初稿计算机网络安全及防火墙技术

初稿计算机网络安全及防火墙技术

计算机网络安全及防火墙技术

摘 要

Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。由于全球信息化建设的高速发展，网络中接入信息基础设施的数量不断增加，信息系统软件建设水平日益提高和完善，计算机网络信息的安全问题变得日益突出。我国的互联网以及与之相关的整个信息产业还处于刚起步的阶段，但对隐私的侵权已成为突出的而受到社会各界的关注，网民的利益还不能通过现行法规和司法程序得到很好的保护，文章从隐私权涵义入手，阐述我国法律对隐私权保护的现状及网络空间中个人隐私权遭受侵害的，对我国网络隐私权的法律保护进行了思考。并且分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。就信息安全内涵发生的根本变化，阐述我国民族信息安全体系的重要性及建立有特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征和防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成及计算机系统安全的内容及其维护措施。

【关键词】：计算机网络；防火墙；网络安全防护；系统安全；维护管

理；网络攻击

初稿计算机网络安全及防火墙技术

目录

绪论........................................................

一计算机网络....................................................

1.1 计算机网络的含义..........................................

1.2 网络安全防范内容.......................................

1.1.1局域网（Local Area Network；LAN）...................

1.1.2城域网（Metropolitan Area Network；MAN）............

1.1.3广域网（Wide Area Network；WAN）....................

1.1.4 互联网（Internet）.................................

二防火墙........................................................

2.1 选择防火墙的重要标准......................................

2.1.1 防火墙的类型........................................

2.1.2 防火墙本身是安全的..................................

2.1.3 防火墙的安全性......................................

2.2 防火墙的基本功能..........................................

2.2.1 防火墙的三个特性....................................

2.2.2 防火墙保护的风险....................................

2.2.3 防火墙的主要优点....................................

2.2.4 防火墙的许多弱点.................................... 三网络安全防护................................................

3.1 网络安全论述..............................................

3.2计算机网络安全服务和安全机制..............................

3.2.1 安全服务...........................................

3.2.2 安全机制...........................................

3.3 网络安全方防范措施.......................................

四系统安全策略.....................................................

4.1混合性威胁..............................................

4.2存在的矛盾................................................. 五网络维护.....................................................

5.1操作系统的选择...........................................

5.2硬盘的分区...............................................

5.3软件安装和系统维护的原则.................................

5.4用户管理...........................................

5.5打印机安装与管理.......................................

5.6安全模式......................................

六网络管理.............................................

6.1网络管理分类.........................................

6.2网络管理功能............................................. 七网络攻击的防范.................................................

7.1权限设置,口令控制.........................................

7.2简易安装,集中管理........................................

7.3实时杀毒,报警隔离........................................

八结束语.......................................................

初稿计算机网络安全及防火墙技术

九参考文献.....................................................

