代 沁 张 亮 董海兵 师建宇

（中国石油呼和浩特石化公司，内蒙古 呼和浩特 010070）

1 概述

当今世界中网络已经成为人们必不可少的工具，它在人们日常生活和工作中极大的带来各方面的便利条件，但是在网络安全问题刻不容缓，涉及于从国家安全到个人财产、个人信息等。下面浅谈以个人的理解和经历来总结出的网络安全性的重要性和一般涉及到的网络安全技术和防范措施。

2 计算机网络安全技术与防范

2.1 计算机网络安全技术

2.1.1虚拟局域网（VLAN）

虚拟局域网（VLAN）能够赋予网络管理系统限制VLAN以外的网络节点与网内的通信，可防止基于网络的监听入侵。例如可把企业内联网的数据服务器、电子邮件服务器等单独划分为一个VLAN1，把企业的外联网划分为另一个VLAN2，通过控制VLAN1和VLAN2间的单向信息流向，即VLAN1可访问VLAN2的信息，VLAN2不能访问VIAN1的信息，这样就保证了企业内部重要数据不被非法访问和利用，而且某个VLAN出现的问题不会穿过VLAN传播到整个网络，因而大大提高了网络系统的安全性。

2.1.2虚拟专用网（VPN）

虚拟专用网（VPN）专用于Intranet（企业内部网）与Internet（因特网）的安全互连，VPN不是一个独立的物理网络，VPN是利用公共网络资源为用户建立的逻辑上的虚拟的专用网，是在一定的通信协议基础上，通过因特网在远程客户机与企业内部网之间，建立一条加密的多协议的“隧道”，VPN可以将信息加密后重新组包在公共网络上传输，是一种集网络加密、访问控制、认证和网络管理于一体，能够实现廉价的、安全可靠的跨地域的数据通信。

2.1.3防火墙

防火墙是特定的计算机硬件和软件的组合，它在两个计算机网络之间实施相应的访问控制策略，使得内部网络与Internet或其他外部网络互相隔离、限制网络互访，禁止外部网络的客户直接进入内部网络进行访问，内部网络用户也必须经过授权才能访问外部网络。在内部网络与外部Internet的接口处，必须安装防火墙。

2.1.4安全审计技术

安全审计技术是对用户使用网络系统时所进行的所有活动过程进行记录，可跟踪记录中的有关信息，对用户进行安全控制。通过诱捕与反击两个手段，故意安排漏洞，诱使入侵者入侵，以获得入侵证据和入侵特征，跟踪入侵者来源，查清其真正身份，对其行为采取有效措施，切断入侵者与网络系统的连接。

2.1.5防病毒技术

在Internet接入处如防火墙、路由器、代理服务器上可安装基于Internet网关的防病毒软件。在内部网络的各个服务器上也要安装防病毒软件，防止内部网络用户通过服务器扩散病毒。内部网络的每台计算机终端都要安装可以定期更新的防病毒软件，并且要定期扫描病毒，每个用户都应该知道检测出病毒时该如何处理。

2.1.6安全扫描技术

安全扫描技术分为基于服务器和基于网络两种，它能实时扫描和及时发现计算机网络内的服务器、路由器、交换机、防火墙等系统设备的安全漏洞。

2.1.7 WAP协议技术

为提高计算机无线互联网的安全性和保密性，可使用WAP协议来防止电磁波泄露、防止数据被窃听、被假冒和被篡改等。

2.1.8数据加密技术

数据加密技术是利用数学原理，采用软件方法或硬件方法重新组织数据信息，使得除了合法的接收者，任何人很难恢复原来的数据信息或读懂变化后的数据信息。数据加密技术主要有私钥加密和公钥加密两种。

2.1.9信息认证技术

信息认证技术包括数字签名、身份识别和信息完整性校验等。在电子商务活动中，信息认证是通过第三方权威机构对用户合法性进行检验和确认，从而保证交易双方或多方的利益不受损害。

2.2 网络环境要求与网络设备的安全配置

2.2.1交换机的安全配置要求

1)从设备厂商获取到升级包后，在测试环境中对升级包进行测试后再进行补丁更新。

2)普通用户的口令应与超级用户的口令存在较大的区别。

3)超级管理员的密码应采用不可逆加密算法进行加密处理，登陆设备后静态口不是明文存放。

4)应对远程登陆设备的IP地址进行限制，在设备上设定可登陆的IP地址。

5)启用OSPF协议加密认证的方式。

6)更改SNMP通信协议中读操作的默认口令。

我常常利用课前或早读给学生们念上一篇或一段美文，共同赏析，望着那一双专注的眼神我知道他们被文中的文字深深地打动着，听完后，我们在一起交流心中的感动，那相似的情感流露就是一首首动人的小诗。

7)应制定可与网络设备进行SNMP读交互的IP地址。

8)启用网络设备的日志记录功能，记录用户登录设备行为和登录后的操作行为。

9)开启网络设备的NTP服务，达到时间的同步。

10)应开启网络设备的SSH服务，通过SSH协议进行队网络设备进行远程维护，提高通信的安全性。

11)应关闭网络设备的Telnet服务，不要通过Telnet协议远程管理网络设备。

2.2.2路由器的安全配置要求

1)普通用户的口令应与超级用户的口令存在较大的区别。

2)超级管理员的密码应采用不可逆加密算法进行加密处理，登录设备后静态口不是明文存放。

4)更改SNMP通信协议中读操作的默认口令。

5)应制定可与网络设备进行SNMP读交互的IP地址。

6)启用网络设备的日志记录功能，记录用户登录设备行为和登录后的操作行为。

7)开启网络设备的NTP服务，达到时间的同步。

8)应开启网络设备的SSH服务，通过SSH协议进行队网络设备进行远程维护，提高通信的安全性。

9)应关闭网络设备的Telnet服务，不要通过Telnet协议远程管理网络设备。

2.2.3防火墙的安全配置要求

1)防火墙的远程管理协议应采用SSH协议或Https协议，保证通信的安全性。

2)管理员的角色中至少应包括系统管理员、审计管理员等用户角色。

3)安排专人每天对防火墙的日志进行分析，对记录的高危时间应重点分析，并追溯源头。

结束语

从国家到民间各行各业中网络已成为了信息时代的基础。它的安全运行也成为了人们注重的事物之一。在这信息技术发达的年代我们应该学会计算机网络的安全技术与防范措施，而对于某单位或某行业的网络管理员显的更为重要。

[1]周炎涛.计算机网络实用教程（第2版）[M].电子工业出版社.2004.

[2]杨富国等.网络设备安全与防火墙[M].北方交通大学出版社.2005.