網絡工程中的安全防護技術

劉育博

摘要 隨著計算機科學技術的蓬勃發展，毫無疑問它讓我們的生活發生了巨大的變化，在我們享受著科技帶給我們便利的時候，同樣也要面臨一系列問題一一網絡安全，網絡數據不斷地被竊取，無關的垃圾信息泛濫在我們的系統之中，病毒的肆意侵入，威脅著網絡環境，損害他人的利益，甚至可以威脅到國家安全，所以，如今安全問題已經備受關注。安全防護技術的發展程度影響著國家的互聯網相關行業是否可以穩定正常地持續發展。

【關鍵詞】計算機 網絡 安全

網絡安全一整個網絡系統的軟硬件和其中的數據受到保護，不會遭到破壞，泄露，更改，整個系統可以正常穩定地運行。我們所知道的網絡安全防護技術包含密碼技術、入侵檢測技術以及防火墻等，成熟而有效的安全防護技術毫無疑問可以大大提高網絡安全，因此，網絡安全有很強的現實意義。

1 當前形勢下我們熟知的互聯網所面臨的問題

1.1 安全管理上的態度

每一個網絡系統的安全，都需要企業、部門、用戶的共同努力，制定有效的管理策略，需要多加強三者之間的溝通。然而如今，很多企業和個人目前對網絡安全是不夠重視的，經常會疏于對網絡的安全管理，從而導致嚴重的后果，大部分企業對黑客的入侵沒有采取有效合理的防護措施，并且大部分網站也都存在著網上信息失竊的問題，由此反映了我們在網絡安全管理上的缺失，甚至有的企業單位及個人，對計算機設備的諸如防塵、防潮、設備的規范放置等工作并沒有足夠的重視，這也對網絡安全構成了潛在威脅。

1.2 駭客的非法攻擊

如今黑客的攻擊已經是威脅計算機網絡安全的最主要因素之一，隨著網絡安全的防護技術不斷地提高，黑客的入侵手段也越來越復雜多變，疏于管理的企業單位如果被黑客入侵，是毫無抵抗能力的。他們對網絡環境的破壞行為只會更多而不會停止。黑客時常會使用已經現成的工具或者自己編寫的工具針對網絡環境中他們所得到的漏洞信息進行非法訪問和獲取信息，這會對計算機網絡的正常使用造成非常大的困擾。在網絡工程安全中，IP地址被非法獲取也是常事，一旦用戶的IP地址被他人獲取，就不能正常訪問網絡，也沒有辦法進行正常的網絡連接。IP地址的盜用通常發生在局域網之中，用戶的IP地址通常被本地高權限的其他用戶竊取，導致IP地址被盜用后，用戶終端會顯示IP地址己被占用。除此之外，還有很多擾亂他人正常上網活動的行為，侵犯了用戶的自身權益。數據顯示，僅公安部一年所查獲的盜取各類公民信息有將近50億條，可見黑客的入侵問題需要被重視，由于黑客入侵的目的性很強，如果成功竊取機密文件，會造成重大損失，是對網絡安全技術的重大挑戰，所以應該有更加嚴密的防護措施。

1.3 無用信息的傳播

網絡毫無疑問是一個巨大的資源庫，其中存在著豐富的網絡資源，為我們方便存取數據的同時，也不可避免地產生了大量無用的，不良的信息和垃圾郵件，使網絡安全受到威脅的一個重要原因就是人們收到了太多的垃圾郵件，無論是否自愿，都無法阻止垃圾郵件的被發送行為，垃圾郵件對郵件用戶的合法權益造成了一定的損害，因為占用并浪費了大量的資源，所以很明顯也加大了網絡的負荷，很大程度上影響了網絡環境的安全性和效率;不良信息潛移默化地對我們的心理和思想產生著負面的影響，可以說，網絡中的垃圾信息和數據，的確對網絡環境造成了非常嚴重的污染，甚至會對社會造成惡劣的影響，青少年也正在深受此害，停止無用信息的傳播對網絡環境，青少年的健康，社會的穩定都有著積極的作用。