绪论

计算机网络系统安全主要包括三个方面的内容:安全性、保密性、

完整性。从系统安全的内容出发,计算机网络系统中安全机制基本的任

务是访问控制:即授权、确定访问权限、实施访问权限、计算机网络审

计跟踪。 计算机网络系统的安全性。它主要是指内部与外部安全。内

部安全是在系统的软件、硬件及周围的设施中实现的。外部安全主要是

人事安全,是对某人参与计算机网络系统工作和这位工作人员接触到的

敏感信息是否值得信赖的一种审查过程。计算机网络系统的保密性。加

密是对传输过程中的数据进行保护的重要方法,又是对存储在各种媒体

上的数据加以保护的一种有效的手段。系统安全是我们的最终目标,而

加密是实现这一目标的有效的手段。计算机网络系统的完整性。完整性

技术是保护计算机网络系统内软件(程序)与数据不被非法删改的一技

术手段,它可分为数据完整性和软件完整性。

此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必

须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病

毒等问题。只要我们掌握并把一种先进的杀毒软件安装在网络系统中特

定计算机的中央控制台，共同构筑成协调一致的病毒防护体系。网络管

理员只需通过控制台，就可管理整个网络的所有杀毒程序，掌管全网各

节点的病毒防护状况，对各节点统一实施病毒特征代码库和杀毒软件的

联网升级和更新。那么我们的系统那就能保证肯定是健康的。信息网络

安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化

信息技术和机技术的诸多学科的长期积累和最新成果，提出系统的、完

整的和协同的解决信息网络安全的方案，应从安全体系结构、安全协议、

密码、信息和监控以及信息安全系统五个方面开展研究，各部分相互协

同形成有机整体。使得网络上的用户都有了一个安全的身份，这就是PKI

技术。

由于通过进行的电子商务、电子政务、电子事务等活动缺少物理接

触，因此使得用电子方式验证信任关系变得至关重要。计算机犯罪已经

成为一种新的高智能犯罪，它具有高度的隐蔽性，给社会带来了巨大的

危害，也给侦破带来了一定的麻烦。同时，由于计算机网络的广泛互联

和无地域性特征，使得罪犯可以轻松地实施异地甚至是跨国的犯罪和资

金转移。

再随着信息技术的发展，企业会面临越来越多的计算机及网络信息

系统的维护和管理的问题。如系统硬件故障、病毒防范及系统升级，特

别是对非IT行业的单位，如果不能及时有效地处理好，将会给企业正

常工作带来影响。如何确保电脑网络系统的正常运行，并及时赶上新技

术的发展，往往是个很头疼的问题。而聘请专业人员，一方面费用高；

另一方面，由于专业的不同，个人知识面有限，不能有效解决所有问题。

初稿计算机网络安全及防火墙技术

一、计算机网络

1.1 计算机网络的含义

计算机网络，是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。

1.2 网络安全防范内容

一个安全的计算机网络应用该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒，二是黑客犯罪。

计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人的资金安全、商务的货物安全，还关系到国家的经济安全、国家经济程序的稳定问题，因此各级组织和部门必须给予高度重视。

1.1.1局域网（Local Area Network；LAN）

通常我们常见的“LAN”就是指局域网，这是我们最常见、应用最广的一种网络。现在局域网随着整个计算机网络技术的发展和提高得到充分的应用和普及，几乎每个单位都有自己的局域网，有的甚至家庭中都有自己的小型局域网。很明显，所谓局域网，那就是在局部地区范围内的网络，它所覆盖的地区范围较小。局域网在计算机数量配置上没有太多的限制，少的可以只有两台，多的可达几百台。一般来说在企业局域网中，工作站的数量在几十到两百台次左右。在网络所涉及的地理距离上一般来说可以是几米至10公里以内。局域网一般位于一个建筑物或一个单位内，不存在寻径问题，不包括网络层的应用。

这种网络的特点就是：连接范围窄、用户数少、配置容易、连接速率高。目前局域网最快的速率要算现今的10G以太网了。IEEE的802标准委员会定义了多种主要的LAN网：以太网（Ethernet）、令牌环网（Token Ring）、光纤分布式接口网络（FDDI）、异步传输模式网（ATM）以及最新的无线局域网（WLAN）。

1.1.2城域网（Metropolitan Area Network；MAN）

这种网络一般来说是在一个城市，但不在同一地理小区范围内的计算机互联。这种网络的连接距离可以在10￣100公里，它采用的是IEEE802.6标准。MAN与LAN相比扩展的距离更长，连接的计算机数量更多，在地理范围上可以说是LAN网络的延伸。在一个大型城市或都市地区，一个MAN网络通常连接着多个LAN网。如连接政府机构的LAN、医院的LAN、电信的LAN、公司企业的LAN等等。由于光纤连接的引入，使MAN中高速的LAN互连成为可能。

初稿计算机网络安全及防火墙技术

城域网多采用ATM技术做骨干网。ATM是一个用于数据、语音、视频以及多媒体应用程序的高速网络传输方法。ATM包括一个接口和一个协议，该协议能够在一个常规的传输信道上，在比特率不变及变化的通信量之间进行切换。ATM也包括硬件、软件以及与ATM协议标准一致的介质。ATM提供一个可伸缩的主干基础设施，以便能够适应不同规模、速度以及寻址技术的网络。ATM的最大缺点就是成本太高，所以一般在政府城域网中应用，如邮政、银行、医院等。

1.1.3广域网（Wide Area Network；WAN）

这种网络也称为远程网，所覆盖的范围比城域网（MAN）更广，它一般是在不同城市之间的LAN或者MAN网络互联，地理范围可从几百公里到几千公里。 因为距离较远，信息衰减比较严重，所以这种网络一般是要租用专线，通过IMP（接口信息处理）协议和线路连接起来，构成网状结构，解决循径问题。这种城域网因为所连接的用户多，总出口带宽有限，所以用户的终端连接速率一般较低，通常为9.6Kbps￣45Mbps 如：邮电部的CHINANET，CHINAPAC，和CHINADDN网。

