摘要：該文簡(jiǎn)要分析了網(wǎng)絡(luò)攻擊的方式及應(yīng)對(duì)網(wǎng)絡(luò)安全的措施，并通過一個(gè)小型網(wǎng)絡(luò)的例子分析安全設(shè)備的布署。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊方式；防范措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）24-5604-03

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)成為了重要信息交換手段和信息共享平臺(tái)，并滲透到了社會(huì)各個(gè)領(lǐng)域。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性及網(wǎng)絡(luò)的開放性、共享性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他惡意攻擊。因此，分析、認(rèn)識(shí)網(wǎng)絡(luò)的脆弱性和潛在威脅，采用強(qiáng)有力的安全策略，并全方位地針對(duì)各種不同的安全威脅和系統(tǒng)脆弱性采取相應(yīng)的應(yīng)對(duì)措施，才能讓網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)，更好地為我們服務(wù)。

1 網(wǎng)絡(luò)安全的定義

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。Internet 本身具有的開放性和共享性對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的安全問題提出了嚴(yán)峻的挑戰(zhàn)。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的通信通常面臨以下的4種威脅：截獲、中斷、篡改和偽造。其中，截獲屬于被動(dòng)攻擊方式，在這種攻攻擊方式中，攻擊者保是觀察和分析某些協(xié)議數(shù)據(jù)單元（PDU）而不干擾信息流，這種方式也稱為通信量分析方式，而中斷，篡改和偽造則是屬于主動(dòng)攻擊方式，攻擊者對(duì)某個(gè)連接中傳輸?shù)膮f(xié)議數(shù)據(jù)單元進(jìn)行各種處理，例如有選擇地進(jìn)更改、刪除、延遲這些協(xié)議數(shù)據(jù)單元等。對(duì)安全通信的定義主要集中在對(duì)通信和網(wǎng)絡(luò)資源的保護(hù)方面，實(shí)際上，網(wǎng)絡(luò)安全不僅涉及保護(hù)，還包括對(duì)安全通信的破壞和對(duì)基礎(chǔ)設(shè)施的攻擊進(jìn)行檢測(cè)，并對(duì)這些攻擊做出響應(yīng)。網(wǎng)絡(luò)安全是通過循環(huán)往復(fù)地保護(hù)、檢測(cè)和響應(yīng)來實(shí)現(xiàn)的。

2 網(wǎng)絡(luò)安全的管理

針對(duì)影響網(wǎng)絡(luò)安全的因素，簡(jiǎn)要介紹以下幾種常見的網(wǎng)絡(luò)攻擊方式：

1） SYN Flood

SYN Flood（SYN洪泛）是最為有效和流行的一種網(wǎng)絡(luò)攻擊形式。它利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造源IP地址的SYN連接請(qǐng)求。消耗目標(biāo)主機(jī)的資源，使目標(biāo)主機(jī)不能為正常用戶提供服務(wù)。

在SYN Flood攻擊中，攻擊方主機(jī)向目標(biāo)主機(jī)發(fā)送大量偽造IP地址的SYN Flood連接請(qǐng)求報(bào)文段，目標(biāo)主機(jī)將根據(jù)這些TCP連接請(qǐng)求報(bào)文段分配必要的系統(tǒng)資源，然后向源IP地址返回SYN和ACK標(biāo)志都置位的TCP連接應(yīng)答報(bào)文段，并等待源主機(jī)返回ACK標(biāo)志位的TCP連接確認(rèn)報(bào)文段。由于源IP地址段是偽造的，因此源主機(jī)永遠(yuǎn)都不會(huì)返回ACK標(biāo)志置位的TCP連接確認(rèn)報(bào)文段，而目標(biāo)主機(jī)則會(huì)繼續(xù)發(fā)送SYN和ACK標(biāo)志置位的TCP連接應(yīng)答報(bào)文段，并將未完成的半連接放入相應(yīng)端口的接收緩沖隊(duì)列中進(jìn)行等待。雖然TCP協(xié)議一般都有超時(shí)機(jī)制和默認(rèn)的重傳次數(shù)，但是由于端口連接的未完成隊(duì)列的長(zhǎng)度有限的，如果攻擊方不斷地向目標(biāo)主機(jī)發(fā)送大量的SYN連接請(qǐng)求報(bào)文段，目標(biāo)主機(jī)相應(yīng)端口連接的未完成隊(duì)列很快就會(huì)被填滿，從而拒絕新的連接，這將導(dǎo)致該端口無(wú)法響應(yīng)其他正?？蛻舻倪B接請(qǐng)求，最終會(huì)耗盡目標(biāo)主機(jī)的系統(tǒng)資源。

