高職院校校園網(wǎng)絡(luò)安全技術(shù)淺析

摘 要：21世紀(jì)全世界的計(jì)算機(jī)都通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化，它從一般性的防衛(wèi)變成了一種非常普遍的防范。如何保證網(wǎng)絡(luò)的安全運(yùn)行，已成為網(wǎng)絡(luò)用戶非常關(guān)心的問題。

關(guān)鍵詞：防火墻 身份驗(yàn)證 訪問授權(quán) 加/解密技術(shù)

網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問；鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份；反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來實(shí)現(xiàn)。下面從防火墻的角度來闡述網(wǎng)絡(luò)安全技術(shù)。

一、防火墻的功能

防火墻是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它使內(nèi)部網(wǎng)絡(luò)與Internet之間，或者與其他外部網(wǎng)絡(luò)之間相互隔離，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。防火墻的主要功能有：

* 過濾掉不安全的服務(wù)和非法用戶；

* 控制對特殊站點(diǎn)的訪問；

* 監(jiān)視Internet的安全和預(yù)警。

二、防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：

1.總擁有成本

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。

2.防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬奇諾防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

3.管理與培訓(xùn)

管理和培訓(xùn)是評價(jià)一個(gè)防火墻好壞的重要方面。在計(jì)算防火墻的成本時(shí)，不能只簡單地計(jì)算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

4.可擴(kuò)充性

好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提高，用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大了產(chǎn)品覆蓋面。

5.防火墻的安全性

防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實(shí)際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險(xiǎn)的，所以用戶在選擇防火墻產(chǎn)品時(shí)，應(yīng)該盡量選擇占市場份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

三、防火墻的安裝

選擇好了一個(gè)防火墻產(chǎn)品后，我們究竟應(yīng)該在哪些地方部署防火墻呢?首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵。其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻。最后，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

四、防火墻的局限性

對于網(wǎng)絡(luò)來說，安裝了防火墻，并不就意味著萬無一失了。目前的防火墻還存在著許多不能防范的安全威脅。

（1）防火墻不能防范由于內(nèi)部用戶不注意所造成的威脅，此外，它也不能防止內(nèi)部網(wǎng)絡(luò)用戶將重要的數(shù)據(jù)復(fù)制到軟盤或光盤上，并將這些數(shù)據(jù)帶到外邊。

（2）防火墻很難防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸。

（3）防火墻很難防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

因此，要想徹底地保證網(wǎng)絡(luò)的安全，還需身份驗(yàn)證、訪問授權(quán)、加/解密技術(shù)等措施的齊抓共管。

五、防火墻技術(shù)的發(fā)展方向

目前防火墻技術(shù)在安全性、效率和功能方面還存在一定矛盾。防火墻的技術(shù)結(jié)構(gòu)，一般來說安全性高的效率低，或者效率高的安全性差。未來的防火墻應(yīng)該既有高安全性又有高效率。重新設(shè)計(jì)技術(shù)框架，比如在包過濾中引入鑒別授權(quán)機(jī)制、復(fù)變包過濾、虛擬專用防火墻、多級防火墻等未來可能發(fā)展的方向。

參考文獻(xiàn)：

［１］劉鋼.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)與實(shí)訓(xùn).高等教育出版社.

［２］王路群.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)與應(yīng)用.電子工業(yè)出版社.