網(wǎng)絡(luò)安全防御技術(shù)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全防御技術(shù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：云計(jì)算 網(wǎng)絡(luò)安全 防御技術(shù)

中圖分類號(hào)：TG519.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）05-0201-01

1 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，Internet已經(jīng)滲透到生活的各個(gè)方面，繼移動(dòng)通信3G、4G之后，云計(jì)算也成為網(wǎng)絡(luò)技術(shù)領(lǐng)域的熱門(mén)話題和市場(chǎng)的熱捧目標(biāo)。云計(jì)算（cloud computing），分布式計(jì)算技術(shù)的一種，其最基本的概念，是透過(guò)網(wǎng)絡(luò)將龐大的計(jì)算處理程序自動(dòng)分拆成無(wú)數(shù)個(gè)較小的子程序，再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計(jì)算分析之后將處理結(jié)果回傳給用戶。云計(jì)算是以公開(kāi)的標(biāo)準(zhǔn)和服務(wù)為基礎(chǔ)，以互聯(lián)網(wǎng)為中心，提供安全、快速、便捷的數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)計(jì)算服務(wù)，讓互聯(lián)網(wǎng)這片"云"成為每一個(gè)網(wǎng)民的數(shù)據(jù)中心和計(jì)算中心。

2 云計(jì)算面臨的安全問(wèn)題

談到云計(jì)算，安全性問(wèn)題無(wú)法回避，實(shí)際上這也是目前云計(jì)算應(yīng)用普及過(guò)程中所遇到的最大難題。雖然目前云計(jì)算服務(wù)提供商都在竭力淡化或避免這一話題，但作為云計(jì)算的終端用戶，這恰恰是他們關(guān)注的一大重點(diǎn)。目前，云計(jì)算的商業(yè)價(jià)值被得到證實(shí)；而與此同時(shí)，這些“云”也開(kāi)始成為黑客或各種惡意組織攻擊的目標(biāo)。綜合起來(lái)看，隨著云計(jì)算的發(fā)展和成功，由此帶來(lái)的云計(jì)算安全問(wèn)題也越來(lái)越令人擔(dān)憂，具體表現(xiàn)在以下幾個(gè)方面。

2.1 數(shù)據(jù)存儲(chǔ)安全問(wèn)題

云計(jì)算的模式?jīng)Q定了用戶的大量數(shù)據(jù)要存儲(chǔ)在云端，這樣就能給他們減少I(mǎi)T設(shè)備和資源的投資，同時(shí)也會(huì)帶來(lái)各種便利。但是越多的數(shù)據(jù)存于“云”中，對(duì)云的依賴性越大，一旦云端數(shù)據(jù)發(fā)生損壞或者丟失，這給用戶的造成的損失將是非常巨大的。

2.2 數(shù)據(jù)傳輸安全問(wèn)題

一般情況下，企業(yè)IDC保存有大量的企業(yè)私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了企業(yè)的核心競(jìng)爭(zhēng)力，如企業(yè)的客戶信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云計(jì)算模式下，企業(yè)將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問(wèn)題：一是如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中嚴(yán)格加密不被竊取；二是如何保證云計(jì)算服務(wù)商在得到數(shù)據(jù)時(shí)不將企業(yè)絕密數(shù)據(jù)泄露出去；三是在云計(jì)算服務(wù)商處存儲(chǔ)時(shí)，如何保證訪問(wèn)用戶經(jīng)過(guò)嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問(wèn)，并保證企業(yè)在任何時(shí)候都可以安全訪問(wèn)到自身的數(shù)據(jù)

2.3 數(shù)據(jù)審計(jì)安全問(wèn)題

在云計(jì)算環(huán)境下，云計(jì)算提供商如何在確保不對(duì)其他企業(yè)的數(shù)據(jù)計(jì)算帶來(lái)風(fēng)險(xiǎn)和干擾的同時(shí)，又提供必要的數(shù)據(jù)支持，以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì)，實(shí)現(xiàn)企業(yè)的合規(guī)性要求；另外，企業(yè)對(duì)云計(jì)算服務(wù)商的可持續(xù)性發(fā)展進(jìn)行認(rèn)證的過(guò)程中，如何確保云計(jì)算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有客戶的利益，使得企業(yè)能夠選擇一家可以長(zhǎng)期存在的、有技術(shù)實(shí)力的云計(jì)算服務(wù)商進(jìn)行業(yè)務(wù)交付，也是安全方面的潛在風(fēng)險(xiǎn)。

3 云計(jì)算的網(wǎng)絡(luò)安全防御技術(shù)

3.1 數(shù)據(jù)加密

加密技術(shù)是網(wǎng)絡(luò)安全中一個(gè)非常重要的安全技術(shù)，數(shù)據(jù)加密是利用技術(shù)手段把要傳輸?shù)闹匾臄?shù)據(jù)變?yōu)槊芪模用埽┻M(jìn)行傳送，到達(dá)接收端后再用相同或不同的手段對(duì)密文進(jìn)行還原（解密）。加密既針對(duì)存儲(chǔ)在云服務(wù)提供商的服務(wù)器上的數(shù)據(jù)，還針對(duì)傳送給最終用戶的數(shù)據(jù)。加密技術(shù)在云計(jì)算中的應(yīng)用，對(duì)數(shù)據(jù)傳輸甚至數(shù)據(jù)存儲(chǔ)等安全問(wèn)題的解決都能起到非常重要的作用。

3.2 安全存儲(chǔ)

在實(shí)際應(yīng)用中，網(wǎng)絡(luò)中數(shù)據(jù)的存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計(jì)算模式下，數(shù)據(jù)存儲(chǔ)資源處于共享的環(huán)境下，即使有數(shù)據(jù)加密的技術(shù)的加入，云計(jì)算服務(wù)提供商是否能夠保證數(shù)據(jù)之間的有效隔離也是一個(gè)非常重要的問(wèn)題；另外，還需要做好備份措施，以防止出現(xiàn)各種網(wǎng)絡(luò)和系統(tǒng)故障和宕機(jī)時(shí)，用戶的數(shù)據(jù)被破壞，造成重大損失。

3.3 安全認(rèn)證

安全認(rèn)證可通過(guò)單點(diǎn)登錄認(rèn)證、強(qiáng)制用戶認(rèn)證、、協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式，其中很多用戶是通過(guò)結(jié)合強(qiáng)制用戶認(rèn)證和單點(diǎn)用戶認(rèn)證的方式來(lái)允許用戶進(jìn)入云應(yīng)用的認(rèn)證，用戶只需登陸一次進(jìn)入整個(gè)web應(yīng)用，從而可以有效的避免用戶在使用自己的服務(wù)時(shí)將密碼泄漏給第三方。

3.4 以集中的安全服務(wù)中心應(yīng)對(duì)無(wú)邊界的安全防護(hù)

和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界防護(hù)不同，存儲(chǔ)計(jì)算等資源的高度整合，使得用戶在申請(qǐng)?jiān)朴?jì)算服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離.不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于用戶或用戶類型進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此，安全服務(wù)部署應(yīng)該從原來(lái)的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云計(jì)算網(wǎng)絡(luò)的安全防護(hù)。建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。

4 結(jié)語(yǔ)

本文主要在分析云計(jì)算的特征和面臨的安全威脅的基礎(chǔ)上，對(duì)云計(jì)算應(yīng)用安全進(jìn)行分析與研究，并從云計(jì)算服務(wù)用戶的角度提出云計(jì)算應(yīng)用網(wǎng)絡(luò)安全防御策略與手段。隨著對(duì)網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的深入研究，以及與防火墻、入侵檢測(cè)系統(tǒng)和病毒檢測(cè)等網(wǎng)絡(luò)安全技術(shù)的有機(jī)結(jié)合，提高數(shù)據(jù)的處理速率并根據(jù)實(shí)際應(yīng)用修改完善安全功能，必定能為云計(jì)算模式下的網(wǎng)絡(luò)系統(tǒng)提供更可靠的安全屏障。

參考文獻(xiàn)

[1]IBM.虛擬化與云計(jì)算小組虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社，2009.

[2]葉偉等.互聯(lián)網(wǎng)時(shí)代的軟件革命-SaaS架構(gòu)設(shè)計(jì)[M].北京：電子工業(yè)出版社，2009.

[3]谷歌在線文檔共享信息凸顯云計(jì)算安全問(wèn)題[J].信息系統(tǒng)工程，2009.10.

[3]陳濤.云計(jì)算理論與技術(shù)研究[J].重慶交通大學(xué)學(xué)報(bào)，2009.8.

第2篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】計(jì)算機(jī) 網(wǎng)絡(luò)安全 防范技術(shù)

一、威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

（1）網(wǎng)頁(yè)瀏覽器存在安全漏洞。我們上網(wǎng)所用的WEB服務(wù)器和網(wǎng)頁(yè)瀏覽器存在安全漏洞。開(kāi)始時(shí)開(kāi)發(fā)人員引用CGI程序是要使網(wǎng)頁(yè)活動(dòng)起來(lái)，但多數(shù)人員對(duì)CGI這一程序并不是很了解，而且編程時(shí)也只是對(duì)其進(jìn)行適當(dāng)修改，但網(wǎng)頁(yè)瀏覽器的核心部分仍然是相同的，所以可以說(shuō)網(wǎng)頁(yè)瀏覽器有著類似的安全漏洞。因此在人們上網(wǎng)應(yīng)用瀏覽器時(shí)，實(shí)際上是處于具有安全隱患的環(huán)境中，一旦進(jìn)入網(wǎng)絡(luò)世界，就有被攻擊的可能。

（2）防火墻軟件的安全配置不當(dāng)。計(jì)算機(jī)系統(tǒng)安裝的防火墻如果配置不當(dāng)，即使使用者安裝了，但仍然是沒(méi)有起到任何的防范作用的。網(wǎng)絡(luò)入侵的最終目的是要取得使用者在計(jì)算機(jī)系統(tǒng)中的訪問(wèn)權(quán)限、存儲(chǔ)權(quán)限甚至是寫(xiě)權(quán)限，以便能夠惡意破壞此系統(tǒng)，造成數(shù)據(jù)丟失被盜或系統(tǒng)崩潰，或者以此為跳板，方便進(jìn)入其他計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。在計(jì)算機(jī)連接入網(wǎng)時(shí)，啟動(dòng)了一些網(wǎng)絡(luò)應(yīng)用程序后，實(shí)際上也打開(kāi)了一條安全缺口，這時(shí)，除非使用者禁止啟動(dòng)此程序或?qū)Π踩渲眠M(jìn)行正確配置，

否則計(jì)算機(jī)系統(tǒng)始終存在安全隱患。

（3）計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的最大致命因素。它是人為制造的一種影響計(jì)算機(jī)正常運(yùn)行、破壞計(jì)算機(jī)內(nèi)的文件數(shù)據(jù)，并且能夠自我復(fù)制的惡意程序代碼。就像現(xiàn)實(shí)生活中的病毒一樣具有傳染性、隱蔽性、復(fù)制性、潛伏性和破壞性，同時(shí)有可觸發(fā)性這一特有的特性。這些特性就容易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全存在嚴(yán)重隱患。