1.1.4 互联网（Internet）

互联网又因其英文单词“Internet”的谐音，又称为“英特网”。在互联网应用如此发展的今天，它已是我们每天都要打交道的一种网络，无论从地理范围，还是从网络规模来讲它都是最大的一种网络，就是我们常说的“Web”、“WWW”和“万维网”等多种叫法。从地理范围来说，它可以是全球计算机的互联，这种网络的最大的特点就是不定性，整个网络的计算机每时每刻随着人们网络的接入在不变的变化。当您连在互联网上的时候，您的计算机可以算是互联网的一部分，但一旦当您断开互联网的连接时，您的计算机就不属于互联网了。但它的优点也是非常明显的，就是信息量大，传播广，无论你身处何地，只要联上互联网你就可以对任何可以联网用户发出你的信函和广告。

二、防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

2.1 选择防火墙的重要标准

选择防火墙的主要标准有以下三个：防火墙类型、防火墙本身是安全的、防火墙的安全性

2.1.1防火墙的类型

防火墙产品主要有堡垒主机、包过滤路由器、层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

初稿计算机网络安全及防火墙技术

2.1.2 防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。通常,防火墙的安全性来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的是选择一个通过多家权威认证机构测试的产品。其二是使用是否恰当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

2.1.3 防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

2.2 防火墙的基本功能

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

2.2.1 防火墙的三个特性

A．所有的通信都经过防火墙

B．防火墙只放行经过授权的网络流量

C．防火墙能经受的住对其本身的攻击

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的。所以一般情况下防火墙都位于网络的边界，例如保护网络的防火墙，将部署在内部网络到外部网络的核心区域上。防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

2.2.2防火墙保护的风险

A．机密性的风险

B．数据完整性的风险

C．用性的风险

我们讨论的防火墙主要是部署在网络的边界（Network;Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部

初稿计算机网络安全及防火墙技术

网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

2.2.3 防火墙的主要优点

A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。

B．防火墙可以用于限制对某些特殊服务的访问。

C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。

D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

2.2.4防火墙的许多弱点

A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击.

B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁.

C．不能修复脆弱的管理措施和存在问题的安全策略

三 网络安全防护

3.1 网络安全论述

网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

3.2计算机网络安全服务和安全机制

物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。 访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。

数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。

网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。

隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。

其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。

微机操作系统的安全控制。如用户开机键入的口令（某些微机主板有“ 万能口令” ），对文件的读写存取的控制（如Unix系统的文件属性控制机制）。主

初稿计算机网络安全及防火墙技术

要用于保护存贮在硬盘上的信息和数据。

网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。

网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。

3.2.1 安全服务

对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务。

3.2.2 安全机制

加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公证机制。

3.3 网络安全方防范措施

计算机网络安全的防范可以从技术和管理上两个方面来考虑解决。

1、从技术上解决信息网络安全问题

（1）数据备份

所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等，这样即使连接在网络上的计算机被攻击破坏，因为已经有备份，所以不用担心，再将需要的文件和数据拷回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。望通过它更好地采集和保护客户数据。销售人员离职时偶有发生的对客户数据的破坏或者删除，是很多中小企业老板相当头疼的问题。我们来看看这4种软件是如何解决这个问题的。

Salesforce回收站功能，可以通过权限设置赋予用户查看他人删除数据或者清除回收站权限。XToolsCRM回收站功能，老板用户可以真正删除数据或者清空回收站。数据日志功能，记录数据的编辑和修改历史，只有老板可以查看。C 3 C R M和S S C R M没有发现类似功能。：不管是回收站还是数据日志，都是给企业老板的定心丸。充分考虑老板对数据安全的担忧，是供应商应该重视的问题。 价格对比Salesforce每用户每月6 5美金（折合人民币：520元），5用户的团队版1年699美金（折合人民币：5 6 0 0元）。XToolsCRM按照优惠包销售，4用户1 9 8元每月，用户多时，平均价格更低。C 3 C R M由于开源软件规则的限制，不能直接收取租用费，以虚拟主机的形式向客户提供服务；如果需要C3CRM解决技术问题，每月1 0 0元服务费。S S C R M目前还没有公布租用价格，以免费形式向客户提供服务。：Salesforce的高昂价格让国内用户望而却步。不难理解，在人工费用高昂的美国，该价格标准有其明显的竞争特性；但是在国内，对于中小企业特别是小企业而言，Salesforce的价格实在是高高在上，让人难以企及。XToolsCRM的价格平均到每用户每月30-50元，在国内大中城市客户群中，与传统项目型C R M动辄上万的价格相比，有一定的竞争力。C3CRM严格意义上没有权力向用户提供收费软件，而是提供空间和技术支持，价格低廉，

