钟掖 卫薇 赵威扬

摘 要：随着时代的发展以及信息技术的不断更新，电子科技技术虽然改善了人们的生活和推动了社会的发展，但是现今新闻报道中各种犯罪事件已经屡见不鲜，所以科技技术的不断发展，其也给犯罪分子带来了可乘之机，这样就会造成较大的经济损失，所以网络边界安全问题已经日益突出。本文主要基于安全边界对数字网络的访问方法进行分析，以期能够创造安全的网络环境。

关键词：安全边界;数字网络;访问;方法探析

中图分类号：TP393 文献标识码：A 文章编号：1671-2064（2019）22-0028-02

随着科学技术的不断发展，社会也进入了互联网时代，在其给人们带来便利的同时，各种网络安全问题也接踵而至，所以采用一定的方法对其进行控制也是十分重要的，这样能够创造一个安全的网络环境。本文主要为数字网络访问的方法进行分析探讨，以安全边界为基础，结合实际的网络情况，对其进行探析。

1 安全边界防护要求

对网络边界进行安全防护是保护其不受外界以外的网络攻击，同时也防止相关人员使用内部网络对外部网络进行攻击和破坏。当出现网络安全事故的时候，相关工作人员可根据日志检测到的攻击行为对攻击事件进行分析。网络边界作为公司信息外网与互联网之间的横向边界，对其进行安全防护主要从访问控制、准入认证、恶意代码防护及终端加固这几方面入手，同时也应对网络通道及终端安全措施进行加强[1]。

访问控制：网络边界应部署相应的安全防护设备对网络访问进行限制，可根据实际需求强化控制设备的访问列表，只允许特定的防护设备与IP地址进行数据交换，同时也应对服务器的网络行为进行规范与控制，使得访问的更加安全。

准入认证：当需要进行远程连接的时候，可采用虚拟网等方式进行远程连接，同时在进行虚拟连接的时候应该对用户的身份进行确认，除了有常规的用户名及密码这样的方式外，还可以使用RADIUS及数字签名这样的服务从而使得远程服务更加安全。同时在进行远程连接的时候可增加用户名及密码的复杂程度，从而避免出现弱口令的现象。

恶意代码防护：采用入侵检测/防御系统对边界的流量进行入侵检测，其主要是对攻击行为进行检测，其中包括恶意代码类、漏洞利用类、Web类攻击等，当检测到攻击之后，入侵检测/防御系统根据警报级别对入侵事件进行警告以及在警告后切断入侵行为。同时其也应对安全事件的事件动作、发生时间及IP信息等进行记录，这样更方便工作人员的审计工作。安全防护的设备日志只有管理员能进行查看，应对查看的用户权限进行设置。

网络通道：当内部人员未使用统一出口对外部网络进行访问，如私自搭建无线网络用到使用内主网主机进行外部网络的访问，这样就会对内部网络的安全造成影响，这样对互联网的防护而言毫无意义，而外界攻击者也可以通过无线网络通道对其进行网络攻击。所以提升员工的网络安全意识，禁止绕过公司同一网络边界搭建网络通道这是十分重要的[2]。

2 常用的安全防护设备

网络安全问题越来越受人们的重视，所以保护网络安全的防护设备也越来越多，不同的安全防护设备会对不同的网络威胁起到防护的作用，下面对安全防护设备及其部署方式进行分析。

2.1 防火墙

其主要是用在两个要求不同的安全区域之间，从而对网络进行安全防护，避免出现外部攻击者入侵、攻击以及恶意探测的行为。防火墙的主要功能有：防止IP地址欺骗、对流经防火墙的网络进行控制;防止外部攻击者窥探网络细节。但是防火墙的自身具有一定的局限性，其并不能阻止绕过防火墙的攻击以及对内部威胁进行防止。

2.2 入侵检测系统

其主要是对网络流量的信息进行收集和分析，从而发现其中存在的攻击行为及疑似攻击行为。入侵检测系统的主要功能可包括：检测系统漏洞、对网络流量进行分析。根据设备开启的规则对攻击行为进行判断，对用户的行为进行识别，若识别出其存在攻击行为应作出反应或警告。但是入侵检测系统若是用户不参与则无法进行检测。

入侵检测系统的功能及目标存在不同，所以其网络部署也是不相同的。入侵检测系统通常通过在网络关键位置的路由器、交换机等设备上设置镜像端口。其可以部署在DMZ的总出口处，因为其在DMZ出口处的时候可以检测到外界用户对DMZ的攻击行为。

2.3 入侵防御系统

其能够智能、主动的检测到外界的入侵，并对其进行阻止，当发现存在攻击行为或疑似攻擊行为的时候，可对其进行阻止。入侵防御系统与入侵检测系统不同的是其不但能够检测到入侵行为，还能通过一定的方式终止入侵行为。

