王曉玲

（電子科技大學成都學院 四川 成都 610599）

1 引言

網(wǎng)絡使得人們的生活變得更加便捷，但是網(wǎng)絡技術的應用是一把雙刃劍，其也有不好的一方面，尤其是日益嚴重的網(wǎng)絡安全問題，現(xiàn)在已經(jīng)成為迫切需要解決的問題。作為對網(wǎng)絡新生技術接受能力較高的學生們，網(wǎng)絡安全的建立和普及，也有效促進了網(wǎng)絡安全工作的順利開展，但是當前網(wǎng)絡也面臨著越來越嚴重的網(wǎng)絡安全問題，使得網(wǎng)絡的相關數(shù)據(jù)時常被嚴重損害[1]。對此，要充分利用和發(fā)揮網(wǎng)絡安全技術，從而有效保證企業(yè)網(wǎng)絡的安全平穩(wěn)運行。本文對網(wǎng)絡安全技術進行了討論和研究，并提出了相應的有效策略，以期待能夠幫助網(wǎng)絡的安全平穩(wěn)運行。

2 網(wǎng)絡的特點和應用

計算機網(wǎng)絡技術的快速發(fā)展，極大推動了社會的發(fā)展和進步，也使得人們的生活變得更為豐富多彩和便捷。當前計算機網(wǎng)絡的特點主要有以下幾點：（1）網(wǎng)絡具有快捷性。計算機網(wǎng)絡技術的快速發(fā)展，使得各種新技術平臺得到了快速發(fā)展，人們通過新技術平臺能夠快速、隨時隨地來進行交流，信息也可以一對一地單獨發(fā)展，也可以進行一對多的群發(fā)，這樣就會使得人們的信息溝通更為快捷；（2）網(wǎng)絡技術的自由性。由于網(wǎng)絡平臺的特殊性，使得不同身份、不同地位的人們在網(wǎng)絡平臺上可以平等交流，充分表達自己的想法和意見，消除了人們之間的隔閡，極大推動了社會和諧平等的發(fā)展。（3）網(wǎng)絡的開放性。隨著共享經(jīng)濟的發(fā)展，網(wǎng)絡變得更為開發(fā)，人們的視野眼界也都得到了極大擴展和開放；（4）網(wǎng)絡的互動性。網(wǎng)絡互動和交流平臺為人們提供了更好的溝通方式，使得人們的互動不會受到時間和空間的影響，極大促進了人們彼此之間的溝通和互動；（5）網(wǎng)絡的創(chuàng)新性。網(wǎng)絡技術的不斷發(fā)展正是創(chuàng)新的集大成者，促進人們更好掌握新技術和利用新技術，更好地促進技術的創(chuàng)新和發(fā)展。

3 計算機網(wǎng)絡安全問題及原因

3.1 網(wǎng)絡安全問題

計算機網(wǎng)絡能夠極大地促進社會各領域的發(fā)展和進步，網(wǎng)絡安全問題也與日俱增，越來越嚴重地影響到社會各領域的發(fā)展，也嚴重影響到人們的日常生活，例如數(shù)據(jù)竊取、黑客行為等，也阻礙了社會和經(jīng)濟的發(fā)展[2]。當前計算機網(wǎng)絡安全問題可以歸納為以下幾類：（1）網(wǎng)絡非法入侵。其指的是利用計算機技巧來非法訪問網(wǎng)站的行為，網(wǎng)絡入侵能夠?qū)W(wǎng)絡數(shù)據(jù)進行非法改寫，取得非法權限，更為嚴重的將會導致計算機系統(tǒng)被破壞，從而使得計算機系統(tǒng)不能正常運行；（2）后門和木馬程序。后門和木馬是網(wǎng)絡黑客慣用的手段，通過為硬件設備留有的后門來進行硬件的入侵，通過木馬來遠程控制用戶的計算機。（3）計算機病毒。其指的是在計算機正常程序中加入特定的能夠自我復制的程序代碼，使得用戶的計算機軟件系統(tǒng)容易被攻擊，造成網(wǎng)絡系統(tǒng)的崩潰。除此之外，網(wǎng)絡安全問題還包括垃圾郵件、對加密算法的攻擊、數(shù)據(jù)竊取、數(shù)據(jù)竊聽等問題。

