)這些信息的查詢和統(tǒng)計(jì)；并通過對(duì)這些集中的信息的進(jìn)一步分析，可以得出更深層次的安全分析結(jié)果。

3.2網(wǎng)絡(luò)安全防護(hù)措施

3.2.1防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，主要方法有：堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、代理型和監(jiān)測(cè)型。

(1)包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，這種技術(shù)由路由器和Filter共同完成，路由器審查每個(gè)包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數(shù)據(jù)包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險(xiǎn)站點(diǎn)，防火墻便會(huì)將這些數(shù)據(jù)拒絕。包過濾的優(yōu)點(diǎn)是處理速度快易于維護(hù)。其缺點(diǎn)是包過濾技術(shù)完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法告知何人進(jìn)入系統(tǒng)，無法識(shí)別基于應(yīng)用層的惡意入侵，如木馬程序，另一不足是不能在用戶級(jí)別上進(jìn)行過濾。即不能鑒別不同的用戶和防止IP盜用。

(2)網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)。將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，而隱藏真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。

(3)代理型

代理型的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為二段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間的應(yīng)用層的“連接”由二個(gè)終止于代理服務(wù)器上的“連接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，由此實(shí)現(xiàn)了“防火墻”內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，代理服務(wù)器在此等效于一個(gè)網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能，外部的惡意侵害也就很難破壞內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)基于應(yīng)用層的入侵和病毒十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，系統(tǒng)管理復(fù)雜。

(4)監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)。在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中。不僅能夠監(jiān)測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品，但其缺點(diǎn)是實(shí)現(xiàn)成本較高，管理復(fù)雜。所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面已開始使用監(jiān)測(cè)型防火墻。

3.2.2物理隔離

所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。雖然能夠利用防火墻、代理服務(wù)器、入侵監(jiān)測(cè)等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵。但是這些技術(shù)手段都還存在許多不足，使得內(nèi)網(wǎng)信息的絕對(duì)安全無法實(shí)現(xiàn)?！拔锢砀綦x”一般采用網(wǎng)絡(luò)隔離卡的方法。它由三部分組成：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和一個(gè)隔離島。它將單一的PC物理隔離成兩個(gè)虛擬工作站，分別有自己獨(dú)立的硬盤分區(qū)和操作系統(tǒng)，并能通過各自的專用接口與網(wǎng)絡(luò)連接。它通過有效而全面地控制計(jì)算機(jī)的硬盤數(shù)據(jù)線，使得計(jì)算機(jī)一次只能訪問及使用其中的一個(gè)硬盤分區(qū)，從而最大限度地保證了安全(內(nèi)網(wǎng))與非安全(外網(wǎng))之間的物理隔離。隔離島在外網(wǎng)區(qū)域時(shí)可以讀／寫文件，而在內(nèi)網(wǎng)區(qū)域時(shí)只可以讀取文件，這樣就創(chuàng)建了一個(gè)只能從外網(wǎng)到內(nèi)網(wǎng)、操作簡便且非常安全的單向數(shù)據(jù)通道。

4結(jié)論

隨著網(wǎng)絡(luò)的發(fā)展會(huì)有更多新的計(jì)算機(jī)的攻擊方式和手段出現(xiàn)，也會(huì)有更多更新的防護(hù)技術(shù)手段出現(xiàn)，做好網(wǎng)絡(luò)安全防護(hù)工作是計(jì)算機(jī)管理和應(yīng)用的重要內(nèi)容，做好計(jì)算機(jī)的安全管理，配合高效的防火墻，能夠很好地保障網(wǎng)絡(luò)的安全，極大提高網(wǎng)絡(luò)的運(yùn)行效率。