王和鑫

(黑龙江工业学院，黑龙江 鸡西 158100)

随着社会的不断发展，人类生产、生活中的各种信息技术以其数据处理速度快、数据量大、信息来源广的特点得到广泛应用，已经成为信息化社会不可缺少的一部分[1]。这些数据涉及到商业机密、财产安全、社会稳定，一旦泄露将会给用户的正常生产、生活带来严重影响，甚至产生不可挽回的损失。因此，在当前信息化时代，计算机领域中网络安全问题已成为大众关注的普遍问题，对于计算机网络安全的防范也是一个长期的系统工程。对于计算机网络用户来说，防范的关键在于认识到安全问题的根源，才能采取针对性的措施进行防范[2]。但是这些技术对于非专业用户来讲很难在日常的使用中熟练运用，本文通过对防火墙技术、计算机网络存在的问题、影响计算机网络的安全因素进行有效梳理、归纳，使非专业用户能够掌握如何在日常工作中进行计算机网络安全防范，掌握其本源，提高工作效率，更好地发挥计算机网络的功能和作用。

1 计算机网络安全问题

计算机网络安全出现问题会造成数据泄露，主要包括系统漏洞、网络病毒、黑客攻击以及网络管理不到位引起的安全问题，掌握导致计算机网络安全问题的原因是防止数据泄露的基础。

1.1 系统漏洞

从理论上来说，不论是计算机自带的Windows系统，还是Linux、Solaris系统，都存在着一定的系统漏洞，这些漏洞来自系统本身，不可避免地会对计算机网络安全造成影响。此外，用户在安装硬件或软件的过程中很可能由于疏忽而产生一定的漏洞，这些漏洞都会给计算机网络安全带来一定的隐患，黑客或不法分子会利用这些漏洞来窃取数据信息。

1.2 网络病毒

木马病毒是网络病毒中常见的一种，计算机使用过程中出现木马病毒的情况较为常见，一般在开放的网络终端会存在着一定的木马病毒且滋生迅速，在用户进行计算机网络操作时，木马病毒防不胜防，对计算机系统安全的影响十分严重，这一安全问题也是用户使用计算机网络系统过程中需要重点注意的。

除木马病毒之外，其他不同类型的网络病毒也不断出现，这些计算机网络病毒普遍具有强大的复制性和感染性，时刻对计算机网络的安全产生着威胁，极易破坏网络内的计算机程序或软件，进而盗用或破坏网络中的应用程序。网络病毒对计算机网络安全的危害十分严重，很可能引起计算机系统的瘫痪。

1.3 黑客攻击

黑客攻击属于非法入侵带来的安全风险，主要是技术层面的入侵，有软件节点型和主动型两种类型。软件节点型的黑客攻击破坏性较大，主要以盗窃用户的个人隐私为目标，用户几乎难以察觉到这种攻击。主动型黑客攻击通常以盗取个人信息为目标，这种类型的攻击是一种具有针对性的攻击，将会破坏整个计算机系统的运行状态，严重的会导致计算机系统瘫痪或崩溃。不论何种形式的非法入侵，都会严重威胁到计算机网络的安全。

1.4 网络管理不到位引起的安全问题

计算机网络管理者对计算机网络安全的维护十分重要，维护的效果决定着计算机对外来破坏抵御的能力。然而，一些管理者欠缺对网络管理、网络安全意识，未按要求严格进行计算机网络安全管理，增加了信息泄露等安全隐患出现的风险。对于计算机用户来说，对计算机网络日常管理和维护的不重视也是引发安全问题的因素。

这些计算机网络安全问题都是计算机在使用过程中客观存在的，我们不能因为网络安全问题的存在而产生恐惧，随着网络安全防御技术的不断进步，这些问题是可以防御的。

2 网络安全防御体系

常用的网络安全防御体系分为网络安全评估、安全防护、网络安全服务三个模块。网络安全评估又分为系统漏洞扫描和网络管理评估，安全防护分为病毒防护体系、网络访问控制、网络监控和数据保密，网络安全服务分为应急服务体系、数据恢复和安全技术培训。在整个网络安全防御体系中，三个模块中任何一个都需要网络防火墙参与防护，防火墙是计算机网络安全的第一道屏障，任何用户访问网络，只要有数据信息的流入都必须经过网络安全防御体系，而在此过程中也必须要有防火墙的数据过滤和访问控制，合法有效的数据信息会被网络用户接收，非法无效数据信息会被防火墙阻止，屏蔽在网络安全防御体系之外，使网络系统更加安全可靠。主要的网络安全防御体系如图1所示。

图1 计算机网络安全防护体系构架示意图

如图1所示的计算机网络安全防护体系可以完成网络安全防御，在防御过程中，防火墙全程参与整个环节，它是用户阻断外部非法入侵的重要手段，不同类型的防火墙在使用过程中功能不同，应用的技术领域也会不同。

