【正文】 道防御系統(tǒng)，是這一類防范措施的總稱。應該說，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險區(qū)域 (即 Inter 或有一定風險的網(wǎng)絡 )與安全區(qū)域 (局域網(wǎng) )的連接，同時不會妨礙人們對風險區(qū)域的訪問。成而有 效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡安全控制得一種必要技術， 它是一個或一組系統(tǒng)組成，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣同一種機制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應用程序行為控制等獨特的自我保護機制使 它可以監(jiān)控進出網(wǎng)絡的通信信息，僅讓安全的、核準了的信息進入；它可以限制他人進入內(nèi)部網(wǎng)絡，過濾掉不安全服務和非法用戶；它可以封鎖特洛伊木馬，防止機密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點，禁止用戶對某些內(nèi)容不健康站點的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?，F(xiàn)在國外的優(yōu)秀防火墻如 Outpost不但能完成以上介紹的基本功能，還能對獨特的私人信息保護如防止密碼泄露、對內(nèi)容進行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容，允許按特定關鍵字以及特定網(wǎng)地進行過濾等、同時還能對 DNS 緩存進行保護、對 Web 頁面的交互元 素進行控制如過濾不需要的GIF， Flash 動畫等界面元素。隨著時代的發(fā)展和科技的進步防火墻功能日益完善和強大，但面對日益增多的網(wǎng)絡安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡安全必不可少的工具之一。 計算機網(wǎng)絡面臨的威脅 網(wǎng)絡安全脆弱的原因 (1)Inter 所用底層 TCP/IP 網(wǎng)絡協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應用的安全。 (2)Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。 (3)快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。 (4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡管理員利用職務之便從事網(wǎng)上違法行為。 網(wǎng)絡安全面臨的威脅 信息安全是一個非常關鍵而又復雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn) (包括網(wǎng)絡 )的安全，即計算機信息系統(tǒng)資源 (硬件、軟件和信息 )不受自然和人為有害因素的威脅和危害。 計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等 。計算機信息系統(tǒng)受到的威脅和攻擊除自然災害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)防火墻在網(wǎng)絡安全中的應用 故障等。 由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面： (1)自 然災害。計算機信息系統(tǒng)僅僅是一個智能的機器，易受自然災害及環(huán)境 (溫度、濕度、振動、沖擊、污染 )的影響。目前，我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射，導致網(wǎng)絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。 (2)黑客的威脅和攻擊。計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具 有計算機系統(tǒng)和網(wǎng)絡脆弱性的知識，能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題，并構成了自然或人為破壞的威脅。 (3)計算 機病毒。 90 年代，出現(xiàn)了曾引起世界性恐慌的“計算機病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。 (4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目 的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性能。 (5)信息戰(zhàn)的嚴重威脅。信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標 ，不是集中打擊敵方的人員或戰(zhàn)斗技術裝備，而是集中打擊敵方的計算機信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術從根本上改變了進行戰(zhàn)爭的方法，其攻擊的首要目標主要是連接國家政治、軍事、經(jīng)濟和整個社會的計算機網(wǎng)絡系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學武器之后的第四類戰(zhàn)略武器?？梢哉f，未來國與國之間的對抗首先將是信息技術的較量。網(wǎng)絡信息安全應該成為國家安全的前提。 (6)計算機犯罪。計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融 犯罪防火墻在網(wǎng)絡安全中的應用 等活動。 在一個開放的網(wǎng)絡環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。 2 防火墻的安全功能及安全網(wǎng)絡方案 防火墻具備的安全功能 防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管 理。從總體上看，防火墻應該具有以下基本功能： (1)報警功能，將任何有網(wǎng)絡連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡。 (2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡的程序進行規(guī)則設置。包括以后不準許連接網(wǎng)網(wǎng)等功能。 (3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機名。 (4) 流量查看功能，對計算機進出數(shù)據(jù)流量進行查看，直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。 (5)端口掃描功能，戶自可以掃描本機端口，端口范圍為 065535 端口，掃描完后將顯示已開放的端 口。 (6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時間數(shù)據(jù)包進去計算機的情況，分別記錄目標地址，對方地址，端口號等。安全日志負責記錄請求連接網(wǎng)絡的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。 (7)系統(tǒng)服務功能，可以方便的查看所以存在于計算機內(nèi)的服務程序?？梢躁P閉，啟動，暫停計算機內(nèi)的服務程序。 (8)連網(wǎng) /斷網(wǎng)功能，在不使用物理方法下使用戶計算機連接網(wǎng)絡或斷開網(wǎng)絡。 完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風險。從而用戶上網(wǎng)娛樂的質 量達到提高，同時也達到網(wǎng)絡安全保護的目的。 網(wǎng)絡安全的解決方案 入侵檢測系統(tǒng)部署 入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生 的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關事件，作為網(wǎng)絡管理員事后分析的依據(jù)；如果情況嚴重，系統(tǒng)可以發(fā)出實時報警，使得學校管理員能夠及時采取應對措施。 防火墻在網(wǎng)絡安全中的應用 漏洞掃描系統(tǒng) 采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。 網(wǎng)絡版殺毒產(chǎn)品部署 在該網(wǎng)絡防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應該在整個 網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。 安全服務配置 安全服務隔離區(qū) ( DMZ) 把服務器機群和系統(tǒng)管理機群單獨劃分出來 , 設置為安全服務隔離區(qū) , 它既是內(nèi)部網(wǎng)絡的一部分 , 又是一個獨立的局域網(wǎng) , 單獨劃分出來是為了更好的保護服務器上數(shù)據(jù)和系統(tǒng)管理的正常運行。建議通過NAT( 網(wǎng)絡地址轉換 )