（4）木馬攻擊。無(wú)論是計(jì)算機(jī)的硬件還是軟件，制造者們?yōu)榱四軌蜻M(jìn)行非授權(quán)訪問(wèn)會(huì)故意在軟、硬件上設(shè)置訪問(wèn)口令，即后門(mén)，木馬就是一種特殊的后門(mén)程序。在計(jì)算機(jī)聯(lián)網(wǎng)的情況下，通過(guò)木馬黑客可以無(wú)授權(quán)且隱蔽地來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)或控制計(jì)算機(jī)。也正是如此，計(jì)算機(jī)網(wǎng)絡(luò)存在嚴(yán)重的安全威脅，并且這一威脅還處于潛在的。

（5）黑客。黑客是精通編程語(yǔ)言和計(jì)算機(jī)系統(tǒng)，對(duì)計(jì)算機(jī)有很深的研究的電腦專家，他們通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，利用計(jì)算機(jī)系統(tǒng)或應(yīng)用軟件的安全漏洞非法訪問(wèn)或控制計(jì)算機(jī)，以此來(lái)破壞系統(tǒng)，竊取資料等一些惡意行為，可以說(shuō)對(duì)計(jì)算機(jī)的安全，黑客比計(jì)算機(jī)病毒更具危害。

二、網(wǎng)絡(luò)安全防范相關(guān)技術(shù)

（1）入侵預(yù)防技術(shù)。現(xiàn)在有很多針對(duì)入侵進(jìn)行檢測(cè)的產(chǎn)品，但是這些入侵檢測(cè)產(chǎn)品只是被動(dòng)的進(jìn)行檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)有無(wú)受到攻擊，甚至有時(shí)也會(huì)有些誤檢測(cè)引起防火墻的錯(cuò)誤操作，使之影響整個(gè)網(wǎng)絡(luò)系統(tǒng)。這時(shí)我們需要更高一級(jí)的入侵預(yù)防技術(shù)來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。入侵預(yù)防技術(shù)與傳統(tǒng)的入侵檢測(cè)程序最大的不同就是入侵預(yù)防技術(shù)根據(jù)預(yù)先設(shè)定好的防范規(guī)則，以此來(lái)判斷哪些行為是可以通過(guò)的，哪些行為是帶有威脅性的，并且一旦發(fā)現(xiàn)有可疑的入侵行為，入侵預(yù)防技術(shù)會(huì)積極主動(dòng)地進(jìn)行攔截或清除此系統(tǒng)行為。入侵預(yù)防技術(shù)安全地架構(gòu)了一個(gè)防范網(wǎng)絡(luò)安全的應(yīng)用軟件，它加強(qiáng)了用戶桌面系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的安全。從入侵預(yù)防技術(shù)的特點(diǎn)來(lái)說(shuō)，入侵預(yù)防置于服務(wù)器前面，防火墻的后面是最佳選擇。

（2）防范計(jì)算機(jī)病毒的安全技術(shù)。計(jì)算機(jī)病毒具有的隱蔽性強(qiáng)、復(fù)制能力快、潛伏時(shí)間長(zhǎng)、傳染性快、破壞能力大、針對(duì)性強(qiáng)等特點(diǎn)，應(yīng)用的主要技術(shù)有“后門(mén)”攻擊、無(wú)線電、數(shù)據(jù)控制鏈接攻擊、“固化”的方式，針對(duì)這些特性防范計(jì)算機(jī)病毒的安全技術(shù)操作，我們應(yīng)該注意幾個(gè)方面的內(nèi)容，第一、安裝有層次級(jí)別的防病毒軟件，對(duì)計(jì)算機(jī)實(shí)施全方位的保護(hù)措施。第二、對(duì)光盤(pán)、U盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)中的內(nèi)容進(jìn)行防毒殺毒措施。第三、對(duì)從網(wǎng)絡(luò)上下載的文件資料或郵件進(jìn)行病毒查殺。第四、定期升級(jí)病毒庫(kù)，定期對(duì)計(jì)算機(jī)進(jìn)行查殺。

（3）采用防火墻技術(shù)。為了保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性，可以與其他安全防范技術(shù)相配合使用的一個(gè)技術(shù)就是防火墻技術(shù)。防火墻是一種用于加強(qiáng)網(wǎng)絡(luò)與網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部非法授權(quán)用戶訪問(wèn)內(nèi)部的網(wǎng)絡(luò)信息的應(yīng)用軟件。防火墻的主要工作就是掃描所有經(jīng)過(guò)它進(jìn)入的外網(wǎng)網(wǎng)絡(luò)通信數(shù)據(jù)，過(guò)濾具有威脅性的攻擊信息數(shù)據(jù)，并且關(guān)閉不開(kāi)啟的端口禁止數(shù)據(jù)流的進(jìn)出，同時(shí)封鎖木馬禁止可疑站點(diǎn)的訪問(wèn)，防止非法授權(quán)用戶的入侵，并且監(jiān)控網(wǎng)絡(luò)的使用情況，記錄和統(tǒng)計(jì)有無(wú)非法操作的行為。它主要是用來(lái)邏輯隔離計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)網(wǎng)和外網(wǎng)，所以通常安裝在連接內(nèi)網(wǎng)與外網(wǎng)的節(jié)點(diǎn)上，所以防火墻又有防外不防內(nèi)的局限性。網(wǎng)絡(luò)管理員通常是把防火墻技術(shù)和其他的安全防范技術(shù)配合使用，能更好地保護(hù)網(wǎng)絡(luò)的安全使用。并且防火墻設(shè)置上要冗余多變，單點(diǎn)設(shè)置易使網(wǎng)絡(luò)出現(xiàn)故障，如果內(nèi)網(wǎng)與外網(wǎng)出現(xiàn)連通故障，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)的交流通訊。

（4）漏洞掃描技術(shù)。漏洞掃描技術(shù)的主要技術(shù)有Ping掃描、端口掃描、脆弱點(diǎn)探測(cè)，OS探測(cè)。它們根據(jù)要實(shí)現(xiàn)的不同目標(biāo)運(yùn)用不同的工作原理。在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中，通過(guò)Ping掃描來(lái)確定目標(biāo)主機(jī)的IP地址，通過(guò)端口掃描來(lái)確定主機(jī)所開(kāi)啟的端口及該端口的網(wǎng)絡(luò)服務(wù)，并且用脆弱點(diǎn)探測(cè)和OS探測(cè)進(jìn)行掃描，所得結(jié)果與網(wǎng)絡(luò)漏洞掃描系統(tǒng)所提供的漏洞庫(kù)進(jìn)行特征匹配，以此確定有無(wú)漏洞存在。這種漏洞的特征匹配方法必須對(duì)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置特征規(guī)則的漏洞庫(kù)進(jìn)行不斷的擴(kuò)充和修正，即時(shí)更新漏洞庫(kù)，讓漏洞庫(kù)信息完整、有效、簡(jiǎn)易。

第3篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】云計(jì)算環(huán)境；網(wǎng)絡(luò)安全；防范技術(shù)

隨著當(dāng)前社會(huì)經(jīng)濟(jì)的逐漸發(fā)展，網(wǎng)絡(luò)技術(shù)的通信能力和計(jì)算機(jī)技術(shù)水平也在不斷加強(qiáng)，網(wǎng)絡(luò)問(wèn)題也成為了越來(lái)越多人關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)安全問(wèn)題涉及的范圍較為廣泛，包括了網(wǎng)絡(luò)使用的安全可靠性、網(wǎng)絡(luò)軟件的實(shí)施安全、以及網(wǎng)絡(luò)信息安全等等方面。筆者主要分析當(dāng)前經(jīng)濟(jì)現(xiàn)狀對(duì)網(wǎng)絡(luò)安全在云計(jì)算環(huán)境下引發(fā)的一系列問(wèn)題，有效提出相應(yīng)策劃方案，從根本上提高網(wǎng)絡(luò)安全性和云計(jì)算的工作運(yùn)行質(zhì)量。

一、網(wǎng)絡(luò)安全在云計(jì)算環(huán)境下的主要影響要素

云計(jì)算技術(shù)的主要發(fā)展是把計(jì)算內(nèi)容分布于由計(jì)算機(jī)構(gòu)建的各個(gè)資源平臺(tái)中，有助于網(wǎng)絡(luò)用戶更好地進(jìn)行計(jì)算、貯存信息等快捷服務(wù)，雖然云計(jì)算為人們帶來(lái)了不少便利，但云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題依舊不容忽視。當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全方面還缺乏相應(yīng)的治理策略，用戶在訪問(wèn)網(wǎng)站的同時(shí)，基于各大網(wǎng)站不同的防火墻，網(wǎng)絡(luò)權(quán)限也在不斷被擴(kuò)展，一旦某網(wǎng)站被一些不法分子控制，這也將會(huì)成為網(wǎng)絡(luò)風(fēng)險(xiǎn)中的一大隱患。另一方面，網(wǎng)絡(luò)系統(tǒng)的幾個(gè)方面都存在著脆弱和不牢靠的情況。一是數(shù)據(jù)庫(kù)的薄弱，在信息的儲(chǔ)存上，數(shù)據(jù)庫(kù)是最主要的主干，其決定著信息的完整性、保密性和可靠性幾點(diǎn)，如果網(wǎng)絡(luò)系統(tǒng)出現(xiàn)了用戶信息遭竊取，就會(huì)給信息安全帶來(lái)很嚴(yán)重的影響。二是通信系統(tǒng)的不完善和脆弱，如一些E-mail、FTP等等存在著相應(yīng)的漏洞，這也在一定程度上成為了黑客利用的工具。三是計(jì)算機(jī)操作系統(tǒng)上的不足，在一些特定的情況下，當(dāng)計(jì)算機(jī)受到黑客的攻擊，而且在攻擊之后也無(wú)法留下相關(guān)痕跡，不會(huì)影響到網(wǎng)絡(luò)用戶對(duì)于數(shù)據(jù)的獲取，這在網(wǎng)絡(luò)系統(tǒng)中也是一大安全問(wèn)題。網(wǎng)絡(luò)的環(huán)境較為復(fù)雜，無(wú)論是生活還是學(xué)習(xí)，包括如今社會(huì)的衣食住行，都離不開(kāi)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)，計(jì)算機(jī)的云計(jì)算也在逐漸遍布家家戶戶，網(wǎng)絡(luò)信息的運(yùn)用者群體也在不斷增加，這也導(dǎo)致了網(wǎng)絡(luò)風(fēng)險(xiǎn)因素在不斷擴(kuò)大，比較常見(jiàn)的有網(wǎng)絡(luò)欺詐行為、黑客病毒的入侵等等，都對(duì)網(wǎng)絡(luò)用戶人身財(cái)產(chǎn)安全造成威脅。

二、云計(jì)算環(huán)境下常用的網(wǎng)絡(luò)安全技術(shù)