1.4 計算機病毒與漏洞

計算機病毒是在計算機程序中插入的用于破壞計算機系統功能或者數據的代碼，它會自我復制并影響計算機的使用，自產生以來便成為了影響計算機安全的隱患，隨著網絡資源的傳播速度越來越快，計算機病毒產生的不良影響也會越來越嚴重，世界上己存在上萬種計算機病毒，其中主要有蠕蟲、強制中斷病毒、潛伏病毒以及木馬病毒等，經常對計算機的內存、系統、文件、數據等造成破壞，危害他人利益。

漏洞產生于軟件或者操作系統的設計中，由于很難找到十全十美的設計方案，也沒有絕對安全的系統，所以漏洞幾乎不可避免，這些管理員和設計者會察覺的或者己察覺而疏忽的漏洞為黑客的侵入提供了機會，很多著名的軟件公司每年都會花費大量人力物力在修補漏洞的工作上，可見補救漏洞帶來的損失是極其重要的，它保證了用戶的信息安全，也對用戶的體驗有積極影響。

1.5 網絡設備和結構的風險

現實中的網絡拓撲結構是混合型的，其中包含多個節點，每個節點有一些網絡設備，其中包含交換機、路由器和集線器，每一種拓撲結構都會有一些安全隱患，由于技術原因，網絡設備通常會有安全問題，這會給計算機網絡帶來不同程度的安全問題。

2 網絡工程的安全防護相關策略

2.1 物理安全

物理安全是最安全的防護技術，關鍵的資料與互聯網完全隔離，也就是說在物理層面上不連接網線，去除連接在電腦上的網線，這樣就可以做到物理安全了，只要做到這一點，病毒是無可奈何的。當然，有些情況下也會發生意外事故，比如自然災害、硬件故障等，也可能存在一些別有用心的人有目的地將重要信息泄露到外部網絡中去，在防護技術中，常常被忽視的物理安全防護其實對網絡安全是有巨大作用的。

2.2 配置防火墻的過濾

想要做好安全防護，配置防火墻是一個重要的手段，對防火墻過濾信息進行相應的的設置就可以對網絡安全防護進行加強。已知幾種比較典型的防火墻類型，包括靜態/動態包過濾防火墻、有狀態包過濾防火墻、基于應用監控與控制的有狀態包過濾、網絡入侵防御系統、網絡行為分析系統、應用層網關。以下進行一些簡單討論：

（1）包過濾防火墻，會檢查每一個通過的包，可以丟棄或者放行，這取決于防火墻建立的規則，包過濾防火墻擁有多個網絡適配器或者接口，一個作為防火墻的設備可以有兩塊顯卡，其中的一塊連接到內部網絡，另一塊網卡則會連接到公共網絡，當防火墻設備開始工作時，引導包的走向并攔截有危害的包。當包過濾防火墻檢查每一個從外部網絡到內部網絡的包時，則檢查這個包的基本信息，這個基本信息包括源地址、目的地址、端口號、協議等，如果這些基本信息和所設定的規則匹配，就可以放行這個包進入內部網絡。舉個簡單的例子，如果某防火墻啟用了阻斷TELNET的連接，當檢查傳入包發現端口號為23時，這個包就會被丟棄。

對于專用網絡的包，可以只允許內部網絡的數據包通過此防火墻，其作用很明顯，可以用于防止任何內部人員用錯誤的源地址欺騙防火墻并發起攻擊。而在公共網絡，可以只允許目的地址為80端口的數據包通過。

最好丟棄外部網絡傳入的包，這些包里顯然都會有內部網絡的源地址，減少IP欺騙，

丟棄具有源路由信息的包，可以減少源路由攻擊，由于源路由信息會覆蓋網絡的正常路由從而繞過安全過濾，所以防火墻可以通過忽略源路由信息來進行安全防護。

（2）狀態/動態檢測防火墻。如果一個包是孤立存在的，只含有一些基本信息（源地址、目的地址、端口號）而沒有這個包在整個傳送過程中的位置信息，這個包就是靜態的，狀態/動態檢測防火墻可以通過記錄相關信息來追蹤包的狀態。例如，如果傳入的包是音頻數據包，防火墻可以獲取由某個IP地址的應用向傳入包源地址發出的語音請求的信息，如果源地址的系統和發出的請求包中的所請求的系統一致，包就可以通過該防火墻，直到連接中斷。

