【正文】 安全威脅的無(wú)處不在，為了解決這個(gè)問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與 外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說(shuō)，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域 (即 Inter 或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò) )與安全區(qū)域 (局域網(wǎng) )的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。成而有 效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)， 它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過(guò)。特定應(yīng)用程序行為控制等獨(dú)特的自我保護(hù)機(jī)制使 它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進(jìn)入；它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止機(jī)密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點(diǎn)，禁止用戶對(duì)某些內(nèi)容不健康站點(diǎn)的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便。現(xiàn)在國(guó)外的優(yōu)秀防火墻如 Outpost不但能完成以上介紹的基本功能，還能對(duì)獨(dú)特的私人信息保護(hù)如防止密碼泄露、對(duì)內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁(yè)內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過(guò)濾等、同時(shí)還能對(duì) DNS 緩存進(jìn)行保護(hù)、對(duì) Web 頁(yè)面的交互元 素進(jìn)行控制如過(guò)濾不需要的GIF， Flash 動(dòng)畫等界面元素。隨著時(shí)代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強(qiáng)大，但面對(duì)日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅 網(wǎng)絡(luò)安全脆弱的原因 (1)Inter 所用底層 TCP/IP 網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。 (2)Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。 (3)快速的軟件升級(jí)周期，會(huì)造成問題軟件的出現(xiàn)，經(jīng)常會(huì)出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。 (4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國(guó)針對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致，網(wǎng)上保密的法規(guī)制度可操作性不強(qiáng)，執(zhí)行不力。同時(shí)，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。缺乏行之有效的安全檢查保護(hù)措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。 網(wǎng)絡(luò)安全面臨的威脅 信息安全是一個(gè)非常關(guān)鍵而又復(fù)雜的問題。計(jì)算機(jī)信息系統(tǒng)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn) (包括網(wǎng)絡(luò) )的安全，即計(jì)算機(jī)信息系統(tǒng)資源 (硬件、軟件和信息 )不受自然和人為有害因素的威脅和危害。 計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等 。計(jì)算機(jī)信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來(lái)自計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊、信息戰(zhàn)爭(zhēng)和計(jì)算機(jī)系統(tǒng)防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 故障等。 由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會(huì)另一種形式的“金庫(kù)”和“保密室”，因而，成為一些人窺視的目標(biāo)。再者，由于計(jì)算機(jī)信息系統(tǒng)自身所固有的脆弱性，使計(jì)算機(jī)信息系統(tǒng)面臨威脅和攻擊的考驗(yàn)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來(lái)自于以下幾個(gè)方面： (1)自 然災(zāi)害。計(jì)算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器，易受自然災(zāi)害及環(huán)境 (溫度、濕度、振動(dòng)、沖擊、污染 )的影響。目前，我們不少計(jì)算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時(shí)有發(fā)生。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。 (2)黑客的威脅和攻擊。計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長(zhǎng)的形形色色攻擊者活動(dòng)的舞臺(tái)。他們具 有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識(shí)，能使用各種計(jì)算機(jī)工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機(jī)會(huì)，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會(huì)脆弱性和安全問題，并構(gòu)成了自然或人為破壞的威脅。 (3)計(jì)算 機(jī)病毒。 90 年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延范圍廣，增長(zhǎng)速度驚人，損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上，在這些程序運(yùn)行時(shí)進(jìn)人到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。 (4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目 的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實(shí)上，間諜軟件日前還是一個(gè)具有爭(zhēng)議的概念，一種被普遍接受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能小同程度的影響系統(tǒng)性能。 (5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn)，即為了國(guó)家的軍事戰(zhàn)略而采取行動(dòng)，取得信息優(yōu)勢(shì)，干擾敵方的信息和信息系統(tǒng)，同時(shí)保衛(wèi)自己的信息和信息系統(tǒng)。這種對(duì)抗形式的目標(biāo) ，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計(jì)算機(jī)信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭(zhēng)的方法，其攻擊的首要目標(biāo)主要是連接國(guó)家政治、軍事、經(jīng)濟(jì)和整個(gè)社會(huì)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器。可以說(shuō)，未來(lái)國(guó)與國(guó)之間的對(duì)抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國(guó)家安全的前提。 (6)計(jì)算機(jī)犯罪。計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污、盜竊、詐騙和金融 犯罪防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 等活動(dòng)。 在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案 防火墻具備的安全功能 防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管 理。從總體上看，防火墻應(yīng)該具有以下基本功能： (1)報(bào)警功能，將任何有網(wǎng)絡(luò)連接請(qǐng)求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。 (2)黑白名單功能，可以對(duì)現(xiàn)在或曾經(jīng)請(qǐng)求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。 (3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機(jī)名。 (4) 流量查看功能，對(duì)計(jì)算機(jī)進(jìn)出數(shù)據(jù)流量進(jìn)行查看，直觀的完整的查看實(shí)時(shí)數(shù)據(jù)量和上傳下載數(shù)據(jù)率。 (5)端口掃描功能，戶自可以掃描本機(jī)端口，端口范圍為 065535 端口，掃描完后將顯示已開放的端 口。 (6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時(shí)間數(shù)據(jù)包進(jìn)去計(jì)算機(jī)的情況，分別記錄目標(biāo)地址，對(duì)方地址，端口號(hào)等。安全日志負(fù)責(zé)記錄請(qǐng)求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請(qǐng)求連網(wǎng)時(shí)間，程序目錄路徑等。 (7)系統(tǒng)服務(wù)功能，可以方便的查看所以存在于計(jì)算機(jī)內(nèi)的服務(wù)程序?？梢躁P(guān)閉，啟動(dòng)，暫停計(jì)算機(jī)內(nèi)的服務(wù)程序。 (8)連網(wǎng) /斷網(wǎng)功能，在不使用物理方法下使用戶計(jì)算機(jī)連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。 完成以上功能使系統(tǒng)能對(duì)程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險(xiǎn)。從而用戶上網(wǎng)娛樂的質(zhì) 量達(dá)到提高，同時(shí)也達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。 網(wǎng)絡(luò)安全的解決方案 入侵檢測(cè)系統(tǒng)部署 入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來(lái)講，就是將入侵檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生 的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠及時(shí)采取應(yīng)對(duì)措施。 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 漏洞掃描系統(tǒng) 采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 網(wǎng)絡(luò)版殺毒產(chǎn)品部署 在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)該在整個(gè) 網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系