3 防火墙的部署分类及技术应用

防火墙一般是指设置在不相同网络之间，或者是网络安全域中间的一系列的部件组合。简而言之，它其实就是一种网络防护设备，保护内部网与不安全外部网之间的护栏。它的作用是阻断来自外部、针对内部网的入侵和威胁，从而保护内部网的安全。防火墙具有不同的分类标准，不同类型的防火墙具有不同的功能和作用，用户在选择使用哪类防火墙时，需要根据自己实际情况，进行防火墙的科学选取。

3.1 按防火墙的应用部署分类

按照防火墙的应用部署可以划分为分布式防火墙，边界防火墙和智能防火墙三类。

3.1.1 分布式防火墙

分布式防火墙部署多个防火墙实体，在逻辑上又定义为一个防火墙，并有各个分布在网络中的端点实施针对各个实体节点制定安全策略[3]。分布式防火墙的应用是被允许或禁止的策略语言、系统管理工具、IP安全协议执行安全防护。制定防火墙接入控制策略，由编译器对策略语言转化为防火墙内机器可识别语句，并形成策略文件。系统管理工具将所形成的策略文件分发给每个内部系统主机控制台，内部系统主机将从IP安全协议和服务器端的策略文件判定是否接受。相比个人防火墙，分布式防火墙特点不仅负责网络边缘，还将防火墙功能分布网络的各个角落，甚至涵盖远程访问用户，不仅过滤外部网络的通信，也对内部网络通信过滤。在不需要只对网络边缘负责安全防护或者需要对内部网络各用户之间通信进行过滤时，往往使用分布式防火墙，它的防护特点就是除自身以外所有用户的访问都是“不可靠、不可信”的，都是需要进行严格过滤的。用户信息通过网络防火墙进入到内部网络进行数据交换，使用户通过控制策略进行相应的访问，其工作原理如图2所示。

图2 分布式防火墙工作原理

3.1.2 边界防火墙

边界防火墙是一种安全的边界，可为专用网络和其他公用网络(例如 Internet)提供主要防御。防火墙可检测并保护网络抵御不必要的流量、潜在的危险代码和入侵企图[4]。边界防火墙是较为普遍的那一种，它分布在内、外网络的边界上，所起的主要作用就是对内、外部网络进行隔离，保护边界内部网络，这类防火墙大多数都是硬件类型的，价格比较贵，但性能也比较好。这一类防火墙主要保护的是边界内部网络，如果资金充裕，可以优先选用这类防火墙。用户通过互联网访问，防火墙提供防御，隔离有问题的数据信息，访问正常的企业网络及合作伙伴网络，其工作原理如图3所示。

图3 边界防火墙工作原理

3.1.3 智能防火墙

智能防火墙主要是基于人工智能技术设置的，使用统计、概率、决策和记忆等智能方式方法来识别数据，从而进行控制和访问网络的新型防火墙技术。智能防火墙技术适应新一代信息技术网络安全需求下的网络行为访问控制[5]。与传统的防火墙相比，智能防火墙具有四个特性：一是防止恶意数据攻击，它能够识别恶意数据流量并立即阻止恶意数据攻击；二是防范黑客的攻击，它能识别并防止来自黑客的恶意扫描；三是防范MAC欺骗和IP欺骗，它提供基于MAC的访问控制机制，防止MAC欺骗和IP欺骗，支持IP过滤和MAC过滤；四是防御入侵，为了解决授权包的安全性问题，它能检测授权数据的入侵并提供入侵保护。这样就可以完成深层数据包的智能监控，并及时防止对应用层的攻击。这类防火墙的应用能充分发挥其四个特性的防御特点，智能化的阻止恶意的网络攻击，大大的降低网络安全风险，更好的保证网络系统的安全。用户通过智能过滤访问到主机系统，异常数据包通过防火墙的智能过滤进行数据重新加载和加入特性库。智能防火墙工作原理如图4所示。

图4 智能火墙工作原理

3.2 按防火墙技术分类

按防火墙技术主要分为包过滤型防火墙和应用代理型防火墙两大类。

3.2.1 包过滤型防火墙

包过滤型防火墙在OSI模型的网络层和运输层中运行，它根据数据包头源的地址、目标地址、端口号和协议类型确定是否可以通过[6]。满足过滤条件的数据包被发送到相应的目的地，其他数据包被数据流删除。这种防火墙技术的应用，能够更好过滤掉无用的数据信息，过滤出有用的数据信息，保证数据的真实有效，并保证了数据的可用性。包过滤防火墙把进入数据过滤并解析形成安全的数据包输出。其结构如图5所示。

图5 包过滤火墙工作原理

3.2.2 应用代理型防火墙

应用代理型防火墙是工作在OSI模型的应用层，也是最高层。它的主要特点是完全“阻隔”了网络通信流，监测和控制应用层的通信流，其作用是通过为每个应用服务建立专门的代理程序来实现的[7]。通过限制某些协议的传出请求来减少网络中不必要的服务。大多数代理型防火墙能够记录所有连接，包括地址和持续时间，这些信息对于检测未经授权访问的攻击和事件都非常有用。这种类型防火墙技术的应用，可以更好地阻止非用户请求，减少无用的数据信息，更好地为用户提供可靠的数据。用户通过网络对经过应用网关进行访问的数据进行过滤，其典型网络结构工作原理如图6所示。