2.1反病毒技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)病毒在當(dāng)今時(shí)代已不是一件新鮮事了，隨著計(jì)算機(jī)水平的提高，網(wǎng)絡(luò)病毒也在不斷更新，為了有效預(yù)防和抵制病毒，避免病毒給計(jì)算機(jī)系統(tǒng)造成更深層次的風(fēng)險(xiǎn)，也研究出了新的技術(shù)，如反病毒技術(shù)，此技術(shù)一般有兩種形式，一是靜態(tài)反病毒模式，這種方式主要針對(duì)的是網(wǎng)絡(luò)技術(shù)實(shí)施過(guò)程中的檢測(cè)和管理，按照網(wǎng)絡(luò)具體的運(yùn)行情況來(lái)分析病毒的存在特征，從而保證了用戶信息的安全；二是動(dòng)態(tài)反病毒模式，這種技術(shù)方法有著非常好的防控病毒效果，而且防控病毒的技術(shù)資源需要與大眾資源配置都十分接近，方便可行，能有效地加強(qiáng)病毒防控，保證信息資源的完整性。2.2智能防火墻技術(shù)較于傳統(tǒng)的防火墻，智能防火墻技術(shù)沒(méi)有采用數(shù)據(jù)過(guò)濾的體系原則，而是采用模糊數(shù)據(jù)庫(kù)的檢索功能，然后依據(jù)人工智能識(shí)別的技術(shù)，對(duì)數(shù)據(jù)規(guī)則進(jìn)行動(dòng)態(tài)化的模糊識(shí)別，運(yùn)用這種新型技術(shù)方式，對(duì)網(wǎng)絡(luò)安全實(shí)況進(jìn)行具體的分析，及時(shí)將需要保護(hù)的網(wǎng)絡(luò)安全數(shù)據(jù)計(jì)算出來(lái)，為用戶提供一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境。智能防火墻技術(shù)一般分為以下三種：1、防掃描技術(shù)掃描技術(shù)是計(jì)算機(jī)被病毒入侵，內(nèi)部發(fā)生一定紊亂，其各項(xiàng)信息將會(huì)被惡意掃描的形式竊取，智能防火墻在這里的合理運(yùn)用，可以有效地預(yù)防黑客入侵，阻止網(wǎng)絡(luò)信息被包裝和掃描，進(jìn)而強(qiáng)化信息數(shù)據(jù)的安全性。2、入侵防御網(wǎng)絡(luò)用戶在訪問(wèn)網(wǎng)站時(shí)，經(jīng)常會(huì)出現(xiàn)數(shù)據(jù)包侵入主機(jī)的現(xiàn)象，這樣的隱患一旦出現(xiàn)，就會(huì)危害到用戶的正常數(shù)據(jù)，用戶很難再進(jìn)行數(shù)據(jù)的使用，而智能防火墻可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)加以防護(hù)，將數(shù)據(jù)安全的等級(jí)進(jìn)行提升。3、防欺騙技術(shù)在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)，還會(huì)經(jīng)常出現(xiàn)MAC地址、裝作IP地址進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)中的情況，在智能防火墻的使用中，可以有效地限制MAC地址，從而避免入侵帶來(lái)的危害，提高網(wǎng)絡(luò)信息安全的系數(shù)。2.3加密技術(shù)在云計(jì)算的環(huán)境下，加密技術(shù)是一項(xiàng)必不可少的重要網(wǎng)絡(luò)技術(shù)，這種技術(shù)主要被用于計(jì)算機(jī)網(wǎng)絡(luò)的防御中，通常采用加密算法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息加以控制，將其轉(zhuǎn)換為無(wú)法被第三方而已獲取的信息數(shù)據(jù)，添加密鑰，想要獲取必須使用正確的密鑰才可以打開(kāi)，這也大大提升了網(wǎng)絡(luò)數(shù)據(jù)的安全性和可靠性。加密技術(shù)在云計(jì)算環(huán)境下的實(shí)施中，一般有兩種常用技術(shù)體現(xiàn)，對(duì)稱加密和非對(duì)稱加密技術(shù)，前者主要采用DES加密技術(shù)，后者主要運(yùn)用了PKI技術(shù)與DES緩和等等技術(shù)。

三、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在云計(jì)算環(huán)境下的防范策略

作為網(wǎng)絡(luò)技術(shù)的使用者，網(wǎng)絡(luò)用戶需要提高在日常上網(wǎng)中的安全防范意識(shí)，制定相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全基本戰(zhàn)略目標(biāo)。首先，需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用采用實(shí)名身份認(rèn)證，使用網(wǎng)絡(luò)授權(quán)，對(duì)主體內(nèi)容加以明確和分析，這也可以在一定程度上為計(jì)算機(jī)網(wǎng)絡(luò)用戶提供安全性能的保障。在計(jì)算機(jī)網(wǎng)絡(luò)的使用中，也要強(qiáng)化監(jiān)管功能，及時(shí)確保網(wǎng)絡(luò)安全技術(shù)上的安全，做到及時(shí)性和全面性的檢查，對(duì)云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)中易出現(xiàn)的安全問(wèn)題進(jìn)行認(rèn)真分析、科學(xué)化整理，積累相關(guān)的經(jīng)驗(yàn)，并對(duì)這些漏洞提出有效的應(yīng)對(duì)和抵御方案，避免不良因素的影響。對(duì)于未經(jīng)授權(quán)惡意篡改用戶信息的行為，要制定相關(guān)的網(wǎng)絡(luò)安全制度來(lái)加以控制，只有在制定上有一定支撐，才可以體現(xiàn)網(wǎng)絡(luò)違法行為的代價(jià)，另外也需要更大力度上提升網(wǎng)民的安全隱患意識(shí)，相關(guān)部門(mén)應(yīng)加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)開(kāi)投入，有效地保證計(jì)算機(jī)數(shù)據(jù)安全在云計(jì)算環(huán)境下得到合理、有效地提升。最后在保證網(wǎng)絡(luò)數(shù)據(jù)完整性的前提下，對(duì)相關(guān)的網(wǎng)絡(luò)技術(shù)進(jìn)行創(chuàng)新和完善，找尋更加科學(xué)和高效的技術(shù)，網(wǎng)絡(luò)研究人員也要不斷地提升自我綜合素質(zhì)，在分析和探討的過(guò)程中積極開(kāi)發(fā)，為網(wǎng)絡(luò)安全的檢測(cè)提供更加合理有效的策略。開(kāi)發(fā)新的安全防御技術(shù)也是很有必要的，以避免出現(xiàn)更多的計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)。

四、總結(jié)

隨著社會(huì)科技的不斷進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也在逐步發(fā)展，但在云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全仍舊存在諸多不足和風(fēng)險(xiǎn)，要想發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)中的重要促進(jìn)作用，就必須加強(qiáng)網(wǎng)絡(luò)安全防控措施，合理運(yùn)用各項(xiàng)安全防范技術(shù)來(lái)保障網(wǎng)絡(luò)信息的安全，為網(wǎng)絡(luò)提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境，并且在網(wǎng)絡(luò)監(jiān)管工作上加強(qiáng)力度，有效提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)

[1]宋歌.網(wǎng)絡(luò)安全技術(shù)在云計(jì)算環(huán)境下的探討[J].無(wú)線互聯(lián)科技,2016,(21):33-34+60.

[2]肖澤.云計(jì)算環(huán)境下網(wǎng)絡(luò)安全防范技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,(01):54+56.

[3]朱睿.探索云計(jì)算環(huán)境下網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)路徑[J].數(shù)字技術(shù)與應(yīng)用,2015,(04):193.

[4]閆盛,石淼.基于云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,(23):168+170.

第4篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 安全隱患 安全防御策略

隨著時(shí)展與互聯(lián)網(wǎng)普及應(yīng)用的推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在人們的日常生活工作中已占據(jù)愈發(fā)重要的地位與用途，從家居電器到證喚灰錐加屑撲慊網(wǎng)絡(luò)技術(shù)的應(yīng)用與存在，為人們的生活便利與高效工作提供著不可或缺的網(wǎng)絡(luò)數(shù)據(jù)資源。但隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用，其網(wǎng)絡(luò)安全隱患的問(wèn)題也日益突出，威脅著應(yīng)用網(wǎng)絡(luò)技術(shù)的居民、企業(yè)的隱私和商業(yè)機(jī)密安全。一旦出現(xiàn)隱私或商業(yè)秘密的泄漏或破壞問(wèn)題，將給居民企業(yè)的生活穩(wěn)定與經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害。因此筆者以計(jì)算網(wǎng)絡(luò)技術(shù)為研究對(duì)象，就其發(fā)展做闡述概論，并對(duì)其技術(shù)所存在的安全隱患與具體的防御策略做細(xì)致的分析探討。

1 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是指以計(jì)算機(jī)為載體的互聯(lián)網(wǎng)應(yīng)用技術(shù)，其技術(shù)基礎(chǔ)是通過(guò)將各地域的計(jì)算機(jī)設(shè)備以通信線路相互串聯(lián)銜接，并經(jīng)由用戶的網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)管理軟件與通信協(xié)議達(dá)到互聯(lián)網(wǎng)數(shù)據(jù)傳輸與資源信息共享的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)即是為用戶的網(wǎng)絡(luò)系統(tǒng)與信息的有效使用提供保障的技術(shù)手段。其技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用推廣，表明我國(guó)現(xiàn)代信息化社會(huì)已進(jìn)入一個(gè)新的發(fā)展時(shí)期，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)成為人們生活與工作中不可或缺的手段，并為人們建立信息交流與互動(dòng)的網(wǎng)絡(luò)平臺(tái)，幫助提高其工作效率與質(zhì)量。伴隨計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在社會(huì)應(yīng)用中的快速發(fā)展，其存在的安全隱患開(kāi)始顯露并日漸影響網(wǎng)絡(luò)用戶的信息安全，因此為確保計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的繼續(xù)進(jìn)步與發(fā)展，為人們工作與社會(huì)建設(shè)提供助力，既需要從網(wǎng)絡(luò)技術(shù)所存在的安全隱患入手分析其成因，采取針對(duì)性的安全防御策略。

2 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)所存在的安全隱患及成因

2.1 計(jì)算機(jī)網(wǎng)絡(luò)共享、開(kāi)放性帶來(lái)的惡意攻擊問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)通過(guò)其開(kāi)放、自由與共享的特性為網(wǎng)絡(luò)用戶提供著便利豐富的數(shù)據(jù)信息服務(wù)，但同時(shí)其特征也給用戶的用網(wǎng)安全帶來(lái)安全隱患。互聯(lián)網(wǎng)本身的開(kāi)放性令其容易遭受到惡意的網(wǎng)絡(luò)攻擊，其攻擊包括通過(guò)本地網(wǎng)絡(luò)或網(wǎng)絡(luò)通信協(xié)議的惡意技術(shù)攻擊，進(jìn)而因計(jì)算機(jī)軟件、硬件的漏洞被實(shí)施攻擊造成用戶隱私與機(jī)密數(shù)據(jù)丟失損壞。同時(shí)利益的驅(qū)動(dòng)誘使許多不法分子利用計(jì)算機(jī)網(wǎng)絡(luò)惡意攻擊其余用戶，通過(guò)盜取其隱私機(jī)密獲取不法所得，給網(wǎng)絡(luò)用戶帶來(lái)極大的經(jīng)濟(jì)利益損失。

2.2 系統(tǒng)軟件漏洞與防火墻的局限性

由于技術(shù)更新的滯后性原因，計(jì)算機(jī)網(wǎng)絡(luò)軟件都或多或少存在某些設(shè)計(jì)漏洞，很容易為不法分子所利用，并危及用戶網(wǎng)絡(luò)安全。目前，相當(dāng)一部分網(wǎng)絡(luò)安全被侵犯事件就是因用戶的安全防范意識(shí)不足，在軟件顯現(xiàn)漏洞后未及時(shí)對(duì)其做修護(hù)或更新升級(jí)，造成用戶隱私數(shù)據(jù)為不法分子通過(guò)漏洞竊取破壞。而防火墻作為用戶內(nèi)部網(wǎng)絡(luò)安全提供組織外部攻擊的屏障，也有自身的局限性，防火墻無(wú)法預(yù)防本地網(wǎng)絡(luò)內(nèi)部的惡意攻擊與計(jì)算機(jī)病毒，也難以阻止傳送有病毒或攻擊軟件文件進(jìn)入用戶計(jì)算機(jī)，給用戶計(jì)算機(jī)網(wǎng)絡(luò)安全造成危害。