總之，狀態/動態檢測防火墻跟蹤內部網絡傳出的請求數據包，只有被請求的數據包可以通過防火墻，而其他所有沒有被請求的傳入請求會被阻止進入內部網絡。追蹤連接的方式取決于通過防火墻包的類型，其中TCP包中的連接信息會被防火墻所記錄，并用于核對，以此來確定這個包是否可以被允許通過，UDP包中的信息比較簡單，因為它不包含連接信息，顯然防火墻無法利用連接信息對包的合法性進行判斷，但仍然可以通過跟蹤傳出包的狀態，并用從其獲中取的包中的協議、地址和傳出請求包中的信息進行比對，如果信息匹配，這個包也可以通過防火墻。

（3）應用程序代理防火墻。這種類型的防火墻是通過和內部網絡進行通信連接，接著單獨地和外部網絡進行通信連接。此方式不允許防火墻兩邊的網絡直接互相訪問通信，網絡內部的用戶無法和外部網絡的服務器進行通信，所以外部的服務器也不能訪問內部網絡。應用程序代理防火墻可以配置允許接受內部網絡和防火墻的任意連接，也可以對用戶的連接請求進行認證，這樣可以保證更多更好的安全性。

目前防火墻很難達到一個“既可以使用戶順利地上網，也可以保證用戶的網絡安全”的理想狀態，但是我們可以對重要數據多加留意，多一份保障就多一份安全，防火墻可以依靠某些特征識別外部網絡到內網的數據包，并進行分析，如果包對網絡環境有害，就會對這個包進行記錄并報警，然后丟棄它，又或者可以禁止對本地網絡有害的IP地址、禁止不被使用的端口通信、防止某些特定站點的訪問，總之，以上防火墻的功能基本可以防止外部網絡對本地網絡的攻擊。

2.3 針對病毒的防護

針對病毒的防護可以從4個方面進行討論：

2.3.1 計算機病毒檢測技術

幾種典型的方式有：

（1）比較法，將被檢測對象的特征和正常的特征進行比較，這種方法比較簡單，方便，但是沒有辦法識別出病毒的種類和方法。

（2）病毒校驗和法，計算出正常文件的代碼的校驗和并保存下來，可以用來和被檢測對象進行對比，以此來判斷是否感染了病毒，可以檢測出各種病毒，包括一些未知的病毒，但是誤判率比較高，沒有辦法了解病毒的種類。

（3）搜索法，將被檢測對象和己知病毒庫中的計算機病毒體所含特定字符串進行掃描，但并不容易找出合適的特征字符串，且掃描的文件的大小越大，掃描所花的時問也越多。如果病毒庫不更新，未知的病毒就不會被檢測出來。

2.3.2 計算機病毒的清除

可以用專業的軟件殺毒或者手工進行。

2.3.3 計算機病毒的免疫

究其原理，計算機病毒的免疫是通過病毒簽名來實現，有些病毒在感染程序的時候需要先判斷是否已經被感染過，也就是查看有沒有自己的病毒簽名，如果有則不進行感染，所以可以利用這個機制來免疫計算機病毒。

2.3.4 計算機病毒的預防

（1）新購買的計算機設備，先用專業的查毒軟件測試病毒后再使用。

（2）我們需要養成良好的備份習慣，經常備份一些重要的，己更新的文件。

（3）盡量不要在沒有防毒軟件的機器上使用移動硬盤。

（4）控制使用計算機系統的權限。

（5）盡量采用最好的殺毒軟件。

網絡中針對病毒的防護的實現方法包括對網絡環境中的文件不斷地掃描和監測，工作站上采用防病毒芯片并且對網絡上目錄和文件設置訪問權限等。防病毒務必要從網絡整體考慮，從管理人員的角度著手分析，對網絡環境中的網絡設備進行管理，比如在夜問對整個網絡中的客戶端進行掃描，檢查病毒。還可以利用在線告警，在網絡上每當有一臺機器出現問題，病毒入侵時，管理員都可以及時發現，并作出相應的對策。

