计算机网络安全与防范研究

作者：黄叶飞吴岩蔡永新。

**：《商情》2023年第19期。

摘要】研究分析网络信息安全关键技术，提出网络信息系统的安全体系，提高信息安全保障能力，解决计算机网络系统的安全保密问题，从而对网络信息系统实施可靠的保护，显得尤为突出，本文主要针对计算机网络安全隐患，结合实际提出了防范的相关措施。

关键词】计算机网络，网络安全。

一、引言。互联网中的每个设备都应发挥着安全防护的作用，确保网络传输信息的保密性，并能抵御来自网络内部或外部的攻击；同时还可以有效的进行网络资源访问控制。全局安全网络的安全防御方法应从单点产品演进为层次化的网络安全防御。

在用户遭受网络攻击的时候，能有效识别这些网络威胁，并根据其严重级别做出相应反应，隔离遭到病毒感染的网络用户，对受损系统进行自动修复，并且针对这个安全事件的处理策略将被及时同步到整个安全网络平台中，根据系统安全策略进行网络资源的重新配置。本文主要**了计算机网络安全与防范的相关技术问题。

二、网络安全解决方案探析。

网络安全应采用立体的、全方位的动态纵深防御安全策略，实行分级、分层、实时防护，发现和评估自身漏洞并进行修补，对入侵行为进行检测并根据检测结果进行预警，以及在遭受攻击后能够进行应急响应与灾难恢复。这样即使某一层安全防护措施被攻克，也有足够时间在下一层安全措施被攻克前，检测出安全威胁及漏洞，并采取有效的防御与补救措施，确保整个系统的安全。

一）防火墙的配置。

防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性。按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：

包过滤防火墙和**防火墙。前者以cisco公司的pix防火墙为代表，后者以美国nai公司的gauntlet防火墙为代表。

通过这两种类型防火墙的技术对比，**防火墙在安全性方面有着明显的优越性。但是考虑到运行速度与经费问题，另外pix型防火墙同时还有比较强大的路由功能，综合评价来看，还是cisco的pix类型防火墙更适合学院的网络安全体系。因此，在校园网络系统的防火墙配置方案中选用包过滤防火墙一飞塔（fortinet）的fortigate 3600防火墙。

为了提高外网用户对仲恺农业技术学院对外重要服务器的快速访问，同时最大限度的保证对外服务器的安全，特用一台服务器作为反向透明**，同时配备一台备份服务器，以保证其能可靠连续工作。制定防火墙安全策略如下：所有从内到外和从外到内的数据包都必须经过防火墙；只有被安全策略允许的数据包才能通过防火墙；防火墙本身要有预防入侵的功能；默认禁止所有服务，除非是必须的服务才允许。

二）检测系统的部署。

入侵检测是继“防火墙”“信自加密”等传统安全保护方法之后的新一代安全保障技术。它是一种主动防御拄术，弥补了传统安全技术的不足。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。

入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。

在网络边界的链路之前放置独立的防火墙设备，对入站和出站进行访问控制，再进入校园内部网的核心交换机。入侵检测系统ids直接接入核心交换机extreme 6808，对全部网络的流量与内容进行入侵检测与判断。核心交换机分出多条主干内部链路，一条直接接入校园内部网的应用服务器群，包括邮件服务器，web服务器，防病毒**服务器等：

一条接入自修复身份认证系统，包括身份认证系统，自修复系统等。在核心交换机与服务器区之间放置一个入侵检测系统ids的检测探点，从而保证关键应用的安全性与可靠性。并且在邮件服务器网段中部署反垃圾邮件等设备。

同样，从核心交换机到其他各个楼的二层汇聚交换机，在二层汇聚中心部署一个入侵检测系统ids检测探点，用于检测区域内的入侵检测行为。

防火墙与入侵检测这两种技术具有较强的互补性。目前，入侵检测和防火墙之间的联动有两种方式可以实现，一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据**不再**于抓包，而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性。

以达到真正的实时阻断，这实际上是把两个产品合成一体。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进行通讯、警报和传输。目前开放端口的常见形式有，安全厂家提供ids的开放接口，供各个防火墙厂商使用，以实现互动。

这种方式比较灵活，不影响防火墙和入侵检测系统的性能。

三）网络数据备份与恢复。

数据备份是一种数据安全策略。是将原始数据完全一样地复制，严格来说应复制两份，一份保存在本地，一份保存在异地。在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。

建立一个完整的网络数据备份系统必须实现以下内容：（1）计算机网络数据备份的自动化，以减少系统管理员的工作量。（2）使数据备份工作制度化，科学化。

（3）对介质管理的有效化，防止读写操作的错误。（4）对数据形成分门别类的介质存储。使数据的保存更细致、科学。

（5）以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点。

三、结语。

当前，如何确保计算机网络的安全性是任何一个网络的设计者和管理者都极为关心的热点。由于internet协议的开放性，使得计算机网络的接入变得十分方便。正是在这样的背景下，能够威胁到计算机网络安全的因素就非常多。

因此，人们研究了各种网络安全技术，开发了各种网络安全产品，努力构建一种可靠的计算机网络安全系统。本文主要讨论的计算机网络的安全技术，针对各种不同的威胁与攻击研究了解决它们的相应安全策略，有利于计算机网络安全实施。

2] 姚渝春，李杰，王成红。网络型病毒与计算机网络安全[j]. 重庆大学学报 2012，26（9）.

计算机网络安全与防范研究

计算机网络安全与防范

计算机网络安全与防范

计算机网络安全与防范

其他用户还读了