一般來說，如果一個(gè)主機(jī)系統(tǒng)的通信負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令行工具能看到大量處于SYS_RCVD狀態(tài)的TCP半連接（半連接數(shù)量大于500個(gè)或半連接數(shù)量占到總連接數(shù)的10%以上），就基本上可以認(rèn)定這個(gè)系統(tǒng)遭到了SYN Flood攻擊。

2） Ping of Death

Ping of Death（死Ping）這種攻擊的方法是一種IP碎片攻擊。根據(jù)RFC 791 “Internet Protocol”規(guī)范，IP數(shù)據(jù)包的最大長(zhǎng)度為64KB，即65 535字節(jié)，很多操作系統(tǒng)在處理IP數(shù)據(jù)包時(shí)將其最大值假定為該值。這樣，若攻擊者故意向目標(biāo)主機(jī)發(fā)送一個(gè)長(zhǎng)度超過65 535字節(jié)的IP數(shù)據(jù)包，則目標(biāo)主機(jī)在重組IP數(shù)據(jù)包分片的時(shí)候會(huì)造成事先分配的65535字節(jié)大小的接收緩沖區(qū)溢出，系統(tǒng)通常會(huì)崩潰或掛起。攻擊者通常可通過Ping程序發(fā)起簡(jiǎn)單的攻擊，一般情況下IP數(shù)據(jù)包的首部為20字節(jié)，而ICMP首部為8字節(jié)，因此ICMP的回聲請(qǐng)求報(bào)文中的數(shù)據(jù)部分的最大長(zhǎng)度為65535-20-8=65 507字節(jié)。因此在不限制ping報(bào)文最大長(zhǎng)度的操作系統(tǒng)中，可通過如下命令發(fā)起攻擊：ping -1 65510 192.168.0.1。

防御Ping of Death攻擊的方法：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP協(xié)議棧的實(shí)現(xiàn)已經(jīng)可以處理超大尺寸的報(bào)文，并且大多數(shù)防火墻能夠自動(dòng)過濾這些攻擊，包括從Windows NT（Service Pack 3） 之后的操作系統(tǒng)，以及Linux、Solaris等操作系統(tǒng)都具有抵抗一般的Ping of Death攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷ICMP及任何未知協(xié)議，都可以防止此類攻擊的發(fā)生。

3） Teardrop攻擊

Teardrop（淚滴）攻擊利用IP協(xié)議分片重組的漏洞來進(jìn)行拒絕服務(wù)攻擊。數(shù)據(jù)鏈路層協(xié)議幀所能封裝的高層協(xié)議數(shù)據(jù)單元的長(zhǎng)度通常有一個(gè)最大值，這個(gè)值我們稱之為“最大傳輸單元”（MTU）。當(dāng)數(shù)據(jù)鏈路層協(xié)議使用以太網(wǎng)協(xié)議時(shí)，它規(guī)定的MTU值為1500字節(jié)。這時(shí)，網(wǎng)絡(luò)層的IP協(xié)議將IP數(shù)據(jù)包的大小與以太網(wǎng)的MTU值相比較，如果IP數(shù)據(jù)包的大小超出了以太網(wǎng)的MTU值所規(guī)定的1500字節(jié)，IP協(xié)議就將IP數(shù)據(jù)包進(jìn)行分片。IP數(shù)據(jù)首部中，共有三個(gè)字段用來實(shí)現(xiàn)對(duì)數(shù)據(jù)包的分片的重組：標(biāo)識(shí)字段、標(biāo)志字段和分片偏移量字段。其中，標(biāo)識(shí)字段是IP協(xié)議賦予每一個(gè)IP包數(shù)據(jù)包的標(biāo)識(shí)，進(jìn)行分片后，原屬于同一個(gè)IP數(shù)據(jù)包的若干個(gè)IP數(shù)據(jù)包分片具有相同的標(biāo)識(shí)，以便于在接收端重組經(jīng)過分片的IP數(shù)據(jù)包；標(biāo)志字段中有一位叫做MF（More Fragment）比特，MF置為0時(shí)，說明該分片是原IP數(shù)據(jù)包的最后一個(gè)分片，MF置為1時(shí)，說明該分片的后面還有原IP數(shù)據(jù)包的其他分片；分片偏移量字段指出本分片的第一個(gè)字節(jié)在初始IP數(shù)據(jù)包中的偏移值。