3 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全防御技術(shù)與策略分析

3.1 信息加密技術(shù)與防御策略

信息加密技術(shù)是保護(hù)計(jì)算機(jī)信息數(shù)據(jù)安全的核心技術(shù)措施之一，經(jīng)由對(duì)敏感隱私信息與機(jī)密數(shù)據(jù)的加密化處理，以確保本地計(jì)算機(jī)的數(shù)據(jù)安全與傳輸信息的可靠，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全處理與應(yīng)用。目前較為常用的信息加密技術(shù)主要有線路加密與端到端加密兩類方式，針對(duì)不同的信息類型與傳輸情況，采取對(duì)應(yīng)的加密技術(shù)以及加密密鑰等手段，為數(shù)據(jù)保存?zhèn)鬏斕峁┌踩Ｕ希员苊庥脩粜畔G失或遭盜取引發(fā)的損害。

3.2 病毒防火墻的設(shè)置防御策略

如前文所言，防火墻的一大局限就在于對(duì)計(jì)算機(jī)病毒難以進(jìn)行防范與過(guò)濾，因此需加強(qiáng)對(duì)本地網(wǎng)絡(luò)中各文件、軟件的定期掃描檢測(cè)頻率。通過(guò)在網(wǎng)絡(luò)服務(wù)器與主機(jī)上分別安裝設(shè)置病毒防火墻或殺毒軟件，確保為計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用安全。同時(shí)在防火墻中應(yīng)強(qiáng)化對(duì)網(wǎng)絡(luò)目錄與文件的訪問(wèn)權(quán)限限制，達(dá)到對(duì)病毒安全隱患的提前甄別與攔截。

3.3 數(shù)據(jù)信息備份的防御策略

用戶在平時(shí)使用主機(jī)與互聯(lián)網(wǎng)時(shí)，應(yīng)培養(yǎng)建立對(duì)關(guān)鍵數(shù)據(jù)信息及時(shí)備份的良好習(xí)慣，通過(guò)將重要信息數(shù)據(jù)以光盤(pán)、U盤(pán)等工具備份保存的方式，保護(hù)計(jì)算機(jī)信息數(shù)據(jù)的安全，避免因計(jì)算機(jī)被侵犯而引發(fā)的數(shù)據(jù)丟失問(wèn)題。同時(shí)在主機(jī)因意外故障出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題時(shí)，用戶也可用所備份的數(shù)據(jù)為計(jì)算機(jī)做信息恢復(fù)，是防止計(jì)算機(jī)數(shù)據(jù)意外丟失最為簡(jiǎn)便快捷的防御手段。常用的備份手段包括數(shù)據(jù)庫(kù)備份、增量備份，或是以RAID5手段予以計(jì)算機(jī)系統(tǒng)實(shí)時(shí)熱備份，以確保用戶儲(chǔ)存?zhèn)鬏數(shù)臄?shù)據(jù)信息完整、安全。

3.4 計(jì)算機(jī)網(wǎng)絡(luò)安全管理防御策略

要切實(shí)保證用戶計(jì)算機(jī)網(wǎng)絡(luò)安全，除了各類網(wǎng)絡(luò)技術(shù)的應(yīng)用外，還需從網(wǎng)絡(luò)管理角度入手，為用戶互聯(lián)網(wǎng)使用提供安全保障。管理與技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全兩大重要構(gòu)成部分，有效的安全管理為計(jì)算機(jī)安全技術(shù)的合理使用提供合理規(guī)劃與準(zhǔn)確指導(dǎo)。通過(guò)建立計(jì)算機(jī)網(wǎng)絡(luò)安全管理策略，為用戶網(wǎng)絡(luò)安全提出具體的要求標(biāo)準(zhǔn)，以及各類隱患問(wèn)題設(shè)定可采取的原則措施。并且計(jì)算機(jī)網(wǎng)絡(luò)安全管理的效果不僅決定其所采取的技術(shù)措施，同時(shí)也依賴管理規(guī)范的實(shí)施執(zhí)行力度，只有對(duì)安全管理建立起足夠的重視并切實(shí)在網(wǎng)絡(luò)安全中予以實(shí)行，才能為計(jì)算機(jī)網(wǎng)絡(luò)信息安全提供更為堅(jiān)實(shí)的保障，避免其關(guān)鍵數(shù)據(jù)信息因管理疏忽或不到位造成的泄漏。

4 結(jié)束語(yǔ)

伴隨我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展與應(yīng)用，其技術(shù)已深入到人們的日常生活與工作之中，為其提供著極大的便利與幫助。但正因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)如此重要的影響力，對(duì)其所存在的安全隱患就更需格外注意與防范。針對(duì)其技術(shù)隱患的各類成因與特征，采取針對(duì)性的安全防御策略，才能最大限度減少網(wǎng)絡(luò)安全事故的產(chǎn)生，并為人們應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)提供高效的安全保障。

參考文獻(xiàn)

[1]張偉杰.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展及安全防御策略分析[J].河南科技，2014（21）：4.

[2]李偉彥.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用及安全防御探析[J].職業(yè)，2016（12）：150.

[3]馮媛媛.計(jì)算機(jī)網(wǎng)絡(luò)防御策略關(guān)鍵技術(shù)研究[J].數(shù)字技術(shù)與應(yīng)用，2016（04）：202.

第5篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】防火墻；網(wǎng)絡(luò)；安全技術(shù)

如何更好地促進(jìn)網(wǎng)絡(luò)的有效運(yùn)行，保障網(wǎng)絡(luò)的安全環(huán)境，在很大程度上取決于防火墻的設(shè)置。網(wǎng)絡(luò)安全問(wèn)題成為了人們關(guān)注的焦點(diǎn)，防火墻可以說(shuō)是解決網(wǎng)絡(luò)安全問(wèn)題最有效方式。

1.防火墻的概念

防火墻指的是在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道隔離防御系統(tǒng)。應(yīng)用防火墻最重要的目的就是通過(guò)對(duì)網(wǎng)絡(luò)入、出環(huán)節(jié)的控制，促使各項(xiàng)環(huán)節(jié)都需要經(jīng)過(guò)防火墻檢查，進(jìn)而有效預(yù)防網(wǎng)絡(luò)遭到外來(lái)因素的破壞與干擾，進(jìn)一步達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)不受非法訪問(wèn)的目的。在本質(zhì)上來(lái)講，防火墻就是一種控制、隔離技術(shù)，在不安全的網(wǎng)絡(luò)環(huán)境中積極構(gòu)建相對(duì)安全的網(wǎng)絡(luò)內(nèi)部環(huán)境。站在邏輯層面來(lái)分析，防火墻不僅是一個(gè)限制器，還是一個(gè)分析器，防火墻要求所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)安全計(jì)劃或策略確定，與此同時(shí)，在邏輯上對(duì)內(nèi)外網(wǎng)絡(luò)進(jìn)行分離。目前來(lái)說(shuō)，有的防火墻通過(guò)軟件的方式在計(jì)算機(jī)上運(yùn)行，有的防火墻以硬件形式固定在路由器中。從整體上來(lái)說(shuō)，常用的防火墻分為三種：①包過(guò)濾防火墻。②服務(wù)器。③狀態(tài)監(jiān)視技術(shù)。

防火墻功能具有如下功能：①提高網(wǎng)絡(luò)安全性能，防火墻的應(yīng)用，能大幅度提升內(nèi)部網(wǎng)絡(luò)的安全性能，降低安全風(fēng)險(xiǎn)。防火墻還能夠保護(hù)網(wǎng)絡(luò)避免來(lái)自路由的攻擊。防火墻能夠拒絕各種不安全因素，并通知管理員。②強(qiáng)化網(wǎng)絡(luò)安全，相對(duì)于傳統(tǒng)的將安全問(wèn)題分散到不同主機(jī)上的方式相比較，這種集中安全管理的防火墻更加經(jīng)濟(jì)、安全。③監(jiān)控網(wǎng)絡(luò)訪問(wèn)與存取，防火墻的應(yīng)用，能夠有效記錄各種網(wǎng)絡(luò)活動(dòng)的開(kāi)展，并且，對(duì)于可疑性的網(wǎng)絡(luò)活動(dòng)進(jìn)行報(bào)警。能夠?yàn)榫W(wǎng)絡(luò)管理員提供全面的信息。一旦防火墻監(jiān)控到可疑動(dòng)作，就會(huì)自動(dòng)報(bào)警，并提供攻擊與監(jiān)測(cè)的具體信息。④保護(hù)內(nèi)部信息不被泄露。通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)與劃分，能夠?qū)崿F(xiàn)對(duì)內(nèi)部重點(diǎn)網(wǎng)絡(luò)的保護(hù)與隔離，進(jìn)一步降低重點(diǎn)局部網(wǎng)絡(luò)安全問(wèn)題對(duì)于整個(gè)局域網(wǎng)內(nèi)部的影響，有效保護(hù)內(nèi)部信息不被泄露。

2.基于防火墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)

2.1選擇防火墻

作為一種網(wǎng)絡(luò)完全的有效防護(hù)方式，防火墻有多種類型的實(shí)現(xiàn)方式。在合理選擇防火墻之前，需要全面的進(jìn)行風(fēng)險(xiǎn)分析、需求分析，并進(jìn)一步制定安全防范策略，針對(duì)性的選擇防護(hù)方式，盡可能保持安全政策與防護(hù)方式的統(tǒng)一性。

2.2全面考慮防火墻失效并進(jìn)行動(dòng)態(tài)維護(hù)

在評(píng)價(jià)防火墻安全性以及性能過(guò)程中，一方面需要看防火墻工作是否正常，一方面需要看起能否阻擋非法訪問(wèn)或惡意攻擊。如果防火墻被攻破，其狀態(tài)是怎樣的。按照一定的級(jí)別來(lái)劃分，失效有四種情況：①在沒(méi)有受到攻破時(shí)能進(jìn)行正常工作。②在受到傷害時(shí)可以重新啟動(dòng)，并恢復(fù)到之前的工作界面。③禁止與關(guān)閉所有通行的數(shù)據(jù)。④關(guān)閉且允許數(shù)據(jù)繼續(xù)通行。第一種與第二種狀態(tài)比較理想化，第四種狀態(tài)最不安全。在選擇防火墻過(guò)程中，需要驗(yàn)證其失效狀態(tài)，并進(jìn)行準(zhǔn)確評(píng)估。在安裝防火墻以及防火墻投入以后，需要對(duì)其運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)性維護(hù)，對(duì)其發(fā)展動(dòng)態(tài)進(jìn)行維護(hù)與跟蹤，時(shí)刻保持商家動(dòng)態(tài)并與之保持聯(lián)系。一旦商家發(fā)現(xiàn)安全漏洞，就會(huì)積極推出補(bǔ)救措施，及時(shí)更新防火墻。