初稿计算机网络安全及防火墙技术

但是这种低收益的方式是否可以持久，让人信心不足。S S C R M在租用市场上，明显的不够成熟，价格无法落实毕竟不能让用户安心

应用。

通过以上对国内可以见到的4种租用型C R M的分析比较，用户可以根据自己的企业特点和业务形式来选择适合于自身发展的CRM产品。从04年国内首次出现租用C R M至今1年有余，越来越多的厂商涉足租用市场，激烈的竞争必然导致优胜劣汰，作为消费者，这是最大的福音。我们希望国内也能出现如美国Salesforce一样的租用服务一流品牌，不仅做好中国市场，更能服务世界客户！数据备份方法有全盘备份、增量备份、差分备份。

（2）物理隔离网闸

物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

（3）防火墙技术

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信，在很大程度上保护了网络的安全性。

（4）加密技术

网络安全中,加密作为一把系统安全的钥匙,是实现网络安全的重要手段之一,正确的使用加密技术可以确保信息的安全。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。与数据加密技术紧密相关的另一项技术是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字，该密码与网络服务器上注册密码一致，当口令与身份特征共同使用时，智能卡的保密性是相当有效的。

2、从管理上解决信息网络安全问题

在强调技术解决信息网络安全的同时,还必须花大力气加强对使用网络的人员的管理,注意管理方式和实现方法,因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全所必须考虑的基本问题。所以,要采取切实可行的方法,加强管理,立章建制,增强内部人员的安全防范意

初稿计算机网络安全及防火墙技术

识。

四 系统安全

4.1 混合性威胁

用多种和技术来传播和实施的攻击或威胁，正如上面所提到的，必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫。众所周知，Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。但是在大型中实际实施却没有这么简单，修补不同操作系统的大量客户端，如Win98/Me/2000/XP/2003等，将是一件让人痛苦的工作，不仅部署时间长，还要花费大量的人力和时间。LANDesk专注于提供桌面管理市场的产品与服务，公司原属于Intel公司的软件部，全面支持混合平台环境。包括Windows平台,MAC平台,Linux平台,Unix平台，Solaris平台。可以在有域或无域环境中部署，尤其是操作系统补丁的检测收集与自动修补，通过LANDesk的目标多址广播（可大量减轻网络主干压力）、对等下载（即使用流行的BT下载原理）、动态带宽调整等技术优势，迅速的修补网络中的系统漏洞，不需要人工参与，不需要管理员去核对操作系统版本与状态，在无人职守或者非法中断的情况下会在下次自动完成部署任务，断点续传。真正的安全：整体集成安全解决方案;+;同时更新;=;真正的安全

通过在内部网络中的每台工作站上部署防病毒，防火墙，入侵检测，补丁管理与系统监控，我们可以集中收集内部网络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。但这仅仅是不够的，还有另外一个重要的部分，就是从网络结构上的接入层，汇聚层和核心交换层设备上做好访问控制与流量管理。 其次是网络结构的安全性，管理人员都知道，通过部署多层交换机，实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个网络的更多安全信息，包括流量的管理，QoS，入侵行为和用户访问信息。仅通过网络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点，采集和汇总数据包的完整信息，提供给管理人员分析是正确的方法。当然了，这也要求管理人员的技术水平达到一定的高度，并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的网络设备联动，减少误报，共同响应与阻断威胁，将是未来的趋势和重点。 网络的核心区域包括核心交换机，核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Web服务器，数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险最集中的区域。我们遇到的矛盾是，既要不影响DMZ区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。

4.2 存在的矛盾

如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。

与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外

初稿计算机网络安全及防火墙技术

部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。如今的防火墙的功能越来越强大，这里我们选择业界一流的防火墙CheckPoint的Stateful;Inspection(状态检测技术);和Web;Intelligence;(Web智能技术)

五 网络维护

5.1操作系统的选择

目前常用的操作系统主要包括Windows 98,Windows2000 Pro,Windows 2000 server ,Windows XP,Windows 2003五种操作系统.需要安装什么样的操作系统,不仅要根据自己的工作需要,也要根据计算机的实际配置情况来定.

