探析网络安全与防范技术
2009-02-03陈伟东
陈伟东
摘要:近年来,随着计算机在社会生活各个领域的广泛运用,网络已成为一个无处不在、无所不用的工具。然而,网络安全问题也越来越突出,特别是计算机病毒以及计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,我们必须不断加强和提高网络安全防范意识。
关键词:网络安全病毒防火墙
1.影响网络安全的几个方面
1.1计算机病毒的内涵
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒虽是一个小小程序,但它和别的计算机程序不同。具有以下特点:
①计算机病毒的程序性:它是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上;②计算机病毒的传染性:是病毒的基本特征,计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。③计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进入系统之后可以长时间的隐藏在合法文件中。对其他系统进行传染;④计算机病毒的可触发性:病毒因某个事件会诱使病毒实施感染或进行攻击的特性;
1.2网络资源共享性因素
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
1.3网络开放性因素
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
2.网络安全防御方式
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。
2.1防火墙的主要功能
①防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击;
②防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息;
③防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问:
④防火墙可以控制网络内部人员对Internet上特殊站点的访问;
⑤防火墙提供了监视Internet安全和预警的方便端点。
2.2防火墙的主要优点
防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
2.3防火墙的主要缺陷
由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:
①防火墙对绕过它的攻击行为无能为力;
②防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,所以对于以上提到的计算机病毒只能安装反病毒软件。
2.4防火墙的分类
防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。
2.4.1包过滤防火墙
包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤路由器的最大优点是:对用户来说是透明的,即不需要用户名和密码来登陆。包过滤路由器的弊端是明显的,由于它通常没有用户的使用记录,我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点,就是不能在用户级别上进行过滤,即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址,则很容易地通过包过滤防火墙。
2.4.2代理防火墙
代理防火墙也叫应用层网关防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络,对于这样的企业,应用代理防火墙是更好的选择。
代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。
2.4.3复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用。从而实现了网络安全性、性能和透明度的优势互补。
总之,防火墙是网络安全的关口设备,安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。计算机网络不安全因素的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。
参考文献:
[1]郑成兴著.《网络入侵防范的理论与实践》机械工业出版社
[2][美]Merike Kaeo著.《网络安全性设计》人民邮电出版社