2.3全面指定防火墻可靠規(guī)則集

可靠規(guī)則集的制定是實(shí)現(xiàn)安全、成功防火墻的關(guān)鍵性步驟。如果防火墻的歸集不正確，再?gòu)?qiáng)大的防火墻也起不到任何作用。第一，制定安全性策略，上級(jí)管理人員制定安全防范策略，防火墻是實(shí)施這一安全防范策略的工具。在制定規(guī)則集之前，必須全面掌握安全策略。建設(shè)其包含以下內(nèi)容：①內(nèi)部員工訪問(wèn)網(wǎng)絡(luò)不受限制。②外部用戶能夠使用email服務(wù)器與web服務(wù)器。③管理員能遠(yuǎn)程訪問(wèn)其系統(tǒng)。在實(shí)際上來(lái)說(shuō)，大部分部門(mén)的安全策略要遠(yuǎn)遠(yuǎn)超過(guò)上述內(nèi)容。第二，積極構(gòu)建安全體系，要想將一項(xiàng)安全策略積極轉(zhuǎn)化成技術(shù)。第一個(gè)內(nèi)容比較容易實(shí)現(xiàn)，內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)信息都允許在網(wǎng)絡(luò)上傳輸。對(duì)于第二項(xiàng)的安全策略來(lái)說(shuō)比較麻煩，需要建立email服務(wù)器與web服務(wù)器，因?yàn)樗械娜硕寄茉L問(wèn)email服務(wù)器與web服務(wù)器，因此，不能信任他們。鑒于此，可以將email服務(wù)器與web服務(wù)器放到DMZ中去實(shí)現(xiàn)。DMZ作為一個(gè)孤立的網(wǎng)絡(luò)，經(jīng)常存放不被信任的系統(tǒng)，該網(wǎng)絡(luò)中的系統(tǒng)無(wú)法連接、啟動(dòng)內(nèi)部網(wǎng)絡(luò)。第三項(xiàng)是必須讓管理員遠(yuǎn)程控制他人的訪問(wèn)系統(tǒng)，要想實(shí)現(xiàn)這一功能，可以通過(guò)加密服務(wù)的方式進(jìn)行。筆者建議在這一過(guò)程中需要加入DNS。在上述安全策略中雖然未陳述此項(xiàng)內(nèi)容，但是，在實(shí)際運(yùn)營(yíng)過(guò)程中需要積極提供該服務(wù)。第三，規(guī)則次序的制定，規(guī)則次序的制定非常重要。不同的規(guī)則次序排列相同的規(guī)則，可能會(huì)深刻改變防火墻的運(yùn)行情況。比如說(shuō)，大部分防火墻按照順序?qū)?shù)據(jù)包進(jìn)行檢查，收到第一個(gè)數(shù)據(jù)包與第一條規(guī)則相對(duì)應(yīng)，收到第二個(gè)數(shù)據(jù)包與第二條規(guī)則相對(duì)應(yīng)，一直進(jìn)行對(duì)應(yīng)。如果檢查到匹配選項(xiàng)，就會(huì)停止檢查。如果沒(méi)有找到相匹配的規(guī)則，就會(huì)拒絕這個(gè)數(shù)據(jù)包。一般來(lái)說(shuō)，比較特殊的規(guī)則應(yīng)該放在前面，比較普通的放在后面。通過(guò)這樣的方式，能有效避免防火墻的錯(cuò)誤配置。第四，落實(shí)規(guī)則集，一旦確認(rèn)了規(guī)則次數(shù)與安全防范策略，就要對(duì)規(guī)則集中的每條規(guī)則進(jìn)行落實(shí)。在實(shí)際落實(shí)過(guò)程中，需要注意以下幾個(gè)關(guān)鍵點(diǎn)。①將不必要的防火墻默認(rèn)服務(wù)切斷。②內(nèi)部網(wǎng)絡(luò)的所有人都能出網(wǎng)，任何服務(wù)都被允許，與安全策略規(guī)定相吻合。③增添鎖定規(guī)則，除了管理員之外，其他人員都不能訪問(wèn)防火墻。④將不匹配的數(shù)據(jù)包丟棄，且不記錄。⑤可以允許網(wǎng)絡(luò)用戶訪問(wèn)DNS。允許內(nèi)部用戶以及網(wǎng)絡(luò)用戶通過(guò)郵件傳遞協(xié)議訪問(wèn)郵件服務(wù)器。不允許內(nèi)部用戶對(duì)DMZ進(jìn)行公開(kāi)訪問(wèn)。允許內(nèi)部進(jìn)行POP訪問(wèn)。⑥拒絕、警告同時(shí)記錄DMZ到內(nèi)部用戶之間的通話。⑦管理員能夠通過(guò)加密方式進(jìn)行內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。⑧將最常用規(guī)則盡可能放到規(guī)則集上部，進(jìn)一步提升防火墻安全性能。

3.結(jié)語(yǔ)

新形勢(shì)下，加強(qiáng)給予防火墻墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)探析，對(duì)于提高網(wǎng)絡(luò)安全具有重要意義，為此，還需要對(duì)防火墻技術(shù)進(jìn)行深入探究，提高防火墻關(guān)鍵技術(shù)，保障網(wǎng)絡(luò)環(huán)境安全。[科]

【參考文獻(xiàn)】

［1］黃登璽，卿斯?jié)h，蒙楊.防火墻核心技術(shù)的研究和高安全等級(jí)防火墻的設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2011(02).

第6篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：等保測(cè)評(píng)；數(shù)據(jù)中心；基礎(chǔ)網(wǎng)絡(luò)

伴隨著互聯(lián)網(wǎng)中的應(yīng)用程序日漸豐富與多樣化，數(shù)據(jù)中心的基礎(chǔ)運(yùn)行環(huán)境由原來(lái)的C/S架構(gòu)逐漸向由通過(guò)網(wǎng)絡(luò)設(shè)備互聯(lián)的服務(wù)器集群的方面轉(zhuǎn)型。因此，由傳統(tǒng)的通過(guò)硬件、操作系統(tǒng)、操作系統(tǒng)之上的應(yīng)用系統(tǒng)所組成的基礎(chǔ)架構(gòu)變得越來(lái)越復(fù)雜。然而，這越來(lái)越復(fù)雜的結(jié)果導(dǎo)致即將轉(zhuǎn)型為數(shù)據(jù)中心的安全體系帶來(lái)了更多的風(fēng)險(xiǎn)與困難，一些數(shù)據(jù)中心的安全策略配置不當(dāng)或者不正確，往往都會(huì)給非法入侵者留下可被利用的后門(mén)或漏洞。盡管網(wǎng)絡(luò)管理員、系統(tǒng)管理員、系統(tǒng)安全員等相關(guān)負(fù)責(zé)人都已經(jīng)擁有相對(duì)較高的安全防護(hù)理念與意識(shí)，并通過(guò)不斷架設(shè)安全設(shè)備來(lái)保障數(shù)據(jù)中心的安全性與健壯性，但對(duì)于層出不窮和日益完善的黑客攻擊手段，這些傳統(tǒng)的防御理念和措施仍不足以保障數(shù)據(jù)中心的安全。因此，管理集約化、精細(xì)化的產(chǎn)物——數(shù)據(jù)集中就應(yīng)運(yùn)而生。目前國(guó)內(nèi)企業(yè)信息化建設(shè)、電子政務(wù)興起都將倚靠數(shù)據(jù)集中的蓬勃發(fā)展。同時(shí)，數(shù)據(jù)大集中以及大數(shù)據(jù)的推動(dòng)也必將倚靠數(shù)據(jù)中心的建設(shè)。作為網(wǎng)絡(luò)中資源最密集的載體、數(shù)據(jù)交換最頻繁的中心基礎(chǔ)網(wǎng)絡(luò)，數(shù)據(jù)中心無(wú)疑是一個(gè)充滿發(fā)展前景的新星產(chǎn)業(yè)。然而，數(shù)據(jù)中心由于是大數(shù)據(jù)的集合，必然包含無(wú)數(shù)信息與機(jī)密，對(duì)于數(shù)據(jù)中心上的任何防護(hù)漏洞必將導(dǎo)致無(wú)法計(jì)算的損失，因此構(gòu)筑一道完善且完整的安全防護(hù)體系將是其首要解決的問(wèn)題。

一、現(xiàn)有數(shù)據(jù)中心安全分析

1.1 針對(duì)應(yīng)用層面的攻擊。應(yīng)用層面的攻擊方式包括緩沖區(qū)代碼溢出、植入病毒、蠕蟲(chóng)攻擊、植入后門(mén)木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲(chóng)攻擊。蠕蟲(chóng)是指"通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓"[1]。從本質(zhì)上講，蠕蟲(chóng)可以在網(wǎng)絡(luò)中主動(dòng)進(jìn)行傳播，進(jìn)而對(duì)系統(tǒng)進(jìn)行破壞，而病毒則需要手工干預(yù)，比如利用外部存儲(chǔ)介質(zhì)的讀寫(xiě)、點(diǎn)擊非法鏈接而被植入病毒。1.2 針對(duì)網(wǎng)絡(luò)層面的攻擊。在數(shù)據(jù)中心中針對(duì)網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來(lái)已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見(jiàn)的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻擊程序有UDP反彈以及ICMP Smurf等方式。DDOS/DoS攻擊利用了TCP/IP的開(kāi)放性原則，即協(xié)議自身規(guī)定的從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包，導(dǎo)致DDOS/DOS利用合理的、海量的、不間斷的服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)、系統(tǒng)等可利用的資源，使得合法用戶無(wú)法獲取正常的服務(wù)響應(yīng)。隨著分布式技術(shù)的不斷的完善與改進(jìn)，及時(shí)在網(wǎng)絡(luò)和系統(tǒng)性能的大幅提升的今天，數(shù)以億計(jì)的主機(jī)同時(shí)對(duì)某一網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊，造成的后果不言而喻，最直接的影響即使網(wǎng)絡(luò)癱瘓、系統(tǒng)無(wú)法正常使用。1.3 針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。數(shù)據(jù)中心作為一個(gè)充滿發(fā)展前景的新星產(chǎn)業(yè)。又是大數(shù)據(jù)的集合，其中包含了無(wú)數(shù)信息與機(jī)密數(shù)據(jù)，即使安全設(shè)備部署的再完善，如果內(nèi)部管理不當(dāng)，依然會(huì)被攻破，而且來(lái)自內(nèi)部的攻擊更具破壞性。企業(yè)內(nèi)部的不法分子在充分了解數(shù)據(jù)中心的架構(gòu)與部署的前提下，不僅可以通過(guò)黑客技術(shù)繞過(guò)防火墻，還可以憑借對(duì)網(wǎng)絡(luò)構(gòu)架的充分了解，通過(guò)嗅探技術(shù)、違規(guī)訪問(wèn)、攻擊路由器/交換機(jī)設(shè)備等手段，訪問(wèn)非授權(quán)的數(shù)據(jù)，這將無(wú)疑對(duì)企業(yè)造成更為重大的損失。1.4 數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)原則。由于數(shù)據(jù)中心承載著其上用戶的所有機(jī)密數(shù)據(jù)、核心業(yè)務(wù)或核心技術(shù)，并且數(shù)據(jù)中心還為內(nèi)部之間提供數(shù)據(jù)之間的交換與業(yè)務(wù)之間的交互。因此，在構(gòu)建數(shù)據(jù)中心的網(wǎng)絡(luò)安全時(shí)，要從以下幾個(gè)方面進(jìn)行合理規(guī)劃與建設(shè)：1.4.1安全分區(qū)：要將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分為各個(gè)不同的安全區(qū)域，同時(shí)確保不同區(qū)域之間未經(jīng)許可不能訪問(wèn)，用戶和客戶機(jī)在對(duì)數(shù)據(jù)中心訪問(wèn)時(shí)只可以訪問(wèn)他可以訪問(wèn)的區(qū)域，禁止違規(guī)外聯(lián)和非法訪問(wèn)以及惡性的入侵攻擊。1.4.2性能保障：要通過(guò)建立高性能、可靠性高的網(wǎng)絡(luò)環(huán)境，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)耐暾裕瑫r(shí)可以利用CRC循環(huán)校驗(yàn)算法校驗(yàn)數(shù)據(jù)在網(wǎng)絡(luò)中的丟失情況，使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中加了雙重保險(xiǎn)。1.4.3技管并重：很多人會(huì)認(rèn)為，只要技術(shù)上有了足夠的保證，那么安全性必然有了保證。其實(shí)不然，正所謂系統(tǒng)的安全性保證都是三分靠技術(shù)，七分靠管理，技術(shù)層面設(shè)計(jì)得再優(yōu)良，也要有與之對(duì)應(yīng)的管理制度去推動(dòng)。1.4.4新近原則：及時(shí)汲取當(dāng)前最新的安全技術(shù)，以減輕安全管理的負(fù)擔(dān)為目標(biāo)，實(shí)現(xiàn)安全管理的自動(dòng)化，同時(shí)減小因?yàn)槿藶楣芾碚J(rèn)知上的漏洞對(duì)系統(tǒng)安全造成威脅。1.4.5平衡發(fā)展：在構(gòu)建數(shù)據(jù)中心的時(shí)候要充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全的共同協(xié)調(diào)發(fā)展，既要能滿足今后業(yè)務(wù)的擴(kuò)展，又要能夠?qū)崿F(xiàn)當(dāng)前技術(shù)與未來(lái)新技術(shù)的無(wú)縫鏈接，避免只滿足系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來(lái)障礙，或者為了擴(kuò)展業(yè)務(wù)而忽視了安全建設(shè)的情況發(fā)生。