如果是PII的CPU,那么您只能选择安装Windows 98;如果只是进行简单的文字处理,网上信息的浏览和收集,那安装Windows Pro或者Windows XP比较适合.如果要使用Windows操作系统中提供的一些服务,如IIS,FTP,Media Server,DHCP,路由等,那推荐安装Windows 2000 server或者Windows 2003比较合适.

还有就是要尽可能地选择正版软件,比如如果安装的Windows XP是盗版的话,那么将无法到微软的网站上进行升级.

5.2硬盘的分区

如果硬盘分区不合理,那么在很大程度上会影响计算机性能的正常发挥,例如:系统区太小会提示硬盘空间不足的警报信息.如果所有文档都保存在系统盘,那么重新安装系统时,原有的文档很容易丢失.

为了充分的利用计算机资源,要对硬盘进行合理的分区和功能划分,硬盘至少建立三个逻辑驱动器,也就是常用的C盘,D盘,E盘,其中C盘容量为10G大小,只用来存放操作系统,一般的应用软件,如office系列,翻译软件,阅读器等建议存放在D盘,,E盘用来存放自己的文档资料和网上下载的资料.这样就可以方便安全的管理自己的资料,做到有备无患.

如果您使用的Windows 2000/XP/2003,建议采用NTFS文件系统格式,它能更充分有效地利用磁盘空间,支持文件级压缩,具备更好的文件安全性.要从

FAT16/FAT32转换到NTFS,只需要在提示符下键入:C:>convert 需要转换的盘符 /fs:ntfs.例如系统E盘原来为FAT16/32,现在需要转换为NTFS,需使用如下命令:

C:>convert e: /fs:ntfs.

5.3软件安装和系统维护的原则

对于普通用户而言,只要在注意以下原则,那么就可以使自己的系统处于快速,稳定,安全的状态

注意自己的防火墙,防病毒软件处于正常工作状态.及时更新防病毒,防火墙数据库(每周至少1-2次);

及时打上系统的关键补丁(每周至少1-2次);

保证计算机的物理安全,这包括任何不授权的人无法随意操作您的计算机;

初稿计算机网络安全及防火墙技术

安装应用软件亦遵从"最小安装原则",不用的软件不安装;

定期全系统病毒扫描(建议每周1次).在系统"安全模式"下,做全系统病毒扫描效果最好;

当发现不想授权的人知道您的口令时,立即修改口令;

尽量只在加密网页中使用自己的帐户口令;

谨慎网络下载和安装软件,因为很多网络上的软件可能感染了病毒或预种了木马,每一次的下载和安装都可能对您的系统带来威胁;

定期做系统和个人文件常规备份工作;

切忌不要打开不明底细的电子邮件附件.任何时候都应采取保守谨慎的方式接收和打开电子邮件附件;

在互联网上不要暴露过多的个人信息.

5.4用户管理

对于用户管理,在此以Windows2000为例.Windows 2000对于通过网络访问的用户,首先要验证用户的身份,一般是用户名称和密码,只有验证通过后才可以访问共享资源.Windows 2000中共享的目录可以给每一个用户设置不同的访问权限.另外,不同的用户在本机登录,他们对每一个文件,目录所拥有的权限也不相同.

1)添加用户

Windows 2000的"控制面板"中双击"用户和密码",然后单击"添加",即可打开"添加新用户"对话框.输入用户名和密码,之后进入权限配置对话框.Windows 2000提供了3个权限设置选项,管理员可以将新建的用户设为"标准用户"(可以在本机上安装程序,但不能修改其他用户的数据),也可以将其设为"受限用户",还可以选择"其他",然后利用权限下拉列表为新建的用户分配一种权限.

