計算機網絡管理及安全技術探析

林強 張志強

如今計算機網絡已經成為了人們生活中不可或缺的一部分，如：在家網上購物、通過支付寶和微信快捷支付、電子金融以及專業大型網絡等。這些應用的發展都依賴計算機網絡，因此網絡運行的穩定性、可靠性就顯得至關重要，因此網絡管理應運而生。現代信息技術發展迅速，信息化水平不斷加快，網絡犯罪活動也日益增長，網絡安全隱患日益突出，網絡安全問題需要引起人們的高度重視。本文從當今社會人們日常應用的互聯網系統安全出發，分析了一些常見的系統安全維護措施。

互聯網的快速發展帶來了很大便利，同時也帶來了很多網絡安全方面的問題，如網絡數據竊密、木馬、黑客和病毒攻擊等網絡安全隱患。為確保計算機網絡信息的安全性，特別是計算機數據安全，人們采用了諸如代理服務器、防火墻技術以及入侵檢測技術等來保護計算機網絡信息的安全，但即使這樣，計算機網絡信息的管理還是面臨著巨大的挑戰性。計算機網絡管理中，影響網絡安全的因素包括：①計算機網絡方面，做好對網絡服務器的管理工作，就不會給企業帶來損失，網絡管理環節至關重要;②軟件方面，軟件本身不可避免地存在一定漏洞，會給黑客留下攻擊的機會，需要管理員及時對網絡存在的漏洞進行修復，避免不必要的損失;③網絡安全維護人員意識差，有些網絡的安全管理人員意識不到高，這也容易導致網絡受到攻擊甚至癱瘓，影響了企業的正常辦公。

常用網絡安全技術

防火墻技術

防火墻可以有效控制網絡的訪問，在不同網絡之間建立起一個安全屏障，保護內部的局域網不受外界網絡環境的影響。防火墻的設置至關重要，可將內部網絡與外部網絡切斷、限制網絡之間的訪問，達到保護局域網的目的。

防火墻的主要目的是對網絡進行保護，以防止其他網絡的影響，符合安全策略的數據流才允許穿過防火墻。防火墻具有以下基本功能：控制對網點的訪問和封鎖網點信息的泄漏;限制被保護子網的暴露;具有審計作用;強制安全策略。

從防火墻的工作模式來說，可分為3種類型：包過濾防火墻、狀態檢測防火墻和應用代理防火墻。防火墻網絡結構大致分為4種：屏蔽路由器結構、屏蔽路由器+堡壘主機結構、屏蔽路由器+雙宿主堡壘主機結構、雙DMZ網絡。防火墻網絡結構如圖1所示。

數據加密技術

信息加密技術是指利用數學手段對信息進行保護，防止信息泄露。網絡傳輸過程中，信息可能會受到非法竊聽，存在風險，對網絡信息進行加密處理十分重要，傳統加密方法包括：①替換密碼，在替換密碼中，每個字母被另一個字母所取代，在密文中將明文偽裝起來。②置換密碼，它不更改明文中的字母，而是對字母進行重新排序，形成新的密文。

高級加密標準

高級加密標準（AES）是20世紀90年代采用的一種標準化區塊加密標準，被用來替代原有的DES加密標準。AES是一種對稱密鑰標準，采用Rijndael分組加密算法實現，分組長度必須是128位，支持128、192或者256位密鑰。

入侵檢測技術

網絡入侵檢測系統由探測器和控制臺兩部分組成。探測器主要功能是捕獲網絡數據包，對其進行分析，發現可疑事件時向控制臺發送報警信息，通過控制臺的圖形界面可進行數據查詢、查看報警及配置傳感器等操作。部署方法如下：

探測器在網絡中有3種部署方式：①將探測器直接連接到交換機的某個端口（監控端口上），然后通過交換機mirror功能，將所有流經交換機端口的數據包復制到監控端口，檢測探測器在監控端口進行分析處理流經交換機的數據包。②探測器通過一個TAP設備獲取、分析和處理交換機網絡中的數據包。分路器可以插入到半/全雙工的10/100/1 000 Mbit/s網絡鏈路中，將這條鏈路的全部數據信息復制給探測器。③在網絡中增加一臺集線器改變網絡拓撲結構，通過集線器獲取數據包。