二、數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)要求

2.1 物理安全設(shè)計(jì)要求

2.1.1 物理訪問(wèn)控制。機(jī)房存放著網(wǎng)絡(luò)設(shè)備、服務(wù)器、辦公環(huán)境以及信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)及相關(guān)設(shè)備場(chǎng)所，機(jī)房各出入口應(yīng)安排專人負(fù)責(zé)，記錄進(jìn)入的人員，劃分關(guān)鍵設(shè)備與非關(guān)鍵區(qū)域，區(qū)域之間通過(guò)玻璃隔斷實(shí)現(xiàn)物理隔離，關(guān)鍵區(qū)域采用智能卡和指紋識(shí)別的門(mén)禁系統(tǒng)，對(duì)進(jìn)入關(guān)鍵區(qū)域人員實(shí)現(xiàn)“雙道”鑒別。2.1.2 溫濕度控制。機(jī)房存放著不同業(yè)務(wù)系統(tǒng)的主機(jī)，由于主機(jī)在運(yùn)行時(shí)會(huì)產(chǎn)生大量的熱量，而保證良好機(jī)房環(huán)境的精密空調(diào)系統(tǒng)則成為不可獲取的必備設(shè)施。而機(jī)房精密空調(diào)系統(tǒng)就是為了保證公司內(nèi)部機(jī)房中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等一系列硬件設(shè)施能夠連續(xù)、穩(wěn)定、可靠地運(yùn)行，同時(shí)，精密空調(diào)系統(tǒng)還需要維持機(jī)房?jī)?nèi)恒溫恒濕狀態(tài)，防止靜電現(xiàn)象的產(chǎn)生導(dǎo)致設(shè)備的損壞。2.1.3 電力供應(yīng)。公司機(jī)房的其供電要求非常高，按照等級(jí)保護(hù)四級(jí)系統(tǒng)的要求應(yīng)采用UPS不間斷電源，以保證在機(jī)房斷電的同時(shí)，通過(guò)UPS不間斷的供電來(lái)保證機(jī)房?jī)?nèi)部實(shí)施的穩(wěn)定、正常運(yùn)行，為電力搶修贏得時(shí)間。同時(shí)其供配電系統(tǒng)應(yīng)采用N+1冗余并機(jī)技術(shù)以實(shí)現(xiàn)空調(diào)設(shè)備、動(dòng)力設(shè)備、照明設(shè)備、測(cè)試設(shè)備等設(shè)備的正常使用。2.1.4 動(dòng)力環(huán)境監(jiān)控系統(tǒng)。數(shù)據(jù)中心機(jī)房除了部署視頻監(jiān)控系統(tǒng)、UPS系統(tǒng)、消防系統(tǒng)、精密空調(diào)系統(tǒng)，還應(yīng)該部署水敏感檢測(cè)裝置、紅外告警裝置等，且所有系統(tǒng)統(tǒng)一集成動(dòng)力環(huán)境監(jiān)控系統(tǒng)中，方便機(jī)房管理員有效了解溫濕度、消防、電源、UPS等狀態(tài)以及告警信息，及時(shí)對(duì)告警信息進(jìn)行分析和處理。

2.2 網(wǎng)絡(luò)安全設(shè)計(jì)要求

2.2.1 區(qū)域邊界安全。應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查；應(yīng)逐步采用網(wǎng)絡(luò)準(zhǔn)入、終端控制、身份認(rèn)證、可信計(jì)算等技術(shù)手段，維護(hù)網(wǎng)絡(luò)邊界完整性。安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護(hù)措施，禁止任何穿越數(shù)據(jù)中心中不同業(yè)務(wù)之間邊界的通用網(wǎng)絡(luò)服務(wù)。 數(shù)據(jù)中心中的的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高安全性和高可靠性，禁止采用安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)功能。2.2.2 拒絕服務(wù)攻擊。在數(shù)據(jù)中心中針對(duì)網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來(lái)已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見(jiàn)的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，抵御DDOS/DOS的攻擊。2.2.3 網(wǎng)絡(luò)設(shè)備防護(hù)。實(shí)施工程師和客戶之間存在不可或缺交流的問(wèn)題，大部分實(shí)施工作以能夠“通信”為原則，忽略網(wǎng)絡(luò)設(shè)備安全防護(hù)的能力。設(shè)備應(yīng)該關(guān)閉使用多余接口、采用SSH V2作為遠(yuǎn)程管理協(xié)議、為不同管理員分配不同權(quán)限的賬號(hào)，實(shí)現(xiàn)“權(quán)限分離，多人賬號(hào)管理”根據(jù)業(yè)務(wù)的要求，制定詳細(xì)訪問(wèn)控制策略，提升網(wǎng)絡(luò)設(shè)備的安全性。2.2.4 惡意代碼防護(hù)。隨著技術(shù)的快速，數(shù)據(jù)中心網(wǎng)絡(luò)面臨各種可能性的攻擊。緩沖區(qū)代碼溢出、植入病毒、蠕蟲(chóng)攻擊、植入后門(mén)木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲(chóng)攻擊。蠕蟲(chóng)是指“通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”[1]。在數(shù)據(jù)中心網(wǎng)絡(luò)出口處部署惡意代碼防護(hù)系統(tǒng)，防止計(jì)算機(jī)病毒、木馬和蠕蟲(chóng)從網(wǎng)絡(luò)邊界處入侵而造成的傳播破壞，對(duì)惡意代碼進(jìn)行檢測(cè)和清除。2.2.5 入侵防護(hù)防御系統(tǒng)。隨著業(yè)務(wù)系統(tǒng)發(fā)展的需要，WEB服務(wù)器需要暴露公網(wǎng)環(huán)境中，隨時(shí)都面臨被攻擊的可能性。在DMZ邊界部署入侵防御系統(tǒng)，能夠阻止蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用，制定詳細(xì)入侵防范策略，修改默認(rèn)策略，發(fā)生攻擊行為時(shí)記錄日志。

2.3 安全審計(jì)設(shè)計(jì)要求

2.3.1 日志服務(wù)器。日志可以幫助我們分析設(shè)備是否正常，網(wǎng)絡(luò)是否健康，任何設(shè)備或系統(tǒng)都應(yīng)該建立完整的日志系統(tǒng)。部署日志服務(wù)器，對(duì)交換機(jī)、路由器、安全及相關(guān)設(shè)備運(yùn)行日志進(jìn)行集中收集， 便于管理員了解網(wǎng)絡(luò)運(yùn)行情況以及方便故障排除。2.3.2 安全審計(jì)。數(shù)據(jù)中心部署審計(jì)平臺(tái)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行監(jiān)測(cè)和記錄，記錄時(shí)間、類型、用戶、時(shí)間類型、事件是否成功等相關(guān)信息，利用審計(jì)平臺(tái)生成的記錄和報(bào)表進(jìn)行定期分析，為了方便管理員能夠及時(shí)準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。

2.4 數(shù)據(jù)備份與恢復(fù)設(shè)計(jì)要求

涉及數(shù)據(jù)中心的業(yè)務(wù)相對(duì)比較重要，數(shù)據(jù)大而多，多存放于本地或異地容易容災(zāi)系統(tǒng)，一旦發(fā)生不可預(yù)見(jiàn)對(duì)的困難，影響范圍廣和后果難以估計(jì)。因此，數(shù)據(jù)中心必須具備備份與恢復(fù)檢測(cè)，確認(rèn)信息的完整性和可用性，確保數(shù)據(jù)能夠及時(shí)恢復(fù)。數(shù)據(jù)備份與基本要求：（1）每天進(jìn)行增加備份，每周進(jìn)行全額備份；（2）應(yīng)部署異地容災(zāi)系統(tǒng)，通過(guò)數(shù)據(jù)中心基礎(chǔ)架構(gòu)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的異地備份；（3）與容災(zāi)中心進(jìn)行異地備份要進(jìn)行完整性校驗(yàn)，確保備份數(shù)據(jù)有效性；（4）數(shù)據(jù)須至少每個(gè)月進(jìn)行恢復(fù)測(cè)試，以確保備份的有效性和備份恢復(fù)的可行性。

三、結(jié)束語(yǔ)

數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)突破了傳統(tǒng)的物理結(jié)構(gòu)限制的壁壘，高效整合和利用了各項(xiàng)基礎(chǔ)設(shè)施資源，為網(wǎng)絡(luò)技術(shù)發(fā)展和虛擬化技術(shù)發(fā)展帶來(lái)革命性突破，同時(shí)也給信息產(chǎn)業(yè)帶來(lái)新的機(jī)遇。但新的技術(shù)總是伴隨著新的安全隱患，而安全問(wèn)題若不能得到合理解決將會(huì)阻礙其技術(shù)的發(fā)展，這需要在未來(lái)技術(shù)發(fā)展中深入分析和了解以尋求解決之道。數(shù)據(jù)中心建設(shè)過(guò)程中的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本、也是最重要的環(huán)節(jié)，只有合理的設(shè)計(jì)網(wǎng)絡(luò)安全規(guī)劃方案，并提供持續(xù)安全加固的擴(kuò)展性設(shè)計(jì)，才可以保證基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的安全性與可靠性。但要構(gòu)建全方位、高安全的數(shù)據(jù)中心體系，還需要融合物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全、以及管理制度等方面，從各種安全角度出發(fā)進(jìn)行相應(yīng)的安全規(guī)劃，并不斷完善數(shù)據(jù)中心的安全防范等級(jí)。

