陳偉東

摘要：近年來，隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，網(wǎng)絡(luò)已成為一個(gè)無處不在、無所不用的工具。然而，網(wǎng)絡(luò)安全問題也越來越突出，特別是計(jì)算機(jī)病毒以及計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性、網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，我們必須不斷加強(qiáng)和提高網(wǎng)絡(luò)安全防范意識(shí)。

關(guān)鍵詞：網(wǎng)絡(luò)安全病毒防火墻

1.影響網(wǎng)絡(luò)安全的幾個(gè)方面

1.1計(jì)算機(jī)病毒的內(nèi)涵

計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

計(jì)算機(jī)病毒雖是一個(gè)小小程序，但它和別的計(jì)算機(jī)程序不同。具有以下特點(diǎn)：

①計(jì)算機(jī)病毒的程序性：它是一段可執(zhí)行程序，但它不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序上；②計(jì)算機(jī)病毒的傳染性：是病毒的基本特征，計(jì)算機(jī)病毒會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。③計(jì)算機(jī)病毒的潛伏性：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后可以長(zhǎng)時(shí)間的隱藏在合法文件中。對(duì)其他系統(tǒng)進(jìn)行傳染；④計(jì)算機(jī)病毒的可觸發(fā)性：病毒因某個(gè)事件會(huì)誘使病毒實(shí)施感染或進(jìn)行攻擊的特性；

1.2網(wǎng)絡(luò)資源共享性因素

資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

1.3網(wǎng)絡(luò)開放性因素

網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。

2.網(wǎng)絡(luò)安全防御方式

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。

2.1防火墻的主要功能

①防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊；

②防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息；

③防火墻可以禁止來自特殊站點(diǎn)的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對(duì)網(wǎng)絡(luò)的訪問：

④防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對(duì)Internet上特殊站點(diǎn)的訪問；

⑤防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

2.2防火墻的主要優(yōu)點(diǎn)

防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡(jiǎn)化了網(wǎng)絡(luò)管理。

2.3防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

①防火墻對(duì)繞過它的攻擊行為無能為力；

②防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，所以對(duì)于以上提到的計(jì)算機(jī)病毒只能安裝反病毒軟件。

2.4防火墻的分類

防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

2.4.1包過濾防火墻

包過濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來實(shí)現(xiàn)。包過濾路由器的最大優(yōu)點(diǎn)是：對(duì)用戶來說是透明的，即不需要用戶名和密碼來登陸。包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個(gè)致命的弱點(diǎn)，就是不能在用戶級(jí)別上進(jìn)行過濾，即不能識(shí)別用戶與防止IP地址的盜用。如果攻擊者將自己的主機(jī)設(shè)置為一個(gè)合法主機(jī)的IP地址，則很容易地通過包過濾防火墻。

2.4.2代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對(duì)于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)?。同時(shí)還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。

2.4.3復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用。從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢(shì)互補(bǔ)。

總之，防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，提高人們的防范意識(shí)，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

參考文獻(xiàn)：

[1]鄭成興著.《網(wǎng)絡(luò)入侵防范的理論與實(shí)踐》機(jī)械工業(yè)出版社

[2][美]Merike Kaeo著.《網(wǎng)絡(luò)安全性設(shè)計(jì)》人民郵電出版社