常見部署方法有如下4種方式：①部署在內部。通過查看入侵檢測系統報警信息，管理員可以分析和判斷哪些攻擊對系統安全威脅最大。同時，根據攻擊報警信息，調整防火墻的安全策略，對已知的攻擊行為進行阻斷。②部署在外部。管理員可以了解來自外部網絡的攻擊行為，當入侵檢測系統與防火墻實施聯動時，防火墻可以動態阻斷發生攻擊的連接。③在防火墻內外都部署入侵檢測系統探測器。這種部署可以同時檢測到來自內、外網的攻擊，管理員能夠全面了解網絡面臨的威脅。④將入侵檢測系統探測器部署在其他位置。如安裝在內部網絡中的重要網段上，對該網段中的所有連接進行監控;或安裝在不同安全與域的2個子網之間，監控、分析2個子網之間的所有連接。構如圖2所示。

網絡安全掃描技術

網絡安全掃描技術分為主機安全掃描技術和網絡安全掃描技術。網絡安全掃描技術中的端口掃描技術和漏洞掃描技術使用最為廣泛;主機安全掃描技術利用一些腳本文件模擬來記錄系統的反應，進而發現其存在的漏洞。

網絡安全掃描技術可以通過互聯網檢測目標主機的安全性，遠程知道服務器的端口分配情況、存在的安全漏洞隱患以及各類的協議，及時評測出目標主機所在的網絡安全風險，數據的安全性得到了保障，并可以及時修復網絡安全漏洞，避免不必要的數據泄漏。

網絡安全策略

如果計算機網絡存在安全隱患，不法分子會利用不同的攻擊手段，竊取或修改目標主機中的信息，也可以通過網絡監聽手段獲取用戶的賬號和密碼，因此人們應該逐漸重視網絡安全問題。網絡安全策略主要包含物理安全策略和虛擬專用網技術策略，現代網絡安全策略注重安全的時代性，所以，安全策略的設計也應該與時俱進。

物理安全策略

物理安全策略是在物理介質層面上把網絡信息進行安全保護，使得主機系統、網絡后臺服務器等不受破壞，增加用戶訪問權限的驗證，可以有效保障主機系統良好工作，避免數據的泄露。

可通過設置主機本地安全策略中的安全選項來增加安全級別，設置密碼有效期、及時更改密碼來增加安全性。網絡安全管理員應及時關注主機網絡的運行環境，做到對所有安全策略指標有全面詳細地了解，做好安全策略定期數據備份，控制好用戶訪問權限，禁止非授權用戶訪問目標主機。

虛擬專用網技術策略

虛擬專用網（VPN）技術可利用現有的不安全的公共網絡建立安全方便的專業通信網絡，就是在公共數據網上建立屬于自己的專屬網絡。VPN在公用的網絡之間建立虛擬的專用通道，初始化隧道后，VPN數據的安全性通過加密技術得到保護，其主要是采用tunneling，encrypt ion&decryption，keymanagement等技術。由于VPN技術可擴展性強、建立方便、安全性高、成本低且易于管理，已經逐漸成為普遍的技術。VPN拓撲結構如圖3所示。

網絡安全技術發展趨勢

目前，網絡安全技術發展還不是很成熟，安全防護手段有其特定的防護范圍，有的防護技術在疊加過程中還會起到相反的作用，合理地建設網絡安全防護體系成為了關鍵。網絡安全技術未來的發展，無論在防火墻、數據加密，還是在入侵檢測、網絡安全掃描等技術方面，都會逐漸完善，計算機網絡安全技術會變得越來越成熟。

就目前我國網絡安全技術的發展來看，雖然已經形成了一定的安全體系，但是此體系還不能滿足網絡安全的需要，只有不斷做好網絡的安全管理工作，與時俱進、未雨綢繆，才能不讓病毒、木馬等有可乘之機。現在是信息化的時代，網絡的應用對生活的影響越來越大，人們很多事情都要通過網絡平臺來進行，網絡給生活帶來便利的同時，也給帶來很多風險，我們必須加強網絡安全管理，增強網絡安全意識，保護好自己的信息安全。