高職院校校園網絡安全技術淺析

摘 要：21世紀全世界的計算機都通過Internet聯到一起，信息安全的內涵也就發生了根本的變化，它從一般性的防衛變成了一種非常普遍的防范。如何保證網絡的安全運行，已成為網絡用戶非常關心的問題。

關鍵詞：防火墻 身份驗證 訪問授權 加/解密技術

網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問；鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份；反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。下面從防火墻的角度來闡述網絡安全技術。

一、防火墻的功能

防火墻是位于兩個網絡之間執行控制策略的系統，它使內部網絡與Internet之間，或者與其他外部網絡之間相互隔離，從而保護內部網絡的安全。防火墻的主要功能有：

* 過濾掉不安全的服務和非法用戶；

* 控制對特殊站點的訪問；

* 監視Internet的安全和預警。

二、防火墻的選擇

選擇防火墻的標準有很多，但最重要的是以下幾條：

1.總擁有成本

防火墻產品作為網絡系統的安全屏障，其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。

2.防火墻本身是安全的

作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像馬奇諾防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統內部，網絡系統也就沒有任何安全性可言了。

3.管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

4.可擴充性

好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統，而隨著要求的提高，用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大了產品覆蓋面。

5.防火墻的安全性

防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的，所以用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

三、防火墻的安裝

選擇好了一個防火墻產品后，我們究竟應該在哪些地方部署防火墻呢?首先，應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵。其次，如果公司內部網絡規模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻。最后，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

四、防火墻的局限性

對于網絡來說，安裝了防火墻，并不就意味著萬無一失了。目前的防火墻還存在著許多不能防范的安全威脅。

（1）防火墻不能防范由于內部用戶不注意所造成的威脅，此外，它也不能防止內部網絡用戶將重要的數據復制到軟盤或光盤上，并將這些數據帶到外邊。

（2）防火墻很難防止受到病毒感染的軟件或文件在網絡上傳輸。

（3）防火墻很難防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上并發起攻擊時，就會發生數據驅動攻擊。

因此，要想徹底地保證網絡的安全，還需身份驗證、訪問授權、加/解密技術等措施的齊抓共管。

五、防火墻技術的發展方向

目前防火墻技術在安全性、效率和功能方面還存在一定矛盾。防火墻的技術結構，一般來說安全性高的效率低，或者效率高的安全性差。未來的防火墻應該既有高安全性又有高效率。重新設計技術框架，比如在包過濾中引入鑒別授權機制、復變包過濾、虛擬專用防火墻、多級防火墻等未來可能發展的方向。

參考文獻：

［１］劉鋼.計算機網絡基礎與實訓.高等教育出版社.

［２］王路群.計算機網絡基礎與應用.電子工業出版社.