作者:馮國(guó)禮 李蓉 王曄 單位:國(guó)網(wǎng)寧夏電力公司信息通信公司

參考文獻(xiàn)

[1]GB/T22239-2008.信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

第7篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞 大數(shù)據(jù)時(shí)代；計(jì)算機(jī)網(wǎng)絡(luò)信息；安全；防護(hù)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）209-0143-02

隨著信息化時(shí)代的到來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)也隨之逐漸改變著人們的工作以及日常生活。但是任何一樣?xùn)|西都具有兩面性，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也是如此。S著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的大眾化，計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了便利的同時(shí)也帶來(lái)了巨大的安全隱患，這些安全隱患將會(huì)給人們?cè)斐煞浅?yán)重的損失。雖然現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全性越來(lái)越被人們所重視，但是由于計(jì)算機(jī)網(wǎng)絡(luò)擁有的聯(lián)結(jié)形式多樣性、終端分布不均勻性、開(kāi)放性以及互聯(lián)性等特點(diǎn)，導(dǎo)致了計(jì)算機(jī)網(wǎng)絡(luò)之中存在著自然以及人為等多種因素所造成的安全隱患。因此，人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)進(jìn)行信息傳遞的時(shí)候想保證傳遞信息的安全性以及可靠性，就必須要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防護(hù)工作。

1 計(jì)算機(jī)網(wǎng)絡(luò)信息安全中存在的問(wèn)題

1.1 計(jì)算機(jī)網(wǎng)絡(luò)本身的問(wèn)題以及人為因素影響

計(jì)算機(jī)網(wǎng)絡(luò)信息之中出現(xiàn)的安全缺陷主要有4點(diǎn)，分別是TCP/IP的脆弱性、網(wǎng)絡(luò)結(jié)構(gòu)的不安全性、易被竊聽(tīng)以及缺乏安全意識(shí)[1]。

其中TCP/IP的脆弱性主要是因?yàn)榫W(wǎng)絡(luò)的基礎(chǔ)是TCP/IP協(xié)議，但是在該協(xié)議之中對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全性并沒(méi)有給予足夠的重視，此外由于該協(xié)議是開(kāi)放性的，因此，計(jì)算機(jī)網(wǎng)絡(luò)攻擊者很容易就可以找出其中存在的漏洞從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊；網(wǎng)絡(luò)結(jié)構(gòu)的不安全性主要是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)是由無(wú)數(shù)個(gè)局域網(wǎng)組合而成的巨大網(wǎng)絡(luò)，因此當(dāng)用戶使用一個(gè)局域網(wǎng)與另一個(gè)局域網(wǎng)進(jìn)行通信操作的時(shí)候，因該操作而產(chǎn)生的信息流會(huì)經(jīng)過(guò)很多臺(tái)主機(jī)的轉(zhuǎn)發(fā)才能到達(dá)另一端，這時(shí)計(jì)算機(jī)網(wǎng)絡(luò)攻擊者就可以利用其中一臺(tái)主機(jī)對(duì)該信息流進(jìn)行截取操作，從而完成攻擊；易被竊聽(tīng)主要是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)之中大多數(shù)的數(shù)據(jù)流都沒(méi)有進(jìn)行過(guò)加密的操作，因此當(dāng)用戶使用網(wǎng)絡(luò)之中的免費(fèi)軟件時(shí)就非常容易被第三方進(jìn)行竊聽(tīng)；至于缺乏安全意識(shí)這點(diǎn)與以上3點(diǎn)不同，其主要是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)用戶所造成的。現(xiàn)如今雖然計(jì)算機(jī)網(wǎng)絡(luò)之中已經(jīng)擁有了許多安全保護(hù)措施，但是由于計(jì)算機(jī)網(wǎng)絡(luò)用戶普遍缺乏足夠的安全意識(shí)，這就使得這些保護(hù)措施形同虛設(shè)。比如說(shuō)一些計(jì)算機(jī)用戶為了方便便避開(kāi)了計(jì)算機(jī)網(wǎng)絡(luò)防火墻服務(wù)器的額外認(rèn)證操作，直接進(jìn)行了ppp連接，這就導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)防火墻發(fā)揮不出其應(yīng)有的作用。

1.2 黑客入侵

網(wǎng)絡(luò)黑客入侵也是造成現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)信息出現(xiàn)安全隱患的主要原因之一，網(wǎng)絡(luò)黑客入侵攻擊的范圍則包括簡(jiǎn)單的服務(wù)器無(wú)法給用戶提供正常的服務(wù)至完全破壞或者控制服務(wù)器。現(xiàn)如今計(jì)算機(jī)網(wǎng)絡(luò)攻擊者的主流攻擊方式主要是通過(guò)利用計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議之中存在的漏洞或者是用戶因?yàn)榘踩渲貌划?dāng)而產(chǎn)生的安全隱患來(lái)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)攻擊的。通過(guò)根據(jù)目標(biāo)系統(tǒng)攻擊以及被入侵程度依賴于攻擊者的攻擊思路和采用攻擊手段的不同，可以借此將計(jì)算機(jī)網(wǎng)絡(luò)攻擊分為兩種模式，一種是被動(dòng)攻擊的模式，另一種是主動(dòng)攻擊的模式[2]。

被動(dòng)攻擊指的是網(wǎng)絡(luò)黑客對(duì)用戶進(jìn)行監(jiān)視從而獲得一些機(jī)密信息。這種攻擊模式主要是基于計(jì)算機(jī)網(wǎng)絡(luò)以及系統(tǒng)的，同時(shí)這種類型的攻擊模式也是計(jì)算機(jī)網(wǎng)絡(luò)攻擊之中最難察覺(jué)到一種，因此對(duì)于此種攻擊模式最好的防御方式就是提早做好預(yù)防措施，比如說(shuō)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)加密。

主動(dòng)攻擊就是網(wǎng)絡(luò)黑客采取措施對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防線進(jìn)行突破的行為。這種攻擊模式主要涉及到對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)流的更改以及在計(jì)算機(jī)網(wǎng)絡(luò)之中創(chuàng)建錯(cuò)誤信息流，該攻擊模式所采用的方法主要是假冒、消息篡改以及拒絕服務(wù)等，不同于被動(dòng)攻擊，主動(dòng)攻擊無(wú)法有效進(jìn)行預(yù)防但是非常容易就能夠察覺(jué)，因此應(yīng)對(duì)這種攻擊模式最好就是加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行檢測(cè)，比如說(shuō)設(shè)置網(wǎng)絡(luò)防火墻以及入侵檢測(cè)系統(tǒng)等[3]。

2 大數(shù)據(jù)時(shí)代下加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全性的措施

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的攻擊對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全造成的影響，計(jì)算機(jī)網(wǎng)絡(luò)用戶最好的防御措施就是在自身計(jì)算機(jī)網(wǎng)絡(luò)被攻擊以及破壞的時(shí)候及時(shí)察覺(jué)，然后及時(shí)采取相應(yīng)的措施，借此有效減少自身的損失。在計(jì)算機(jī)網(wǎng)絡(luò)之中建立起的防御系統(tǒng)主要包括計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)機(jī)制、計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制、計(jì)算機(jī)網(wǎng)絡(luò)安全反應(yīng)機(jī)制以及計(jì)算機(jī)網(wǎng)絡(luò)安全恢復(fù)機(jī)制這幾種機(jī)制，借此有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息傳輸?shù)陌踩砸约翱煽啃浴Ｆ渲邪踩雷o(hù)機(jī)制指的是結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中存在的安全隱患進(jìn)行相應(yīng)的防護(hù)措施，有效避免計(jì)算機(jī)網(wǎng)絡(luò)攻擊；安全監(jiān)測(cè)機(jī)制指的是實(shí)時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)遭受到的攻擊；安全反映機(jī)制指的是及時(shí)提醒用戶計(jì)算機(jī)網(wǎng)絡(luò)遭受到攻擊，同時(shí)針對(duì)性做出防御措施，及時(shí)止損；安全恢復(fù)機(jī)制指的是當(dāng)安全防護(hù)機(jī)制失效的時(shí)候及時(shí)進(jìn)行修復(fù)和處理，及時(shí)止損。在建立這些防御措施時(shí)會(huì)應(yīng)用到如防火墻技術(shù)以及加密技術(shù)等計(jì)算機(jī)網(wǎng)絡(luò)防御技術(shù)。

第8篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；防護(hù)

中圖分類號(hào)：TP393.08

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作當(dāng)中必不可少的一部分。大中型企業(yè)信息化建設(shè)隨著網(wǎng)絡(luò)系統(tǒng)的快速發(fā)展也在日新月異，網(wǎng)絡(luò)和信息化已經(jīng)融入到企業(yè)的生產(chǎn)和管理當(dāng)中，對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)越來(lái)越重要。隨著大中型企業(yè)網(wǎng)絡(luò)和信息化業(yè)務(wù)系統(tǒng)的日益增多，遭受網(wǎng)絡(luò)安全威脅與攻擊的可能性也大大增加，一旦遭受攻擊導(dǎo)致網(wǎng)絡(luò)和信息化系統(tǒng)服務(wù)異常，影響到生產(chǎn)的話，將會(huì)給企業(yè)造成極大的經(jīng)濟(jì)損失和社會(huì)負(fù)面影響。

1 企業(yè)網(wǎng)絡(luò)安全防護(hù)的重要性和建設(shè)目標(biāo)

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全的主要特性為：保密性、完整性、可用性、可控性和可審查行。

企業(yè)的網(wǎng)絡(luò)與信息化系統(tǒng)應(yīng)用的越多，企業(yè)對(duì)網(wǎng)絡(luò)的依賴度就更高，目前大中型企業(yè)提高信息化發(fā)展水平已經(jīng)是一種趨勢(shì)，信息化的發(fā)展必然面臨各種網(wǎng)絡(luò)安全威脅，若不采取相應(yīng)措施保護(hù)企業(yè)網(wǎng)絡(luò)和信息化系統(tǒng)安全，則企業(yè)的網(wǎng)絡(luò)和信息化系統(tǒng)將隨時(shí)遭受攻擊而癱瘓或崩潰，影響企業(yè)的生產(chǎn)秩序。

大中型企業(yè)網(wǎng)絡(luò)所面臨的嚴(yán)峻安全形勢(shì)，使得各企業(yè)必須意識(shí)到構(gòu)建完備安全體系的重要性。隨著網(wǎng)絡(luò)攻擊的多樣化，企業(yè)不能只針對(duì)單一方面進(jìn)行網(wǎng)絡(luò)安全防護(hù)，應(yīng)該從整理著眼，建立完整的網(wǎng)絡(luò)安全防護(hù)體系。完整的安全體系建設(shè)不僅要能有效抵御外網(wǎng)攻擊，而且要能防范可能來(lái)自內(nèi)部的攻擊、入侵和泄密等威脅。

2 企業(yè)網(wǎng)絡(luò)安全的隱患與危害

2.1 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒出現(xiàn)的初期，其危害主要為刪除文件數(shù)據(jù)、格式化硬盤(pán)等，但隨著計(jì)算機(jī)應(yīng)用和互聯(lián)網(wǎng)技術(shù)的發(fā)展，計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)進(jìn)行瘋狂傳播，大量消耗網(wǎng)絡(luò)資源，使企業(yè)甚至互聯(lián)網(wǎng)網(wǎng)絡(luò)癱瘓。

