計算機網絡管理及安全技術探析

計算機網絡管理及安全技術探析

林強張志強如今計算機網絡已經成為了人們生活中不可或缺的一部分，如：在家網上購物、通過支付寶和微信快捷支付、電子金融以及專業(yè)大型網絡等。這些應用的發(fā)展都依賴計算機網絡，因此網絡運行的穩(wěn)定性、可靠性就顯得至關重要，因此網絡管理應運而生?，F代信息技術發(fā)展迅速，信息化水平不斷加快，網絡犯罪活動也日益增長，網絡安全隱患日益突出，網絡安全問題需要引起人們的高度重視。本文從當今社會人們日常應用的互聯網系統(tǒng)安全出發(fā)，分析了一些常見的系統(tǒng)安全維護措施?；ヂ摼W的快速發(fā)展帶來了很大便利，同時也帶來了很多網絡安全方面的問題，如網絡數據竊密、木馬、黑客和病毒攻擊等網絡安全隱患。為確保計算機網絡信息的安全性，特別是計算機數據安全，人們采用了諸如代理服務器、防火墻技術以及入侵檢測技術等來保護計算機網絡信息的安全，但即使這樣，計算機網絡信息的管理還是面臨著巨大的挑戰(zhàn)性。計算機網絡管理中，影響網絡安全的因素包括：①計算機網絡方面，做好對網絡服務器的管理工作，就不會給企業(yè)帶來損失，網絡管理環(huán)節(jié)至關重要;②軟件方面，軟件本身不可避免地存在一定漏洞，會給黑客留下攻擊的機會，需要管理員及時對網絡存在的漏洞進行修復，避免不必要的損失;③網絡安全維護人員意識差，有些網絡的安全管理人員意識不到高，這也容易導致網絡受到攻擊甚至癱瘓，影響了企業(yè)的正常辦公。常用網絡安全技術防火墻技術防火墻可以有效控制網絡的訪問，在不同網絡之間建立起一個安全屏障，保護內部的局域網不受外界網絡環(huán)境的影響。防火墻的設置至關重要，可將內部網絡與外部網絡切斷、限制網絡之間的訪問，達到保護局域網的目的。防火墻的主要目的是對網絡進行保護，以防止其他網絡的影響，符合安全策略的數據流才允許穿過防火墻。防火墻具有以下基本功能：控制對網點的訪問和封鎖網點信息的泄漏;限制被保護子網的暴露;具有審計作用;強制安全策略。從防火墻的工作模式來說，可分為3種類型：包過濾防火墻、狀態(tài)檢測防火墻和應用代理防火墻。防火墻網絡結構大致分為4種：屏蔽路由器結構、屏蔽路由器+堡壘主機結構、屏蔽路由器+雙宿主堡壘主機結構、雙DMZ網絡。防火墻網絡結構如圖1所示。數據加密技術信息加密技術是指利用數學手段對信息進行保護，防止信息泄露。網絡傳輸過程中，信息可能會受到非法竊聽，存在風險，對網絡信息進行加密處理十分重要，傳統(tǒng)加密方法包括：①替換密碼，在替換密碼中，每個字母被另一個字母所取代，在密文中將明文偽裝起來。②置換密碼，它不更改明文中的字母，而是對字母進行重新排序，形成新的密文。高級加密標準高級加密標準（AES）是20世紀90年代采用的一種標準化區(qū)塊加密標準，被用來替代原有的DES加密標準。AES是一種對稱密鑰標準，采用Rijndael分組加密算法實現，分組長度必須是128位，支持128、192或者256位密鑰。入侵檢測技術網絡入侵檢測系統(tǒng)由探測器和控制臺兩部分組成。探測器主要功能是捕獲網絡數據包，對其進行分析，發(fā)現可疑事件時向控制臺發(fā)送報警信息，通過控制臺的圖形界面可進行數據查詢、查看報警及配置傳感器等操作。部署方法如下：探測器在網絡中有3種部署方式：①將探測器直接連接到交換機的某個端口（監(jiān)控端口上），然后通過交換機mirror功能，將所有流經交換機端口的數據包復制到監(jiān)控端口，檢測探測器在監(jiān)控端口進行分析處理流經交換機的數據包。