Teardrop攻擊正是通過操控IP數(shù)據(jù)包分片的分片偏移量值，將前后IP數(shù)據(jù)包分片設(shè)置成重疊的，以造成接收方重組IP分片時(shí)出現(xiàn)異常和崩潰。一般情況下，攻擊者為了發(fā)動(dòng)Teardrop攻擊通常會(huì)將IP數(shù)據(jù)包分為兩個(gè)IP數(shù)據(jù)包分片，在第二個(gè)IP數(shù)據(jù)包分片中將分片偏移量值設(shè)置成一個(gè)比較的值，并且將第二個(gè)IP數(shù)據(jù)包分片中的數(shù)據(jù)負(fù)荷部分分配得很小，這樣就造成了第二個(gè)IP數(shù)據(jù)包分片在重組時(shí)覆蓋第一個(gè)IP數(shù)據(jù)包分片的一部分內(nèi)容的現(xiàn)象，從而引起IP數(shù)據(jù)分片的重疊，于是當(dāng)這兩個(gè)IP數(shù)據(jù)包分片到達(dá)目標(biāo)主機(jī)進(jìn)行重組時(shí)，由于第一個(gè)IP數(shù)據(jù)包分片和第二個(gè)IP數(shù)據(jù)包分片之間出現(xiàn)了重疊現(xiàn)象，將會(huì)造成目標(biāo)主機(jī)上的TCP/IP協(xié)議棧的崩潰。

4） Smurf攻擊

Smurf攻擊是以最初發(fā)起這種攻擊的程序Smurf來命名的一種攻擊。它結(jié)合利用了IP欺騙和ICMP的“回聲請(qǐng)求”（echo request）報(bào)文和“回聲應(yīng)答”報(bào)文，被攻擊的目標(biāo)系統(tǒng)忙于處理大量的異常到達(dá)的ICMP“回聲應(yīng)答”報(bào)文，從而拒絕為正常用戶的請(qǐng)求提供服務(wù)。

ICMP協(xié)議能夠使Internet上的主機(jī)或路由器報(bào)告在轉(zhuǎn)發(fā)IP數(shù)據(jù)包時(shí)發(fā)生的差錯(cuò)情況和傳遞控制或詢問信息。ICMP報(bào)文中的回聲請(qǐng)求報(bào)文和回聲應(yīng)答報(bào)文的功能之一是與主機(jī)聯(lián)系。通過向目標(biāo)主機(jī)發(fā)送一個(gè)ICMP“回場(chǎng)請(qǐng)求”報(bào)文，并根據(jù)是否收到目標(biāo)主機(jī)的ICMP“回聲應(yīng)答”報(bào)文來判斷目標(biāo)主機(jī)是否處于活動(dòng)狀態(tài)。最常見的Ping程序就利用了ICMP協(xié)議的這個(gè)功能，而Smurf這種攻擊方法使用一個(gè)偽造的源IP地址連續(xù)Ping一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的廣播地址，導(dǎo)致每個(gè)網(wǎng)絡(luò)中的所有計(jì)算機(jī)都必須向偽造的源IP地址所對(duì)應(yīng)的主機(jī)返回ICMP

