【文章內(nèi)容簡介】 網(wǎng)絡(luò)對每個人都不是陌生的，而且網(wǎng)絡(luò)是免費的，這樣便刺激了更多用戶的使用性。為了更好的利用網(wǎng)絡(luò)資源，一定要做好網(wǎng)絡(luò)安全的防范技術(shù)。網(wǎng)絡(luò)安全的防范技術(shù)主要有防火墻技術(shù)、入侵檢測技術(shù)、數(shù)據(jù)加密技術(shù)、防病毒體系等，下面我就介紹這四種技術(shù)。　　防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。（1）防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。（2）防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。（3）防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。（4）防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。（5）防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點。（1）可作為網(wǎng)絡(luò)安全策略的焦點：防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。（2）可以有效記錄網(wǎng)絡(luò)活動：由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能（3）為解決IP地址危機提供了可行方案：由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：（1）防火墻對繞過它的攻擊行為無能為力。（2）防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。（3）防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。 防火墻的部署防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護(hù)功能。（1）防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。（2）如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。（3）通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻。（4）主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上。（5）遠(yuǎn)程撥號服務(wù)器與骨干交換機或路由器之間。總之，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、,使內(nèi)部網(wǎng)與外部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。（1）未來的防火墻要求是高安全性和高效率。使用專門的芯片負(fù)責(zé)訪問控制功能、設(shè)計新的防火墻的技術(shù)架構(gòu)是未來防火墻的方向。（2）數(shù)據(jù)加密技術(shù)的使用，使合法訪問更安全。（3）混合使用包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)。（4）新的IP協(xié)議IPv6對防火墻的建立與運行產(chǎn)生深刻的影響。（5）對數(shù)據(jù)包的全方位的檢查。不僅包括數(shù)據(jù)包頭的信息，而且包括數(shù)據(jù)包的內(nèi)容信息，查出惡意行為，阻止通過。（6）分布式防火墻。分布式防火墻是指那些駐留在網(wǎng)絡(luò)中主機如服務(wù)器或臺式機并對主機系統(tǒng)自身提供安全防護(hù)的軟件產(chǎn)品。 入侵檢測技術(shù)入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計和跟蹤等。 典型的IDS系統(tǒng)模型包括4個功能部件：(1) 事件產(chǎn)生器，提供事件記錄流的信息源。(2) 事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。(3) 響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件(4) 事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)絡(luò)的任務(wù)。主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機上收集信息進(jìn)行分