2.4 嚴格檢測入侵

入侵檢測技術是通過隨時收集并分析網絡或者系統中的相關信息來判斷是否存在異常情況，從而達到檢測入侵的目的和預防攻擊的目的，它是對防火墻技術的補充，并且相對于防火墻來說是一種動態安全技術，可以提供對外部攻擊、內部攻擊和錯誤操作的實時監控。

入侵檢測由控制臺和探測器兩部分構成，探測器可以連接交換機的端口，對交換機中傳送的數據進行分析，只要把探測器部署在適當位置，控制臺就可以接受相關檢測信息，從而對計算機網絡的進行安全管理。檢查并且記錄網絡活動和數據、檢測黑客在試圖攻擊前的探測行為并發出警報、檢測入侵行為和異常行為以及提供給管理員攻擊信息都是入侵檢測系統的基本功能，他們在安全防護技術中具有重要作用。

2.5 數據加密

密碼技術是網絡安全中最有效的技術之一，一個加密網絡，不僅僅可以防止非法用戶的竊聽和侵入，也可以保護自身數據免遭惡意軟件攻擊。對數據的加密通?？梢詣澐譃殒溌芳用?、節點加密和端到端加密。

2.5.1 鏈路加密

對于兩個網絡節點之問的通信，鏈路加密保證了網絡中所傳輸數據的安全，所有消息在發送前被加密，在節點處被接受后再由該節點上的設備進行解密，接著再使用下一個鏈路的密鑰對消息進行加密，再在鏈路中傳輸消息數據。在到達目的地之前，也許會經過若干條鏈路。

2.5.2 節點加密

網絡中傳輸的數據可以因為使用了節點加密而更加安全，它和鏈路加密的操作方式類似，也是在節點處消息發送前加密，在消息被接受后再解密，不同的是，節點加密中，消息不允許以明文的形式在一個節點中存在，先把接收到的密文解密，然后再使用另一個密鑰對消息加密，節點加密還要求報頭和路由信息以明文方式傳送，這使其他節點可以了解該如何對某消息進行處理，

2.5.3 端到端加密

端到端加密可以讓數據在傳輸的過程中始終以密文方式存在，直到到達目的地，消息都不會被解密，即使節點損壞，數據也不被泄露。端到端加密的價格也比較便宜，并且相比節點加密和鏈路加密更加可靠，易于設計和維護。每一個報文都是被獨立加密，所以即使其中的某些報文出錯，也不會影響后續的報文發送。這樣的加密方式對于用戶更加直觀，不會影響到其他用戶。

3 結束語

從網絡誕生起，安全問題也伴隨至今，隨著網絡應用越來越多，它和人們的財富都有直接、間接的關聯，在某些系統中，一個小小的漏洞如果未被發現，將有可能造成百萬資產的損失，所以網絡安全防護技術的發展是有重要意義的，希望通過不斷地學習來加深對網絡安全的理解。有需求就有發展，相信在未來，網絡安全技術會越來越發達并永遠為人民服務。

參考文獻

[1]李志軍，計算機網絡信息安全及防護策略研究[J].黑龍江科技信息，2013 （01）.

[2]姬玉.計算機物理安全防護措施[J]黑龍江科技信息，2015 （26）.

[3] mancannavaro.各類防火墻介紹[EB/OL].http：//blog. csdn. net/mancannavaro/article/details/1415594，2016-11-26.

[4] huanghui22，[網絡安全二]病毒防護技術基礎_ http： //blog.csdn，net/huanghui22/article/details/1606922？1ocat ionNum=lO&fps=l，2007-05-1 3.

[5] Shaoquliu，入侵檢測系統概述.http：//blog. csdn. net/shaoqunliu/a r ticle/details/52432379， 2016-09-04.

[6] Tamic.[網絡互聯技術]（一）移動數據加密和網絡安全概述.http：//blog. csdn. net/sk719887916/article/details/46760541， 2015-07-05.

[7] LuoCliper.網絡數據加密理論_http：//blog. csdn. net /LGGisKing/article/details/51790819， 2016-06-30.