“回聲應(yīng)答”報(bào)文。這個(gè)偽造的源IP地址，實(shí)際上就是被攻擊的目標(biāo)，它將被巨大數(shù)量的ICMP“回聲應(yīng)答”報(bào)文所淹沒。廣播地址在這里起到了放大器的作用，而Smurf攻擊正是利用了這種放大作用。

這種攻擊的前提是，路由器在接收到這個(gè)目的地址為IP廣播地址（如192.168.1.255） 的分組后，會(huì)認(rèn)為這就是廣播分組，并且把這個(gè)IP廣播地址映射為以太網(wǎng)廣播地址FF：FF：FF：FF：FF：FF，然后在本地網(wǎng)段中對(duì)所有主機(jī)進(jìn)行廣播。

3 網(wǎng)絡(luò)安全的具體措施

計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)整體意義上的安全，它包括很多方面的應(yīng)采取的防范策略。目前主機(jī)采用的方法有：布署防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)防病毒系統(tǒng)等。現(xiàn)在有很多單位，為了加強(qiáng)連入互聯(lián)網(wǎng)的管理，還采用了行為管理設(shè)備。

3.1 防火墻

防火墻是軟硬件的結(jié)合體，通常安裝在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接點(diǎn)上。防火墻技術(shù)屬于網(wǎng)絡(luò)控制技術(shù)的一種，其主要目的是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，檢查流向Internet或是從Internet流入內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)流，通過允許、拒絕或是重定向經(jīng)過防火墻的數(shù)據(jù)流等策略的實(shí)施，達(dá)到防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)的目的，從而實(shí)現(xiàn)對(duì)出入內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。防火墻技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的重要組成部分之一，當(dāng)前較為成熟的實(shí)現(xiàn)技術(shù)分別是分組過濾技術(shù)、應(yīng)用代理技術(shù)等。

1）分組過濾技術(shù)

分組過濾（Packet Filter）是指根據(jù)系統(tǒng)設(shè)置的規(guī)則，對(duì)經(jīng)過防火墻的數(shù)據(jù)分組進(jìn)行過濾操作，只有滿足條件的分組才能通過防火墻，其余的數(shù)據(jù)分組則被刪除。分組過濾防火墻一般工作在網(wǎng)絡(luò)層和傳輸層，也被稱為網(wǎng)絡(luò)層防火墻。它對(duì)單個(gè)分組實(shí)施控制，根據(jù)數(shù)據(jù)分組內(nèi)部的源IP地址、目的IP地址、協(xié)議類型、源端口號(hào)、目的端口號(hào)、各個(gè)標(biāo)志位的取值及ICMP消息類型等參數(shù)與事先設(shè)定的過濾規(guī)則進(jìn)行比對(duì)，從而決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)或丟棄。分組過濾防火墻技術(shù)的發(fā)展經(jīng)歷了兩個(gè)階段：靜態(tài)分組過濾和動(dòng)態(tài)分組過濾。

2） 應(yīng)用代理技術(shù)

應(yīng)用代理技術(shù)（Application Proxy）技術(shù)是指在Web服務(wù)器上或某一臺(tái)單主

機(jī)上運(yùn)行代理服務(wù)器軟件，對(duì)網(wǎng)絡(luò)上的信息進(jìn)行監(jiān)聽和檢測(cè)，并對(duì)訪問的內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行過濾，從而起到隔斷內(nèi)網(wǎng)和外網(wǎng)的直接通信的作用，保護(hù)內(nèi)網(wǎng)不受破壞。在代理方式下，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包不能進(jìn)入外網(wǎng)。同樣，外部網(wǎng)絡(luò)的數(shù)據(jù)也不能直接進(jìn)入內(nèi)網(wǎng)，而是要經(jīng)過代理的處理之后才能到達(dá)內(nèi)部網(wǎng)絡(luò)。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略要求，因此在代理上就可以實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等功能。

3.2 入侵檢測(cè)技術(shù)