3.2 網(wǎng)絡安全問題產(chǎn)生原因

網(wǎng)絡安全問題的發(fā)生并非偶然。主要有以下幾種原因：（1）設計思想導致網(wǎng)絡缺陷。由于計算機網(wǎng)絡開發(fā)之初只注重系統(tǒng)的穩(wěn)定性和可用性，但是計算機網(wǎng)絡安全性卻沒有得到應有的重視，這就導致在計算機設計之初其安全設計欠缺，使得計算機網(wǎng)絡容易被監(jiān)聽、欺騙、篡改等網(wǎng)絡攻擊問題，來隨意攻擊網(wǎng)絡；（2）硬件問題。計算機硬件是否安全可靠，硬件參數(shù)等都直接關系著網(wǎng)絡安全問題的出現(xiàn)[3]。此外，軟件設計缺陷，軟件漏洞也能夠引起網(wǎng)絡安全問題；（3）病毒和木馬程序。其引起的網(wǎng)絡安全問題也較為突出；（4）缺少網(wǎng)絡維護。計算機網(wǎng)絡需要不斷更新軟硬件補丁，需要不斷進行日常維護、數(shù)據(jù)備份等工作，才能做好網(wǎng)絡的維護，才能有效避免網(wǎng)絡安全問題。

4 防火墻技術概述

防火墻分為硬件防火墻(Firewall)和軟件防火墻(WAF)。硬件防火墻是借助硬件設備隔離內(nèi)網(wǎng)和外網(wǎng)，硬件設備中配置一定的防御策略，用以阻隔外網(wǎng)中不安全的訪問或非法攻擊，進而達到保護內(nèi)網(wǎng)的作用，硬件防火墻允許合法信息訪問內(nèi)部網(wǎng)絡，阻止非法信息訪問內(nèi)部網(wǎng)絡；軟件防火墻則主要以綠盟科技、長亭科技等互聯(lián)網(wǎng)企業(yè)研發(fā)的WAF為代表，軟件防火墻主要通過添加各類防御規(guī)則保護軟件安全，如通過or、and、select等規(guī)則與非法注入特征匹配，一旦匹配到非法特征值，則判斷該訪問為非法訪問或Seq注入等。

防火墻有諸多功能：（1）有效的保護屏障。無論是硬件防火墻或軟件防火墻，其均可以有效保護企業(yè)內(nèi)網(wǎng)的網(wǎng)絡安全，將非法訪問和惡意攻擊屏蔽在內(nèi)網(wǎng)以外，從而有效避免內(nèi)網(wǎng)被非法入侵。此外，防護墻會將拒絕入侵的報文以日志的形式展示給防護墻管理員，使網(wǎng)絡管理人員及時知曉非法入侵；（2）防火墻有助于強化網(wǎng)絡安全策略。防火墻并非只是簡單的防御設備，管理人員會在防火墻上配置多種安全防御策略；（3）防火墻可以有效防止內(nèi)部信息的泄露。防火墻可以有效保護內(nèi)部網(wǎng)絡的隱私信息，對高級的黑客而言，即使是很小的細節(jié)也可能成為引起網(wǎng)絡安全的導火索，而防火墻可以實現(xiàn)內(nèi)部網(wǎng)段合理隔離，從而限制局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡所造成的影響。

目前市場上主要有3種防火墻類型：（1）數(shù)據(jù)包過濾型防火墻。其主要方式是在防火墻中配置過濾規(guī)則。防火墻會對訪問內(nèi)網(wǎng)的數(shù)據(jù)包進行過濾，過濾主要是規(guī)則匹配的過程，若訪問數(shù)據(jù)包與過濾規(guī)則匹配成功，則將其判定為非法訪問包，否則允許該訪問通過；（2）應用代理型防火墻。應用代理型防火墻有效地隔絕著內(nèi)部網(wǎng)絡與外部網(wǎng)絡。防火墻作為代理設備，代理服務則運行在防火墻上，一般是一種專門的應用程序，代理集成了數(shù)據(jù)包過濾和分發(fā)的功能，其將過濾后的數(shù)據(jù)包轉(zhuǎn)發(fā)到實際的服務上，而不會經(jīng)過內(nèi)網(wǎng)和外網(wǎng)；（3）混合型防火墻?；旌闲头阑饓σ卜Q為堡壘機，是將防火墻的代理功能和過濾功能集合在一起，借此提高防火墻的靈活性并增加其防御性。當然，任何防火墻都不可能完全地抵御所有的攻擊，這就需要相關的技術型人才深入探究防御技術，使其可以滿足多種非法的攻擊。

