淺談計算機網絡安全技術與防范

代 沁 張 亮 董海兵 師建宇

（中國石油呼和浩特石化公司，內蒙古 呼和浩特 010070）

1 概述

當今世界中網絡已經成為人們必不可少的工具，它在人們日常生活和工作中極大的帶來各方面的便利條件，但是在網絡安全問題刻不容緩，涉及于從國家安全到個人財產、個人信息等。下面淺談以個人的理解和經歷來總結出的網絡安全性的重要性和一般涉及到的網絡安全技術和防范措施。

2 計算機網絡安全技術與防范

2.1 計算機網絡安全技術

2.1.1虛擬局域網（VLAN）

虛擬局域網（VLAN）能夠賦予網絡管理系統限制VLAN以外的網絡節點與網內的通信，可防止基于網絡的監聽入侵。例如可把企業內聯網的數據服務器、電子郵件服務器等單獨劃分為一個VLAN1，把企業的外聯網劃分為另一個VLAN2，通過控制VLAN1和VLAN2間的單向信息流向，即VLAN1可訪問VLAN2的信息，VLAN2不能訪問VIAN1的信息，這樣就保證了企業內部重要數據不被非法訪問和利用，而且某個VLAN出現的問題不會穿過VLAN傳播到整個網絡，因而大大提高了網絡系統的安全性。

2.1.2虛擬專用網（VPN）

虛擬專用網（VPN）專用于Intranet（企業內部網）與Internet（因特網）的安全互連，VPN不是一個獨立的物理網絡，VPN是利用公共網絡資源為用戶建立的邏輯上的虛擬的專用網，是在一定的通信協議基礎上，通過因特網在遠程客戶機與企業內部網之間，建立一條加密的多協議的“隧道”，VPN可以將信息加密后重新組包在公共網絡上傳輸，是一種集網絡加密、訪問控制、認證和網絡管理于一體，能夠實現廉價的、安全可靠的跨地域的數據通信。

2.1.3防火墻

防火墻是特定的計算機硬件和軟件的組合，它在兩個計算機網絡之間實施相應的訪問控制策略，使得內部網絡與Internet或其他外部網絡互相隔離、限制網絡互訪，禁止外部網絡的客戶直接進入內部網絡進行訪問，內部網絡用戶也必須經過授權才能訪問外部網絡。在內部網絡與外部Internet的接口處，必須安裝防火墻。

2.1.4安全審計技術

安全審計技術是對用戶使用網絡系統時所進行的所有活動過程進行記錄，可跟蹤記錄中的有關信息，對用戶進行安全控制。通過誘捕與反擊兩個手段，故意安排漏洞，誘使入侵者入侵，以獲得入侵證據和入侵特征，跟蹤入侵者來源，查清其真正身份，對其行為采取有效措施，切斷入侵者與網絡系統的連接。

2.1.5防病毒技術

在Internet接入處如防火墻、路由器、代理服務器上可安裝基于Internet網關的防病毒軟件。在內部網絡的各個服務器上也要安裝防病毒軟件，防止內部網絡用戶通過服務器擴散病毒。內部網絡的每臺計算機終端都要安裝可以定期更新的防病毒軟件，并且要定期掃描病毒，每個用戶都應該知道檢測出病毒時該如何處理。

2.1.6安全掃描技術

安全掃描技術分為基于服務器和基于網絡兩種，它能實時掃描和及時發現計算機網絡內的服務器、路由器、交換機、防火墻等系統設備的安全漏洞。

2.1.7 WAP協議技術

為提高計算機無線互聯網的安全性和保密性，可使用WAP協議來防止電磁波泄露、防止數據被竊聽、被假冒和被篡改等。

2.1.8數據加密技術

數據加密技術是利用數學原理，采用軟件方法或硬件方法重新組織數據信息，使得除了合法的接收者，任何人很難恢復原來的數據信息或讀懂變化后的數據信息。數據加密技術主要有私鑰加密和公鑰加密兩種。

2.1.9信息認證技術

信息認證技術包括數字簽名、身份識別和信息完整性校驗等。在電子商務活動中，信息認證是通過第三方權威機構對用戶合法性進行檢驗和確認，從而保證交易雙方或多方的利益不受損害。

2.2 網絡環境要求與網絡設備的安全配置

2.2.1交換機的安全配置要求

1)從設備廠商獲取到升級包后，在測試環境中對升級包進行測試后再進行補丁更新。

2)普通用戶的口令應與超級用戶的口令存在較大的區別。

3)超級管理員的密碼應采用不可逆加密算法進行加密處理，登陸設備后靜態口不是明文存放。

4)應對遠程登陸設備的IP地址進行限制，在設備上設定可登陸的IP地址。

5)啟用OSPF協議加密認證的方式。

6)更改SNMP通信協議中讀操作的默認口令。

我常常利用課前或早讀給學生們念上一篇或一段美文，共同賞析，望著那一雙專注的眼神我知道他們被文中的文字深深地打動著，聽完后，我們在一起交流心中的感動，那相似的情感流露就是一首首動人的小詩。

7)應制定可與網絡設備進行SNMP讀交互的IP地址。

8)啟用網絡設備的日志記錄功能，記錄用戶登錄設備行為和登錄后的操作行為。

9)開啟網絡設備的NTP服務，達到時間的同步。

10)應開啟網絡設備的SSH服務，通過SSH協議進行隊網絡設備進行遠程維護，提高通信的安全性。

11)應關閉網絡設備的Telnet服務，不要通過Telnet協議遠程管理網絡設備。

2.2.2路由器的安全配置要求

1)普通用戶的口令應與超級用戶的口令存在較大的區別。

2)超級管理員的密碼應采用不可逆加密算法進行加密處理，登錄設備后靜態口不是明文存放。

4)更改SNMP通信協議中讀操作的默認口令。

5)應制定可與網絡設備進行SNMP讀交互的IP地址。

6)啟用網絡設備的日志記錄功能，記錄用戶登錄設備行為和登錄后的操作行為。

7)開啟網絡設備的NTP服務，達到時間的同步。

8)應開啟網絡設備的SSH服務，通過SSH協議進行隊網絡設備進行遠程維護，提高通信的安全性。

9)應關閉網絡設備的Telnet服務，不要通過Telnet協議遠程管理網絡設備。

2.2.3防火墻的安全配置要求

1)防火墻的遠程管理協議應采用SSH協議或Https協議，保證通信的安全性。

2)管理員的角色中至少應包括系統管理員、審計管理員等用戶角色。

3)安排專人每天對防火墻的日志進行分析，對記錄的高危時間應重點分析，并追溯源頭。

結束語

從國家到民間各行各業中網絡已成為了信息時代的基礎。它的安全運行也成為了人們注重的事物之一。在這信息技術發達的年代我們應該學會計算機網絡的安全技術與防范措施，而對于某單位或某行業的網絡管理員顯的更為重要。

[1]周炎濤.計算機網絡實用教程（第2版）[M].電子工業出版社.2004.

[2]楊富國等.網絡設備安全與防火墻[M].北方交通大學出版社.2005.