防火墻技術(shù)及其他的一些保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)，如加密技術(shù)、訪問控制技術(shù)、身份認(rèn)證技術(shù)等的一個(gè)共同特征就是關(guān)注的是系統(tǒng)自身的加固和防護(hù)上，它們屬于靜態(tài)的安全防御技術(shù)，對(duì)于網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)反應(yīng)的能力。針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，動(dòng)態(tài)安全防御技術(shù)和動(dòng)態(tài)安全模型應(yīng)運(yùn)而生。其中，典型的就是P2DR模型。P2DR模型在整體安全策略的控制下，在綜合運(yùn)用保護(hù)手段（如防火墻技術(shù)、加密、數(shù)字簽名等技術(shù)）的同時(shí)，利用檢測(cè)工具（如入侵檢測(cè)系統(tǒng)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)系統(tǒng)將系統(tǒng)調(diào)整到安全狀態(tài)。

入侵檢測(cè)技術(shù)是近年來迅速發(fā)展起來的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。作為動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，入侵檢測(cè)技術(shù)是對(duì)防火墻隔離技術(shù)等靜態(tài)安全防御技術(shù)的合理補(bǔ)充。入侵檢測(cè)就是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的某些關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，對(duì)企圖入侵，正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別并做出響應(yīng)的過程。其基本任務(wù)包括：

1） 檢測(cè)對(duì)計(jì)算機(jī)系統(tǒng)的非授權(quán)訪問并管理操作系統(tǒng)日志；

2） 對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控，并判定各種攻擊方式；

3） 監(jiān)視并分析用戶的活動(dòng)，識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊；

4） 統(tǒng)計(jì)分析異常行為；

5） 檢查系統(tǒng)配置和漏洞。

通過以上分析，整個(gè)入侵檢測(cè)的過程圖1所示。

圖1

3.3 網(wǎng)絡(luò)監(jiān)控

絕大多數(shù)現(xiàn)代操作系統(tǒng)都提供了捕獲底層網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)制，在捕獲機(jī)制之上可以建立網(wǎng)絡(luò)監(jiān)控應(yīng)用軟件。網(wǎng)絡(luò)監(jiān)控工具也常常被稱為分組嗅探器，其最初的目的在于對(duì)網(wǎng)絡(luò)通信情況進(jìn)行監(jiān)聽和監(jiān)控，以對(duì)網(wǎng)絡(luò)的一些異常情況進(jìn)行調(diào)試和處理。但隨著Internet快速普及和網(wǎng)絡(luò)攻擊行為的頻繁出現(xiàn)，保護(hù)網(wǎng)絡(luò)的運(yùn)行安全也成為網(wǎng)絡(luò)監(jiān)控的另一個(gè)重要目的。在網(wǎng)絡(luò)分析和測(cè)試技術(shù)中，嗅探器軟件是最常見也是最重要的技術(shù)之一。對(duì)于網(wǎng)絡(luò)管理管理人員來說，使用嗅探器工具可以隨時(shí)掌握網(wǎng)絡(luò)的實(shí)際情況，在網(wǎng)絡(luò)性能急劇下降的時(shí)候，可以通過嗅探器工具來分析原因，找出造成網(wǎng)絡(luò)阻塞的來源。

3.4 網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)感染病毒最好采用網(wǎng)絡(luò)版殺毒軟件，及時(shí)更新殺軟病毒特征碼數(shù)據(jù)庫(kù)，并設(shè)定好殺軟掃描病毒的周期，打好系統(tǒng)漏洞的補(bǔ)丁，讓病毒無(wú)懈可擊。

4 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的管理

機(jī)房要注意防雷擊、防水、防火、防震、防電磁輻射干擾（網(wǎng)絡(luò)信噪比下降、誤碼率增加）、防老鼠咬斷網(wǎng)線。機(jī)房防雷是個(gè)重要的基礎(chǔ)工作，要求所有電源都要提供接地，機(jī)柜、機(jī)殼均要接地，接地電阻要小于4歐母，采用建筑體結(jié)構(gòu)鋼引出的接地點(diǎn)是理想的接地體，接地電阻小而且穩(wěn)定。由于電網(wǎng)停電跳閘、線路電壓波動(dòng)、設(shè)備故障等原因造成意外停電時(shí)，會(huì)讓數(shù)據(jù)丟失，嚴(yán)重的可能導(dǎo)致計(jì)算機(jī)硬件損傷，因此在整個(gè)網(wǎng)絡(luò)中配備UPS顯得極為重要。