2)用户管理

如果要对用户的权限做进一步修改和定制,在"控制面板"中双击"用户和密码",选择"高级"选项卡,单击"高级用户管理"项目栏中的"高级"按钮,打开"本地用户和组"管理工具.在窗口左侧选中用户,然后在右侧的用户目录中双击要修改的用户名,打开属性设置对话框,允许用户对密码的使用做进一步设置,并可以为用户赋予相应的组.

3)指定用户目录使用权限

用鼠标右键单击想指定使用限制的文件夹,并在弹出菜单中选择"属性",然后选择"安全"选项卡.在默认情况下,选项卡的"名称"列表下只有一个"Everyone"的系统组,选中这个系统组,将其从"名称"列表中删除.接着单击"添加"打开用户,组,计算机添加对话框,在对话框的列表中列出了可以分配的用户和组,利用这个列表可以增加使用该目录的用户或组.在"安全"选项卡的"名称"列表中选中其中的一个用户,然后在下方的权限列表中利用列出的操作类型,可为该用户分配具体的操作权限.

5.5打印机安装与管理

首先仔细阅读打印机使用手册,查看驱动程序安装说明,安装随机附带的打印机驱动程序.(注意:安装驱动程序和连接打印机的次序根据打印机的不同而有差异)

进入"控制面板",打开"打印机"文件夹,双击"添加打印机"图标,选择"网络打印机"选项,然后继续.这时向导询问如何查找打印机.如果您知道局域网中已共享的打印机名称,可以直接在文字框中输入;若是不知道,点击"下一步",在列出来

初稿计算机网络安全及防火墙技术

的共享打印机中选择,并单击"完成",网络打印机安装就完成了.注意要将该网络打印机设置成系统的默认打印机.

5.6安全模式

安全模式是Windows的一种启动方式.当以安全模式启动计算机时,只会加载运行操作系统所需的特定组件,是一种最小的系统运行环境.用安全模式激活计算机,可以方便用户排除问题,修复错误.

进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择"Safe Mode"或者"安全模式",即可以安全模式启动计算机.

当出现如下状况时,可以进入安全模式:

修复系统故障.如果Windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着启动计算机到安全模式,之后再重新启动计算机,看看系统是否能恢复正常;

恢复系统设置.如果用户在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,需要进入安全模式下解决.如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来;

彻底清除病毒.在Windows正常模式下有时候并不能干净彻底地清除病毒,我们可以把系统启动到安全模式并运行杀毒软件,这样杀起病毒来就更彻底,更干净.

六 网络管理

6.1网络管理分类

根据国际标准化组织定义网络管理有五大功能：故障管理、配置管理、性能管理、安全管理、计费管理。

6.2网络管理功能

根据网络管理分类网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面来叙述其网络管理功能

(1)故障管理(fault management)

故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:

(1)故障监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录。 (2)故障报警：接收故障监测模块传来的报警信息，根据报警策略驱动不同的报警程序，以报警窗口／振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。

(3)故障信息管理：依靠对事件记录的分析，定义网络故障并生成故障

初稿计算机网络安全及防火墙技术

卡片，记录排除故障的步骤和与故障相关的值班员日志，构造排错行动记录，将事件-故障-日志构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个方面。

(4)排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错；根据已有的徘错经验和管理员对故障状态的描述给出对徘错行动的提示。

(5)检索／分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的数据库记录，定期收集故障记录数据，在此基础上给出被管网络系统、被管线路设备的可靠性参数。

对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在 错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。

(2)计费管理(accounting management)

计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。

(1)计费数据采集：计费数据采集是整个计费系统的基础，但计费数据采集往往受到采集设备硬件与软件的制约，而且也与进行计费的网络资源有关。 (2)数据管理与数据维护：计费管理人工交互性很强，虽然有很多数据维护系统自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护，以及账单样式决定等。

(3)计费政策制定；由于计费政策经常灵活变化，因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。

(4)政策比较与决策支持：计费管理应该提供多套计费政策的数据比较，为政策制订提供决策依据。

(5)数据分析与费用计算：利用采集的网络资源使用数据，联网用户的详细信息以及计费政策计算网络用户资源的使用情况，并计算出应交纳的费用。

(6)数据查询：提供给每个网络用户关于自身使用网络资源情况的详细信息，网络用户根据这些信息可以计算、核对自己的收费情况。

(3)配置管理(configuration management)

