計算機網絡建設中介布式系統的網絡安全研究

　　摘 要： 網絡安全是所有計算機有關工作的基礎，由此而及的網絡安全問題也成為從業者關注的焦點。網絡建設中的分布式系統主要包括非連接的局域網和與外部連接的局域網，本文就防火墻這一安全防范常用技術進行了分析。
　　關鍵詞： 計算機 網絡建設 介布式系統 網絡安全
　　隨著網絡信息化提供的便利不斷擴大，網絡開始占據大眾日常生活重要的一席。在越來越重視網絡建設的同時，大家對網絡建設的要求也越來越高，因此，不可避免地產生了一系列的問題。為了解決這些問題，我們不斷探索各種網絡安全建設的道路，例如：分布式系統的網絡安全研究。
　　傳統分時系統需要一臺主機連接若干個終端（邊界），每個終端都有一個用戶在使用。如果用戶需要進入系統，則需要交互式地向系統提出命令請求，系統接受每個用戶的命令，采用時間片輪轉方式處理服務請求，并通過交互方式在終端上向用戶顯示結果。用戶根據上步結果發出下道命令。分布式系統就好像一個分開的系統的物理部件（例如：硬盤、CPU等非安全邊界），把部件分開后，各部件之間連接不可信任的接口，任何惡意用戶都可以篡改其中的信息。
　　一、分布式系統的細分
　　1.非連接的局域網。
　　許多建立在非連接局域網上的系統通常只對組織的會員開放，所以說網絡的使用者是有限的。顯而易見的是，與連接的局域網相比之下，非連接的局域網潛在的威脅少，因此安全隱患也相對少了很多。常言道：家賊難防，其最大的隱患在于組織內部會員的訪問，他們往往最了解系統的工作流程，最清楚系統的弱點，因此，他們中的任何一個都有能成為非連接局域網的巨大威脅。
　　有些情況下，你以為你的局域網是安全的，以為網絡上只有你們幾個相互熟悉、可以信賴的用戶，可誰都不知道或許某個人在計算機上都安裝了調制解調器，這時非連接網絡的潛在威脅也就暴露了：在不知情的情況下，你以為網絡已經安全地與外部連接上了，其實早已不再安全。
　　2.與外部連接的局域網。
　　與外部連接的局域網通常由全連接的局域網和部分連接的局域網構成。全連接的局域網與外界有無縫接口，而部分連接的局域網則需要組織內部自己獨特的訪問技術和方法，與外界流行的局域網技術不同。例如：某人利用安裝了調制解調器的計算機訪問這個網絡，就相當于電話線訪問網絡，包含著訪問該網絡的一些權限限制，這就構成了一個部分連接的局域網。因此，世界上任何一個地方的威脅都可能成為它的致命隱患，畢竟網際沒有法律和警察去制約某些資源的訪問。與外部鏈接的局域網通俗來講是局域網和部分不受該組織控制的另外的網絡相連接。與外部鏈接的局域網和非連接的局域網的區別之一是：與外部鏈接的局域網面臨的潛在的威脅更多，包括組織內部也包括網絡外部的網際參與者。
　　二、分布式系統的網絡安全策略
　　1.使用防火墻：最常用的網絡安全技術。
　　防火墻的建設意味著在連接局域網和外部網絡的路由器上安裝了一個過濾網，可以通過的只有那些符合規定的“包裹”。控制端口間的訪問是防火墻的關鍵。就好像我們通過路由器的設置將來自外界想通過此端口的訪問包都過濾掉，以關閉外來的TELNET。網絡管理員建立一張有關允許與不允許訪問的端口號表得到了絕大多數供應商的支持。此項安全技術可以使網絡管理員不必訪問組織內部用戶計算機，而提高了系統的安全性。簡言之就是：通過防火墻的保護，組織內部用戶就可以自由地安裝他們想要的計算機配置。但值得注意的是，足夠的自由意味著網絡的不可訪問。對于一個組織，并不是沒有考慮到網絡連接的安全性，可安全這一因素顯然不是最重要的。為了更加便利地在與外界溝通的過程中實現信息交流，了解防火墻的配置，使其很好地達到這一目標便顯得尤為重要。你若要實現防火墻內外的機器可以互相分析和通訊，則需要一種協議的傳輸，這種協議必須有網絡的支持，尤其是和TCP的端口的域名系統協議。這樣一來，外部機器便可對相應姓名的內部機器進行DNS服務器訪問。其實想實現防火墻不難，最普遍的方法是拒絕絕大部分外部機器發出的連接要求。當然，除了個別特例，像是必須限制墻內的機器向外發起的連接外，說不定所期待連接上的機器也會帶來毀滅性的傷害。
　　2.防火墻的另外一個成本是機會成本。
　　電子郵件的用途廣泛、使用便捷，所以能作為唯一許可協議被要求苛刻的防火墻所接受。防火墻把其他所有的協議都拒之門外，使得公司員工每日只能訪問往日的網站，與那些等待被挖掘價值的新穎的網站相隔絕，不僅壓抑了工作氛圍，而且降低了網絡的價值。在這種情況下，網絡管理人員經過重新包裝，讓網關和防火墻再一次不完美結合。雖是不完美，其實對于正常情況下人們的使用已是足夠。利用網關與防火墻結合，可以設置一個特定的機器在信息輸送途中遭遇阻塞時作為一個收發電子郵件、遠程登錄、文件傳輸的點。這樣一來，哪怕在不安全局域網登錄，即使管理員不能為每一臺機器配置好合理的軟件，我們所處的網絡也是安全的。
　　三、虛擬私人網絡(Virtual Private Networks)
　　網絡的發達使得網上通訊成為公司及組織之間交流和探討的有效途徑。很多情況是為了和特定的人群進行通訊，有些組織只是關注了特定地區和網絡。虛擬私人網絡此時便可以很好地應用于他們身上。這就好像為通訊雙方設立了一條私人的、虛擬的電路，電路這端是組織本身，那一端則是防火墻允許的指定的路由器，不僅實現了一對多，并且保證了被封裝在IP包中數據在傳輸過程中的安全。
　　當然，有些問題仍是有疑慮的，要知道，這世上尤其是在網絡世界中是沒有絕對的安全。在為所要保護的信息付出精力和時間之前，我們需要了解其真正的價值和地位，就像為了運送一件古董，必須事先知道它的年代和價值才能為其投入相搭配的保險金額。所以，如今的社會網絡建設和安全工作，在本質上不可能存在真正意義上的萬無一失，只能在力所能及的范圍內不斷加強相關建設，最大限度地防范風險。
　　參考文獻：
　　［1］熊桂喜譯.計算機網絡(第3版)［M］.北京:清華大學出版社，2011.
　　［2］張琳，李璉華，高徐嬌，任曉娟編著.網絡組建、管理與安全.北京:人民郵電出版社，2010.12.
　　［3］朱理森，張守連.計算機網絡應用技術北京:專利文獻出版社，2010.
　　［4］黃怡強.計算機網絡開發需求分析階段的主要任務.中山大學學