5 企業(yè)中、小型網(wǎng)絡(luò)的構(gòu)架示例

如圖2所示，這是一個(gè)典型小型企業(yè)網(wǎng)絡(luò)的拓?fù)鋱D，同時(shí)它又很容易和其它網(wǎng)絡(luò)組成一個(gè)大型網(wǎng)絡(luò)。

本網(wǎng)絡(luò)中核心防火墻主要實(shí)現(xiàn)各方向的訪問策略設(shè)置，性能要求相對(duì)比較高。核心防火墻以下，為兩個(gè)交換機(jī)，根據(jù)實(shí)際情況可以擴(kuò)展，可容納數(shù)十到數(shù)百臺(tái)PC，應(yīng)根據(jù)需要?jiǎng)澐侄鄠€(gè)VLAN，減少?gòu)V播風(fēng)暴，防病毒服務(wù)器為全網(wǎng)PC提供病毒庫(kù)升級(jí)服務(wù)、病毒安全策略的設(shè)置和分發(fā)。核心防火墻左邊為一個(gè)外網(wǎng)防火墻和一個(gè)行為管理設(shè)備，訪問外網(wǎng)的安全策略全部在這里實(shí)現(xiàn)，如果企業(yè)有對(duì)外服務(wù)器，可選擇兩個(gè)地方安裝，分別是外網(wǎng)防火墻和核心防火墻的DMZ口。核心防火墻上面是三個(gè)路由器，本端路由器在自己這一端，其它網(wǎng)絡(luò)路由器可能在數(shù)百米、數(shù)公里、數(shù)十公里甚至是更遠(yuǎn)的地方的本公司和其它網(wǎng)絡(luò)。由于路由器價(jià)格昂貴，目前以有一種低成本的廣域網(wǎng)連接方式，就是取消路由器，直接通過光電轉(zhuǎn)換為RJ45接口，接到相應(yīng)的網(wǎng)絡(luò)設(shè)備，由這些設(shè)備來完成路由（三層交換機(jī)、防火墻等）。對(duì)于小型網(wǎng)絡(luò)這也是一個(gè)可以考慮的方面，并且通過網(wǎng)絡(luò)優(yōu)化后安全性也相當(dāng)不錯(cuò)。

6 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，該文簡(jiǎn)要地分析了網(wǎng)絡(luò)安全的層次，并分析了主要的安全設(shè)備和應(yīng)用。網(wǎng)絡(luò)安全簡(jiǎn)單來說包括技術(shù)安全和管理安全，技術(shù)安全是基礎(chǔ)，管理安全是保障。 在管理層面上的，需制定相應(yīng)配套的網(wǎng)絡(luò)管理制度實(shí)施并執(zhí)行，也不僅是個(gè)人行為，更是整體行為，只有每個(gè)人都有網(wǎng)絡(luò)安全的意識(shí)，才能讓計(jì)算機(jī)網(wǎng)絡(luò)更安全更穩(wěn)定地運(yùn)行。相信計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)會(huì)隨著計(jì)算機(jī)網(wǎng)絡(luò)地發(fā)展而不斷發(fā)展！

參考文獻(xiàn)：

[1] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程[M].北京：清華大學(xué)出版社，2009.

[2] 徐鋒.網(wǎng)絡(luò)工程師考試題型精解[M]. 北京：電子工業(yè)出版社，2006.

[3] 王達(dá).網(wǎng)絡(luò)安全[M]. 北京：電子工業(yè)出版社，2005.

[4] 王群.非常網(wǎng)管—網(wǎng)絡(luò)管理[M]. 北京：人民郵電出版社，2006.