配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络

初稿计算机网络安全及防火墙技术

服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。

(1)配置信息的自动获取：在一个大型网络中，需要管理的设备是比较多的，如果每个设备的配置信息都完全依靠管理人员的手工输入，工作量是相当大的，而且还存在出错的可能性。对于不熟悉网络结构的人员来说，这项工作甚至无法完成‘因此，一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下，也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中，根据获取手段大致可以分为三类：一类是网络管理协议标准的MIB中定义的配置信息(包括SNMP；和CMIP协议)；二类是不在网络管理协议标准中有定义，但是对设备运行比较重要的配置信息；三类就是用于管理的一些辅助信息。

(2)自动配置、自动备份及相关技术：配置信息自动获取功能相当于从网络设备中“读”信息，相应的，在网络管理应用中还有大量“写”信息的需求。同样根据设置手段对网络配置信息进行分类：一类是可以通过网络管理协议标准中定义的方法(如SNMP中的set服务)进行设置的配置信息；二类是可以通过自动登录到设备进行配置的信息；三类就是需要修改的管理性配置信息。

(3)配置一致性检查：在一个大型网络中，由于网络设备众多，而且由于管理的原因，这些设备很可能不是由同一个管理人员进行配置的。实际上‘即使是同一个管理员对设备进行的配置，也会由于各种原因导致配置一致性问题。因此，对整个网络的配置情况进行一致性检查是必需的。在网络的配置中，对网络正常运行影响最大的主要是路由器端口配置和路由信息配置，因此，要进行、致性检查的也主要是这两类信息。

(4)用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进行记录，并保存下来。管理人员可以随时查看特定用户在特定时问内进行的特定配置操作。

(4)性能管理(performance management)

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:

(1)性能监控：由用户定义被管对象及其属性。被管对象类型包括线路和路由器；被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量。对于每个被管对象，定时采集性能数据，自动生成性能报告。 (2)

初稿计算机网络安全及防火墙技术

阈值控制：可对每一个被管对象的每一条属性设置阈值，对于特定被管对象的特定属性，可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阂值检查和告警，提供相应的阈值管理和溢出告警机制。

(3)性能分桥：对历史数据进行分析，统计和整理，计算性能指标，对性能状况作出判断，为网络规划提供参考。

(4)可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以直观的图形反映性能分析的结果。

(5)实时性能监控：提供了一系列实时数据采集；分析和可视化工具，用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测，可任意设置数据采集间隔。

(6)网络对象性能查询：可通过列表或按关键字检索被管网络对象及其属性的性能记录。

(5)安全管理(security management)

安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题: 网络数据的私有性(保护网络数据不被侵 入者非法获取),

授权(authentication)(防止侵入者在网络上发送错误信息),

访问控制(控制访问控制(控制对网络资源的访问)。

相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:

网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证： (1)管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简单口令认证。

(2)管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。

(3)网络管理用户分组管理与访问控制，网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。

(4)系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。

网络对象的安全管理有以下功能：

(1)网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层(1P)和传输层(TCP)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。

初稿计算机网络安全及防火墙技术

(2)告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息(如路由器登录信息、SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

(3)主机系统的安全漏洞检测，实时的监测主机系统的重要服务(如WWW，DNS等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

七 网络攻击的防范

人们意识到仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。所以我们要对其做出措施.

7.1权限设置,口令控制

很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。

7.2简易安装,集中管理

在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。

7.3实时杀毒,报警隔离

当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,LAN服务器,服务器上的网关,Internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒,势必会在LAN上蔓延,而服务器具有了防毒功能,病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉,当在网络中任何一台工作站或服务器上发现病毒时,它都会立即报警通知网络管理员

八、结束语

计算机网络的安全与我们自己的利益息息相关,一个安全的计算机网

络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全

初稿计算机网络安全及防火墙技术

操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,网络管理人员要掌握最先进的技术,把握住计算机网络安全的大门。

参考文献

蒋建春 卿斯汉 中国信息导报，2005，5.

王群 计算机网络安全技术.清华大学出版社,2008,7.

胡铮等 网络与信息安全.清华大学出版社,2006,5.

关义章 戴宗坤 信息系统安全工程学四川大学信息.安全研究所，2002，12.

钱 蓉， 黑客行为与网络安全.电力机车技，2001，1.

本文来源：https://www.bwwdw.com/article/rk3e.html