方学孟

摘 要：计算机网络安全是促进网络事业健康发展的前提，在分析网络安全产生的原因及目前网络所面临威胁的基础上，以安全防御作为出发点，从技术及管理两大方面，提出了防护计算机网络安全的具体措施与有效方案。技术上介绍了防火墙（firwell）、访问控制结束（ACL）、网络地址转换（NAT）技术、虚拟专用网（VPN）技术、云安全等新型技术的原理，实施手段及应用领域等方面做了论述。

关键词：计算机网络安全、网络安全威胁、网络安全防范措施

随着计算机网络的普及和发展，网络的运用已经渗透到各个领域。信息社会，人们对网络的依赖程度也日益加深，但随着网络迅速发展，网络安全儼然已经成为一个潜在的巨大问题。在网络的大好前景下，网络信息安全为其笼罩了一片乌云，虽然我国计算机制造业有了很大进步，但是其核心部件的制造技术仍然是很薄弱的。因此网络安全管理就显·得尤为重要了。

网络安全管理包括对安全服务、机制和安全相关信息的管理以及管理自身的安全性两个方面，其过程通常由管理、操作和评估3个阶段组成[“。管理阶段是由用户驱动的安全服务的初始配置和日常更新；操作阶段是由事件驱动的安全服务状态的实时检测和响应；评估阶段则用于衡量安全目标是否达到，以及系统当前的改变会产生何种影响。

1 网络安全的防御措施

网络安全是一项复杂的工程，它涉及了技术、设备、管理使用及立法制度等各个方面的因素。想要很好地实现信息安全，就必须形成一套完备的网络信息安全体系，使得技术、设备、管理使用及立法制度等方面因素协同发展，缺一不可。

2访问控制列表结束（ACL）

某公司有两个部门：市场部、产品部。该公司在网络中构建了一台文件服务器、一台www服务器，要求市场部能够访问ftp服务器，不能够访问www服务器，产品部能够访问www服务器，不能访问ftp服务器，并要求两个部门之间能相互通信。请你规划并实施网络。

2.1案例分析

随着网络规模和网络中的流量不断扩大，网络管理员面临一个问题：如何在保证合法访问的同时，拒绝非法访问。这就需要对路由器转发的数据包作出区分，哪些是合法的流量，哪些是非法的流量，通过这种区分来对数据包进行过滤并达到有效控制的目的。这种包过滤技术是在路由器上实现防火墙的一种主要方式，而实现包过滤技术最核心内容就是使用访问控制列表。

标准ACL只针对数据包的源地址信息作为过滤的标准而不能基于协议或应用来进行过滤。即只能根据数据包是从那里来的来进行控制，而不能基于数据包的协议类型及应用来对其进行控制。只能粗略的限制某一类协议，如IP协议。

高级ACL 可以针对数据包的源地址、目的地址、协议类型及应用类型（端口号）等信息作为过滤的标准。即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来进行精确地控制。ACL可被应用在数据包进入路由器的接口方向，也可被应用在数据包从路由器外出的接口方向。并且一台路由器上可以设置多个ACL。但对于一台路由器的某个特定接口的特定方向上，针对某一个协议，如IP协议，只能同时应用一个ACL。

2.1.1实施方法

SW1的主要配置

（1）vlan配置：system-view

[H3C]sysname sw1

[sw1]vlan 10

[sw1-vlan10]port Ethernet 1/0/1 to Ethernet 1/0/5

[sw1-vlan10]vlan 20

[sw1-vlan20]port Ethernet 1/0/6 to Ethernet 1/0/10

（2）上联端口为trunk

[sw1-vlan20]quit

[sw1]interface Ethernet 1/0/24

[sw1-Ethernet1/0/24]port link-type trunk

[sw1-Ethernet1/0/24]port trunk permit vlan all

R1的主要配置

（1）配置单臂路由system-view

[H3C]sysname r1

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]ip address 192.168.10.254 24

[r1-Ethernet0/0.1]vlan-type dot1q vid 10

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]ip address 192.168.20.254 24