图6 应用代理型防火墙工作原理

通过以上分析可以看出，防火墙的防御技术根本是针对计算机网络安全策略实施的防护网络系统，依靠防火墙来配置安全的过滤规则、网络数据包协议、端口、源(目的)地址、流向的审核以及对外部网络非法访问的控制等[8]，使更改路由器中的存取控制表得以实现。防火墙的安全服务和策略控制是通过主干网对非法用户做存取控制处理的，以实现对网络中心的特别保护，提升安全服务[9]；对外部网与非法信息一致的域名，通过获取最新IP访问信息列表对非法访问进行策略控制处理[10]。此外，还可以针对防护墙系统做追踪监测及动态化维护，监测和分析防火墙网络流量，并针对异常流量进行防火墙安全策略的调整和优化，提升防火墙系统的防护水平及网络的安全性。

4 计算机网络安全防范措施

4.1 安装并应用杀毒软件

杀毒软件是现阶段针对计算机网络病毒防范的最基本手段，如今针对木马病毒、间谍软件、蠕虫等恶意病毒都开发了相应的杀毒软件；云安全技术是大数据时代相关机构针对计算机网络安全制定的防范技术，以防止网络病毒传播并破坏计算机网络。如国内的“金山杀毒软件”能够实现实时通信，通过实时监测计算机网络环境，防止恶意软件的干扰。为提高计算机网络的安全性，可在计算机上安装主动防御软件和软件安全测试软件，向云端引入安全测试引擎从而实现对用户计算机客户端的安全防御和软件保护。安装杀毒软件是个人用户客户端最普遍的一种防范措施。

4.2 提升防火墙策略

防火墙技术的功能十分强大，具有数据信息的记录功能、反端口扫描功能等，能够记录和保留网络用户的操作，对用户的数据进行有效保护，这些数据还可用于发生恶意攻击时的信息跟踪，对访问的网络地址作出风险评估，一旦出现安全问题，将及时拦截或撤回不安全的服务，从而确保计算机网络的安全性。防火墙策略的制定需要根据防火墙功能决定，如日志监控策略、内外网分离策略等，通过生成跟踪日志将访问地址和网络使用情况记录下来，作为管理人员的参考数据。提升防火墙策略，将内外部网络分离开来，用户在内网设置权限，在服务器入口处对访客进行监测和隔离，将各种安全威胁因素隔离在外部，提高计算机网络安全防范的功能。

4.3 强化系统漏洞修复功能

恶意的病毒和软件会在计算机系统出现漏洞的情况下进行传播，及时修补计算机的漏洞是十分有必要的。对于用户来说，可以根据实际情况安装360安全卫士、金山毒霸等修复系统漏洞的软件，并不定期更新和清理这些软件，使其保持最新版本。需要注意的是，应根据系统的提示进行程序的更新，提升计算机系统的漏洞修复功能。对于相关软件研发人员来说，需要结合目前计算机网络的安全威胁及时更新漏洞修复软件的功能，使软件的更新速度与计算机网络的发展速度相同步。这种强化系统漏洞修复功能，主要用来检测网络系统可能存在的漏洞，提高漏洞检查的效率，帮助程序员提前发现软件、程序的漏洞，促进系统漏洞修复功能的提升。这类网络监测技术能够发挥人力无法达到的网络管理的职能，包括病毒数据库监测、监测模型建立和异常监测等。

4.4 提高数据库加密水平

计算机网络的运行依赖大量的信息数据，数据库的加密水平决定着这些信息数据的安全性，如果数据库受到了病毒或黑客的攻击，就会破坏并泄露大量的信息，对个人、企业及国家来说都是不可估量的损失。当前，我国的计算机网络技术还存在较多的不足之处，尚处于发展阶段，要想提高数据库加密水平，只有不断加强对数据库加密技术的研究，完善和优化数据库加密手段，才能使计算机的网络安全性能得到保障。

4.5 搭建虚拟网络引入异常入侵检查

搭建专用虚拟网络可以有效解决计算机网络应用和设计中存在的漏洞，专用虚拟网络在根本上不同于传统单一的公共网络系统，它不是单独存在，而是整个计算机公共网络系统中极其重要的一部分，也是该体系基础上的一个重要分支，用户信息数据连接的通道可以根据所搭建的虚拟网络，使其安全性和可靠性进一步提升，从而实现客户和企业之间的有效连接，避免数据和信息的泄露以及破坏等问题的出现，为网络安全提供良好的保障。通信协议是搭建虚拟网络的基础，以此使得该连接通道具备一定的隐蔽处理能力，最大限度的保护计算机网络用户的安全性和隐私。搭建虚拟网络引入异常入侵检查可以解决用户对计算机网络系统操作不当而引发的安全问题，通过引入异常入侵监测加以控制，对用户的操作加以提醒。与此同时，异常入侵监测还具有一定的优化防护性能的功能，通过积累入侵反馈信息对计算机网络系统的安全问题实行有效地控制。