在部署方面，其主要是采用In-line的透明模式接入到网络中，而正是由于其可以以嵌入式的方式接入到网络中，所以其极有可能或造成单点故障或网络瓶颈问题。

2.4 Web应用防火墙

其主要是对网络挂马、跨站脚本、注入等常见攻击进行防护，使得网络免遭其攻击，其往往位于服务器和客户端之间，通过URL过滤技术、协议分析等技术手段，对客户端的请求进行检测和验证，从而对网络流量的安全进行确保，若是发现不安全或具有危险的请求可及时将其阻断。

由于网络应用的需求不同，所以在部署Web应用防火墙的时候，其部署方式也是不相同的，可包括旁路监控部署方式、路由器部署及透明部署方式这三种。不同的部署方式其有着不同的优点。旁路监控部署方式的优点是对网络的影响较小，但是服务器并无法对流量源的地址进行获取。路由器部署方式的安全防护程度最高。透明部署方式的特点是快速、简单。

3 网络安全的现状

为满足网络安全的需求，不同的地区都会配置符合本地区的边界安全设备，但是往往这些设备品牌较多，并且数量较大，所以往往都会存在以下几方面的问题。

3.1 设备差异化

由于配备的设备具有一定的差异化，所以使得设备的后期维修等问题难以进行，这就加大了相关人员的管理力度，使得运维的工作效率降低。

3.2 防火墙使用策略不正确

当采用防火墙进行安全防护的时候，由于各安全区域的防火墙其一直采用“加法”的安全策略，所以无法对当前策略的冗余性及有效性进行判断。

3.3 网络权限存在问题

若是公司的业务集中之后，往往都会出现频繁更换网络权限的情况，从而使得对资料的管理较难，所以若想很好的进行安全防护，应对网络权限的管理流程进行完善。

4 网络安全防护步骤

4.1 对边界进行调整合并

进行逻辑调整合并：通常是指对现行系统的单个逻辑边界进行整合，以期能够通过边界调整使系统保持较高的条理性和完整性。在系统中极有可能存在一些特定区域，在对这类区域进行调整合并的时候应根据实际要求，对边界进行处理，使其能够有机结合。安全区域的交互网络与专线、互联网和内网的边界为网络边界，其是安全与较重要的边界。

物理整合调整：进行物理整合，也就是对系统或多个系统及相应的安全域进行物理方面的整合，主要是通过有效的物理层面的整合，使得网络体系的安全等级得到提升，同时也更加方便对整个体系的管理工作，从而避免出现网络危害。在实际的工作中往往都会出现资源浪费的情况，这种情况对系统的整体安全都会造成一定的影响，例如在系统正常运行的时候，若是存在多个内部节点与外部网络相连通的情况，但是连通的端口不同，这样则需要外部的端口进行连接，这样不仅会增加工作量，对系统的安全也会造成一定的影響。对于这样的情况应及时对端口进行合并，将各种类型的端口统一，并将使用系统设备的端口也进行统一。通过将同一类型安全域的不同系统进行合并，这样能够使得端口的投资费用降低，通过整合之后也能使得安全域集合在一起，这样更方便工作人员在接下来的操作。

4.2 安全防护

边界防护：对安全域进行防护可根据其等级和边界特点进行保护，不同的等级采取的安全防护策略也是不同的。若是维护域存在安全防护需求的时候，应该加强审计和认证，并严格遵守配置标准，采取相应的安全工具。例如：口令管理、防病毒系统等。另外对边界进行安全防护的时候也因对终端进行安全管理。

检测与预防相结合：互联网技术的不断发展，网络病毒的侵入不仅有着速度快的特点，其潜伏周期也较长，所以为了能够更好地对网络安全进行防护，应在系统中设置防火墙，而由于病毒的更新速度较快，所以在设置防火墙的时候其更新速度也应较快。另外病毒的潜伏周期较长，一旦触发源启动，病毒就会立即启动，从而对系统造成一定的威胁。所以在进行安全防护的时候应对系统自身进行检查，将所有病毒清除，做到从根源上预防。

5 安全防护方案

为了保证互联网的安全性，在信息外网与互联网之间应该部署相应的安全设备从而满足网络防护的需求。但是安全设备的部署会对网络造成一定的影响，所以应在网络安全与网络性能之间进行考虑，从而找出适合的方案。互联网的安全防护方案如表1所示。

从上表可以看出，防火墙+入侵检测系统/入侵防御系统与防火墙+Web应用防火墙这种方法过于简单，并且无法满足网络需求。而防火墙+网络入侵防御+Web应用防火墙+网页篡改的防护效果较高，但是会对网络性能造成较大的影响。对网络进行安全部署应该根据实际情况，选择合理的防护方案。

6 结语

基于安全边界进行网络访问，能够使得网络环境越来越清晰与安全，并在实际的工作中，积累经验以及对相关数据进行分析，从而对安全策略体系不断完善，为网络安全环境提供保证，最终实现网络安全。

参考文献

[1] 宋晓琴.维护网络意识形态安全的路径[J].传媒论坛，2019（20）：3+5.

[2] 程恺.云计算下网络安全技术的现状与对策[J/OL].电子技术与软件工程，2019（19）：185.