5 防火墻技術在網(wǎng)絡安全防范中的應用

5.1 防火墻和IDS結合聯(lián)動技術

防火墻在最初投入使用時極大地提高了網(wǎng)絡安全，但隨著攻擊技術的提升，防火墻技術逐漸暴露出不足之處。例如，防火墻是靜態(tài)防御，因此其無法對實時攻擊和異常行為做判斷和反應；再如，網(wǎng)絡內(nèi)部的襲擊完全無法被防火墻識別，入侵檢測系統(tǒng)雖然可以及時有效地監(jiān)聽網(wǎng)絡數(shù)據(jù)，并判斷攻擊企圖，入侵檢測系統(tǒng)針對系統(tǒng)整體，包括有系統(tǒng)內(nèi)部網(wǎng)絡和外部網(wǎng)絡，因此其一定程度可以彌補防火墻技術的不足。當然，入侵檢測系統(tǒng)也存在諸多不足，如其雖然可以實時檢測攻擊并報警，但無法真正有效阻止攻擊。防火墻技術的側(cè)重點是控制，入侵檢測系統(tǒng)的側(cè)重點是對入侵信號的檢測，因此兩者的結合可以極大程度體現(xiàn)兩種方式的優(yōu)勢。

將兩者結合起來運行，防火墻可以通過入侵檢測系統(tǒng)及時準確地發(fā)現(xiàn)僅依靠防火墻無法識別的攻擊行為，而入侵檢測系統(tǒng)則可以通過防火墻及時阻斷外部網(wǎng)絡的攻擊行為，兩者結合聯(lián)動技術有效解決了兩者相互的劣勢。

防火墻是計算機網(wǎng)絡系統(tǒng)中最直接的網(wǎng)絡防護措施，企業(yè)網(wǎng)絡管理工作人員要高度重視防火墻的應用，對防火墻的相關設置要不斷調(diào)試，以保證最佳的網(wǎng)絡配置。此外，要對網(wǎng)絡數(shù)據(jù)進行實時監(jiān)控，充分發(fā)揮防火墻關于數(shù)據(jù)包的排查功能，根據(jù)企業(yè)網(wǎng)絡的要求，要對防火墻設置正確的安全過濾配置，以保障企業(yè)網(wǎng)絡的安全。

5.2 代理服務器的應用

代理服務器是防火墻技術的應用之一，通過代理服務器為計算機提供網(wǎng)絡代理，使真實網(wǎng)絡地址不被發(fā)現(xiàn)，順利完成信息交互。計算機IP信息的泄露往往發(fā)生在內(nèi)網(wǎng)傳輸?shù)酵饩W(wǎng)的過程中，IP信息被網(wǎng)絡黑客解析并跟蹤，計算機的數(shù)據(jù)信息很容易被竊取。使用代理服務器，網(wǎng)絡黑客只能解析虛擬IP，不會獲取任何真實信息，從而保護內(nèi)網(wǎng)信息。代理服務器在控制內(nèi)外網(wǎng)信息的交互過程中起到中轉(zhuǎn)作用，同時在賬號管理、信息驗證上具有明顯的優(yōu)勢。另外，公司或企業(yè)可以把內(nèi)部用戶對外網(wǎng)的SSL訪問信息先轉(zhuǎn)到內(nèi)部的代理服務器，進行分析確認安全后再轉(zhuǎn)發(fā)外網(wǎng)，在內(nèi)部進行對加密數(shù)據(jù)包的審計分析，避免黑客利用SSL加密把內(nèi)部的數(shù)據(jù)取走。

5.3 包過濾技術的應用

包過濾技術是具有信息選擇特質(zhì)的防火墻，本地電腦在獲取傳輸信息后，比對相應的安全注冊表，依據(jù)此判斷傳輸信息是否安全。包過濾技術首先要獲取傳輸信息的目的IP，并據(jù)此解析目的IP數(shù)據(jù)，將數(shù)據(jù)包與用戶安全注冊表進行對比，識別數(shù)據(jù)是否含有威脅信息，確認安全后，再將數(shù)據(jù)包傳輸?shù)接嬎銠C中。該技術將計算機分為內(nèi)、外網(wǎng)兩類路徑，首先在內(nèi)到外的信息傳輸中，限制危險信息傳出。在由外到內(nèi)的傳輸過程內(nèi)，限制傳輸主機信息的安全性非法訪問內(nèi)部網(wǎng)絡或計算機。在應用上，包過濾技術可以應用在計算機主機與路由器上，根據(jù)計算機網(wǎng)絡中局域網(wǎng)進行選擇，提供對應安全服務。

6 結語

綜上所述，網(wǎng)絡攻擊技術在不斷提高，網(wǎng)絡安全防范任重而道遠。有關部門要高度重視網(wǎng)絡安全問題的影響，充分利用當下的新技術和新策略來預防和解決網(wǎng)絡安全問題，使得網(wǎng)絡健康、安全的發(fā)展。此外，各個互聯(lián)網(wǎng)企業(yè)要針對不斷出現(xiàn)的網(wǎng)絡安全新問題進行及時的研究，積極開發(fā)新的網(wǎng)絡安全技術和新策略來進行應對，從而進一步保障網(wǎng)絡安全的發(fā)展，進而有效促進社會各領域的健康、快速的發(fā)展。