[r1-Ethernet0/0.2]vlan-type dot1q vid 20

（2）配置接口IP参数

[r1]interface Ethernet 0/1

[r1-Ethernet0/1]ip address 192.168.30.254 24

（3）高级访问控制列表配置

[r1]firewall enable

[r1]acl number 3000

[r1-acl-adv-3000]rule 0 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq www source 192.168.10.0 0.0.0.255

[r1-acl-adv-3000]rule 1 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq ftp source 192.168.20.0 0.0.0.255

（4）将ACL应用到具体的接口上

[r1-acl-adv-3000]quit

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]firewall packet-filter 3000 inbound

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]firewall packet-filter 3000 inbound

2.2 802.1X技术

公司内部有很多员工，每个员工都有一台电脑，通过该交换机相连，公司的网络维护人员为了提高公司内部的网络安全性，和公司员工连接网络的效率，需要通过验证进行通信，请你规划并实施网络。

2.2.1案例分析

802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议， 制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 （如LANS witch）就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

2.2.2实施方法

一、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname sw1

2、802.1x配置

（1）全局开启802.1x 功能

[sw1]dot1x

（2）开启端口802.1x功能

[sw1]dot1x interface Ethernet 1/0/3 to Ethernet 1/0/10

（3）配置802.1x账户

[sw1]local-user zhangsan

[sw1-luser-zhangsan]password cipher 123

[sw1-luser-zhangsan]service-type lan-access /*将本地账户“zhangsan”改为802.1x账户

2.3 VRRP技术+STP技术

公司近两年扩建了大量的网络结构，数据量也越来越大了，公司的网络维护人员为了提高公司内部的网络安全性和网络质量，和公司员工连接网络的效率，决定采用两台核心交换机做主备模式使用，如果主核心交换机宕机了，备用设备立即使用，请你规划并实施网络。

2.3.1案例分析

VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。 一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作為终端主机的默认第一跳路由器。是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关，这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机，从而实现了主机和外部网络的通信。

2.3.2 实施方法

一、主核心交换机（MASTER配置）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname master

2、创建VLAN及VRRP主配置

[master]interface Vlan-interface6

[master]ip address 192.168.6.1 255.255.255.0

[master]vrrp vrid 6 virtual-ip 192.168.6.254

[master]vrrp vrid 6 priority 120

[master]vrrp vrid 6 track 1 priority reduced 30

3、STP功能配置

[master]stp region-configuration

[master]region-name vrrp

[master]active region-configuration

二、备用核心交换机（Backup）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname backup

2、创建VLAN及VRRP配置

[backup]interface Vlan-interface6

[backup]ip address 192.168.6.2 255.255.255.0

[backup]ospf cost 5

[backup] vrrp vrid 6 virtual-ip 192.168.6.254

3、STP功能配置

[backup]stp region-configuration

[backup]region-name vrrp

[backup]active region-configuration

3 结论

随着经济的发展，人们对于计算机网络的使用越来越广泛，而且如今很多领域都离不开计算机网络的操作，因此有效地防止计算机网络安全出现问题对于现代社会来说是很有必要的。而且很多的国家机密和军事安全等也与计算机网络安全有着直接的联系，计算机电脑用户应该增强自己的安全意识，有关部门应该做好计算机网络信息安全的有效措施，保证国家的安全稳健发展。

漏洞是计算机网络安全的重大隐患，在如今的社会黑客的技术越来越高端，利用电脑的漏洞攻击用户防火墙，盗取重要的文件。当计算机的系统出现漏洞以后会给计算机网络信息带来很大的威胁。作为计算机网络的用户我们应该在电脑中安装补丁程序，排查漏洞，有效地解决计算机网络中存在的问题，如：360安全卫士、电脑管家和其他的一些补丁软件可以有效地阻止计算机网络信息受损，保护自己的隐私。

参考文献

[1]罗宝庆，张俊.浅谈计算机病毒的危害及防范[J].经济技术协作信息，2010（20）：103901042.

[2]赵粮，裘晓峰.云计算环境的安全威胁和保护[J].中国计算机通讯学会，2010，6（5）：47—50.

[3]张云勇，陈清金，潘松柏.云计算安全关键技术[J].电信科学，2010（8）：1l-15.