計(jì)算機(jī)病毒造成的最大破壞，不是技術(shù)方面的，而是社會(huì)方面的。計(jì)算機(jī)感染病毒后導(dǎo)致計(jì)算機(jī)的使用率減低，甚至導(dǎo)致企業(yè)、銀行等關(guān)鍵信息泄露，造成社會(huì)聲譽(yù)損失和商業(yè)風(fēng)險(xiǎn)。

2.2 黑客威脅和攻擊

計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越劇烈，目前以非法牟利為目的的黑客產(chǎn)業(yè)鏈已經(jīng)成為新的暴力產(chǎn)業(yè)，黑客通過(guò)網(wǎng)絡(luò)非法入侵計(jì)算機(jī)信息系統(tǒng)，肆意竊取信息系統(tǒng)里面存儲(chǔ)的用戶信息和關(guān)鍵數(shù)據(jù)等，給信息系統(tǒng)所有者和用戶帶來(lái)無(wú)法估計(jì)的損失。

2.3 內(nèi)部威脅和攻擊

企業(yè)在管理內(nèi)部人員上網(wǎng)時(shí)，由于對(duì)內(nèi)部威脅認(rèn)識(shí)不足，所以沒(méi)有采取全面的安全防范措施，導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全事故逐年上升。機(jī)器都是人進(jìn)行操作的，由于懶惰、粗心大意或者對(duì)設(shè)備的使用和業(yè)務(wù)不太熟練等原因，都有可能造成數(shù)據(jù)的損壞和丟失，或者企業(yè)機(jī)密信息泄露。另外還有一些企業(yè)員工，為了一己私利對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊和破壞。不管是有意的還是偶然的，內(nèi)部威脅都是一個(gè)最大的安全威脅，而且是一個(gè)很難解決的威脅。

2.4 系統(tǒng)漏洞

許多網(wǎng)絡(luò)系統(tǒng)和應(yīng)用信息系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞可能是網(wǎng)絡(luò)建設(shè)考慮不全和系統(tǒng)本身所有的。另外，在企業(yè)信息化應(yīng)用系統(tǒng)建設(shè)時(shí)，由于技術(shù)方面的不足或者為了遠(yuǎn)程維護(hù)的方面導(dǎo)致應(yīng)用系統(tǒng)在開(kāi)發(fā)過(guò)程中存在漏洞或后門(mén)，一旦這種漏洞或后門(mén)被惡意利用，將會(huì)造成非常大的威脅。

3 企業(yè)網(wǎng)絡(luò)安全的技術(shù)防護(hù)措施

完整的網(wǎng)絡(luò)安全防護(hù)體系，必須具體綜合的防護(hù)技術(shù)，對(duì)攻擊、病毒、訪問(wèn)控制等全面防御，目前企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)主要有以下幾種：

3.1 防火墻隔離

防火墻提供如下功能：訪問(wèn)控制、數(shù)據(jù)包過(guò)濾、流量分析和監(jiān)控、攔截阻斷非法數(shù)據(jù)連接、限制IP連接數(shù)等。此外通過(guò)防火墻將內(nèi)網(wǎng)、外網(wǎng)和DMZ（非軍事區(qū)）區(qū)劃分不同的等級(jí)域，限制各域之間的相互訪問(wèn)，達(dá)到保護(hù)內(nèi)網(wǎng)和公共服務(wù)站點(diǎn)安全的目的；

3.2 VPN安全訪問(wèn)系統(tǒng)

VPN（虛擬專用網(wǎng)絡(luò)）是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN屬于一種安全的遠(yuǎn)程訪問(wèn)技術(shù)，通過(guò)在公網(wǎng)上建立一個(gè)私有的隧道，利用加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的私有性和安全性。

3.3 入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)系統(tǒng)通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為的實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)未授權(quán)或異常現(xiàn)象以及各種可能的攻擊企圖，并記錄有關(guān)事件，以便網(wǎng)管員及時(shí)采取防范措施，為事后分析提供依據(jù)。入侵檢測(cè)系統(tǒng)采用旁路部署模式，將網(wǎng)絡(luò)的關(guān)鍵路徑上的數(shù)據(jù)流進(jìn)行鏡像和收集分析。

入侵防御系統(tǒng)（Intrusion Prevention System）是一種在線部署到網(wǎng)絡(luò)關(guān)鍵路徑上的產(chǎn)品，通過(guò)對(duì)流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行2-7層的深度分析，能精確、實(shí)時(shí)的識(shí)別、阻斷、限制各類網(wǎng)絡(luò)攻擊和泛洪攻擊，進(jìn)行主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷。

第9篇：網(wǎng)絡(luò)安全防御技術(shù)范文

一、反攻擊技術(shù)的核心問(wèn)題

反攻擊技術(shù)的核心問(wèn)題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過(guò)兩種途徑來(lái)獲取信息，一種是通過(guò)網(wǎng)絡(luò)偵聽(tīng)的途徑來(lái)獲取所有的網(wǎng)絡(luò)信息(數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等)，這既是進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過(guò)對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來(lái)發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

二、攻擊的主要方式

對(duì)網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來(lái)講，攻擊總是利用“系統(tǒng)配置的缺陷”“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來(lái)進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過(guò)2000種，其中對(duì)絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分以下幾類：

1.拒絕服務(wù)攻擊

一般情況下，拒絕服務(wù)攻擊是通過(guò)使被攻擊對(duì)象（通常是工作站或重要服務(wù)器）的系統(tǒng)關(guān)鍵資源過(guò)載，從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、Win Nuke攻擊等。

2.非授權(quán)訪問(wèn)嘗試

是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫(xiě)或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試。

3.預(yù)探測(cè)攻擊

在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

4.可疑活動(dòng)

是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng)，也可以指網(wǎng)絡(luò)上不希望有的活動(dòng)，如IP Unknown Protocol和Duplicate IP AddressFTU User事件等。

5.協(xié)議解碼

協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得相應(yīng)的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動(dòng)，如FTU User和Portmapper Proxy等解碼方式。

三、攻擊行為的特征分析與反攻擊技術(shù)

入侵檢測(cè)的最基本手段是采用模式匹配的方法來(lái)發(fā)現(xiàn)入侵攻擊行為，要有效的進(jìn)反攻擊首先必須了解入侵的原理和工作機(jī)理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對(duì)幾種典型的入侵攻擊進(jìn)行分析，并提出相應(yīng)的對(duì)策。

1.Land攻擊

攻擊類型：Land攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。

檢測(cè)方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包)，并對(duì)這種攻擊進(jìn)行審計(jì)(記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址)。

2.TCP SYN攻擊

攻擊類型：TCP SYN攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：它是利用TCP客戶機(jī)與服務(wù)器之間三次握手過(guò)程的缺陷來(lái)進(jìn)行的。攻擊者通過(guò)偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當(dāng)被攻擊主機(jī)接收到大量的SYN數(shù)據(jù)包時(shí)，需要使用大量的緩存來(lái)處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯(cuò)誤的1P地址，并一直等待ACK數(shù)據(jù)包的回應(yīng)，最終導(dǎo)致緩存用完，不能再處理其他合法的SYN連接，即不能對(duì)外提供正常服務(wù)。

檢測(cè)方法：檢查單位時(shí)間內(nèi)收到的SYN連接否收超過(guò)系統(tǒng)設(shè)定的值。

反攻擊方法：當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí)，通知防火墻阻斷連接請(qǐng)求或丟棄這些數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。

3.Ping Of Death攻擊

攻擊類型：Ping Of Death攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接收到長(zhǎng)度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。

檢測(cè)方法：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。

反攻擊方法：使用新的補(bǔ)丁程序，當(dāng)收到大于WinNuk個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。

4.WinNuke攻擊

攻擊類型：WinNuk攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：WinNuk攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。

檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器就可以防止這種攻擊手段(丟棄該數(shù)據(jù)包)，并對(duì)這種攻擊進(jìn)行審計(jì)(記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的ardropC地址和IP地址C)。

5.Teardrop攻擊

攻擊類型：Teardrop攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包(IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息)，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。

檢測(cè)方法：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量(Offset)是否有誤。

反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。

6.TCP / UDP端口掃描

攻擊類型：TCP/UDP端口掃描是一種預(yù)探測(cè)攻擊。

攻擊特征：對(duì)被攻擊主機(jī)的不同端口發(fā)送TCP或UDP連接請(qǐng)求，探測(cè)被攻擊對(duì)象運(yùn)行的服務(wù)類型。

檢測(cè)方法：統(tǒng)計(jì)外界對(duì)系統(tǒng)端口的連接請(qǐng)求，特別是對(duì)21、23、 25、 53、80、8000、 8080等以外的非常用端口的連接請(qǐng)求。

反攻擊方法：當(dāng)收到多個(gè)TCP/UDP數(shù)據(jù)包對(duì)異常端口的連接請(qǐng)求時(shí)，通知防火墻阻斷連接請(qǐng)求，并對(duì)攻擊者的IP地址和MAC地址進(jìn)行審計(jì)。

對(duì)于某些較復(fù)雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法，還需要利用狀態(tài)轉(zhuǎn)移、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等方法來(lái)進(jìn)行入侵檢測(cè)。

四、入侵檢測(cè)系統(tǒng)的幾點(diǎn)思考

從性能上講，入侵檢測(cè)系統(tǒng)面臨的一個(gè)矛盾就是系統(tǒng)性能與功能的折衷，即對(duì)數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗(yàn)構(gòu)成了對(duì)系統(tǒng)實(shí)時(shí)性要求很大的挑戰(zhàn)。

從技術(shù)上講，入侵檢測(cè)系統(tǒng)存在一些亟待解決的問(wèn)題，主要表現(xiàn)在以下幾個(gè)方面：

一是如何識(shí)別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒(méi)有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問(wèn)題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來(lái)越復(fù)雜的攻擊手法，使入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。

二是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測(cè)系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)模虼藢?duì)信息的改變或重新編碼就可能騙過(guò)入侵檢測(cè)系統(tǒng)的檢測(cè)，因此字符串匹配的方法對(duì)于加密過(guò)的數(shù)據(jù)包就顯得無(wú)能為力。

三是網(wǎng)絡(luò)設(shè)備越來(lái)越復(fù)雜、越來(lái)越多樣化就要求入侵檢測(cè)系統(tǒng)能有所定制，以適應(yīng)更多的環(huán)境的要求。

四是對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)還沒(méi)有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。入侵檢測(cè)系統(tǒng)是一項(xiàng)新興技術(shù)，隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加，入侵檢測(cè)系統(tǒng)需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性。

五是采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)同樣會(huì)給入侵檢測(cè)系統(tǒng)造成風(fēng)險(xiǎn)。入侵檢測(cè)系統(tǒng)通常可以與防火墻結(jié)合在一起工作，當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí)，過(guò)濾掉所有來(lái)自攻擊者的IP數(shù)據(jù)包，當(dāng)一個(gè)攻擊者假冒大量不同的IP進(jìn)行模擬攻擊時(shí)，入侵檢測(cè)系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒(méi)有進(jìn)行任何攻擊的地址都過(guò)濾掉，于是造成新的拒絕服務(wù)訪問(wèn)。