②探測器通過一個TAP設備獲取、分析和處理交換機網絡中的數據包。分路器可以插入到半/全雙工的10/100/1000Mbit/s網絡鏈路中，將這條鏈路的全部數據信息復制給探測器。③在網絡中增加一臺集線器改變網絡拓撲結構，通過集線器獲取數據包。常見部署方法有如下4種方式：①部署在內部。通過查看入侵檢測系統(tǒng)報警信息，管理員可以分析和判斷哪些攻擊對系統(tǒng)安全威脅最大。同時，根據攻擊報警信息，調整防火墻的安全策略，對已知的攻擊行為進行阻斷。②部署在外部。管理員可以了解來自外部網絡的攻擊行為，當入侵檢測系統(tǒng)與防火墻實施聯動時，防火墻可以動態(tài)阻斷發(fā)生攻擊的連接。③在防火墻內外都部署入侵檢測系統(tǒng)探測器。這種部署可以同時檢測到來自內、外網的攻擊，管理員能夠全面了解網絡面臨的威脅。④將入侵檢測系統(tǒng)探測器部署在其他位置。如安裝在內部網絡中的重要網段上，對該網段中的所有連接進行監(jiān)控;或安裝在不同安全與域的2個子網之間，監(jiān)控、分析2個子網之間的所有連接。構如圖2所示。網絡安全掃描技術網絡安全掃描技術分為主機安全掃描技術和網絡安全掃描技術。網絡安全掃描技術中的端口掃描技術和漏洞掃描技術使用最為廣泛;主機安全掃描技術利用一些腳本文件模擬來記錄系統(tǒng)的反應，進而發(fā)現其存在的漏洞。網絡安全掃描技術可以通過互聯網檢測目標主機的安全性，遠程知道服務器的端口分配情況、存在的安全漏洞隱患以及各類的協(xié)議，及時評測出目標主機所在的網絡安全風險，數據的安全性得到了保障，并可以及時修復網絡安全漏洞，避免不必要的數據泄漏。網絡安全策略如果計算機網絡存在安全隱患，不法分子會利用不同的攻擊手段，竊取或修改目標主機中的信息，也可以通過網絡監(jiān)聽手段獲取用戶的賬號和密碼，因此人們應該逐漸重視網絡安全問題。網絡安全策略主要包含物理安全策略和虛擬專用網技術策略，現代網絡安全策略注重安全的時代性，所以，安全策略的設計也應該與時俱進。物理安全策略物理安全策略是在物理介質層面上把網絡信息進行安全保護，使得主機系統(tǒng)、網絡后臺服務器等不受破壞，增加用戶訪問權限的驗證，可以有效保障主機系統(tǒng)良好工作，避免數據的泄露?？赏ㄟ^設置主機本地安全策略中的安全選項來增加安全級別，設置密碼有效期、及時更改密碼來增加安全性。網絡安全管理員應及時關注主機網絡的運行環(huán)境，做到對所有安全策略指標有全面詳細地了解，做好安全策略定期數據備份，控制好用戶訪問權限，禁止非授權用戶訪問目標主機。虛擬專用網技術策略虛擬專用網（VPN）技術可利用現有的不安全的公共網絡建立安全方便的專業(yè)通信網絡，就是在公共數據網上建立屬于自己的專屬網絡。VPN在公用的網絡之間建立虛擬的專用通道，初始化隧道后，VPN數據的安全性通過加密技術得到保護，其主要是采用tunneling，encryption&decryption，keymanagement等技術。由于VPN技術可擴展性強、建立方便、安全性高、成本低且易于管理，已經逐漸成為普遍的技術。VPN拓撲結構如圖3所示。網絡安全技術發(fā)展趨勢目前，網絡安全技術發(fā)展還不是很成熟，安全防護手段有其特定的防護范圍，有的防護技術在疊加過程中還會起到相反的作用，合理地建設網絡安全防護體系成為了關鍵。網絡安全技術未來的發(fā)展，無論在防火墻、數據加密，還是在入侵檢測、網絡安全掃描等技術方面，都會逐漸完善，計算機網絡安全技術會變得越來越成熟。就目前我國網絡安全技術的發(fā)展來看，雖然已經形成了一定的安全體系，但是此體系還不能滿足網絡安全的需要