摘要:随着高校计算机类实验室规模的扩大,网络安全问题也越来越突出。文章从现有的网络安全防御技术出发对此问题进行了研究,介绍了网络安全的现状以及各种网络安全防范机制,如:防火墙技术、ACL技术、NAT技术和网络入侵检测技术。组合以上多种技术,设计并采用一系列网络安全措施,从而有效地保证了高校计算机类实验室的网络安全。
关键词:网络安全;防火墙技术;ACL技术;NAT技术;网络入侵防护技术
中图分类号:TP393.08文献标识码:A文章编号:1673-2015(2015)05-0050-03
作者简介:李秀峰(1987—)男,山西长治人,硕士,主要从事计算机网络研究
计算机类实验室的实验室软件安装覆盖面比较广。同时,由于授课规模常在50人左右,因此要计算机类实验室中一个好的教学传播软件也是必要的,如极域2010、红蜘蛛等,这些软件均需要一个良好的局域网环境。另外,开放性实验以及编程类实验需要访问互联网以获取更多的资源,这就要求实验室要提供安全、畅通和稳定的网络环境。虽然目前互联网安全环境较之以前有了较好的发展,但是依旧潜在一定的威胁,如:钓鱼网站、挂马网站和捆绑病毒的软件等,使得用户在上网时不得不小心谨慎。实验室教学资源有限且学生较多,多台电脑故障就会影响授课质量。因此,我们必须做好网络内外的防护工作,做到防患于未然,将风险和损失降到最低。
1网络安全现状
网络给人们带来便利的同时也带来了损失。网络化使人们的交流更迅捷,也正是由于这种快速的通信方式使得不法分子有机可乘。在用户通过网络交流、购物和查账时,木马、病毒这类带有威胁性的计算机程序有可能悄悄潜入用户计算机,窍取用户数据,甚至进行一些破坏活动等。比如家喻户晓的震荡波,熊猫烧香、冲击波、灰鸽子等木马病毒,都是危害度盛极一时的代表,给广大计算机用户造成了严重的经济损失。计算机专业的学生作为用户之一,在遭受攻击之后,除了想方设法解决问题,更倾向于研究此类病毒的制作和攻击原理。学生经常在实验室浏览黑客网站,学习和研究此类危险程序。这给实验室的网络安全管理工作带来了极大的挑战,轻者重装系统,重者造成硬件故障,严重影响教学秩序。为了避免出现此类问题,可以采用许多方法进行防范。
2常见攻击类型
2.1计算机病毒
计算机病毒是最常见的带有威胁性的计算机程序,它是一组指令或者程序代码,捆绑于其他程序并进行伪装,后对计算机实施破坏。特点包括:破坏性大、高度传染性和不易发现等[1]。其传播方式有多种途径,如:U盘,内存卡,硬盘以及网络传播等。传输至计算机后,对计算机进行控制、破坏,甚至使计算机瘫痪。
2.2木马攻击
计算机木马类似于特洛伊木马潜伏在计算机系统中,系统启动后隐藏于某特定的系统端口,当木马程序接收到指示或特殊的应用启动后,会将目标数据进行复制、窃取账户名和密码等隐蔽性操作[2]。
2.3拒绝服务攻击
拒绝服务是指占据部分网络端口,使正在运行的计算机消耗大量的连接资源,导致其死机或无法响应。较为典型的为DDOS攻击,它将一段设定好的程序代码发送到网络服务器终端,使服务器忙于回复客户端的请求,并不停地等待一个不存在的客户端回复,因此消耗掉系统大量的可用资源,使得系统不能对一些合法程序的请求进行处理。总之,拒绝服务攻击使服务器中止或不能提供优质服务,以达到击垮竞争对手或其他危害计算机用户的目的。此类攻击范围较广,凡类似于此类攻击均属于拒绝服务攻击的范畴。
2.4固有的安全漏洞
以微软操作系统为例,系统每周或每月会不定期进行补丁更新,这是由于每个新开发的应用软件或操作系统都会存在漏洞,一旦软件发布公测或正式版本,其漏洞和缺陷在很短时间内可能就会被发现。目前还不存在一个完善的系统或应用软件,而想设计一个完美无瑕的系统几乎是不可能的。缓冲区溢出是系统最容易被攻击的地方。这是因为大多数系统对任意长短的数据都能接受,但若向系统发送过长的指令,致使长度超出系统缓冲区的处理范围,系统运行将会失去稳定,给系统造成严重的破坏。
3计算机网络信息安全的防护策略
3.1防火墙技术
防火墙技术由来已久,它是由消防词汇引申而来,寓意为防止外来攻击的屏障,用来保护系统内部信息不被恶意访问。防火墙系统主要分为两种:分组过滤和代理服务。前者使用分组过滤路由器将同一个IP地址的源代码、目的代码及相关协议进行分组后,分别设定权限允许或者拒绝其通过,以达到对外界IP地址访问权限的控制。而代理服务技术是使用相关服务器技术,当外来用户申请时,系统判定后允许其互联的一种方式,这种方式不允许内外网直接互联,以达到保护内网的目的。
3.2升级操作系统补丁
由于操作系统本身总是存在一些不完善的地方,因此为了避免受其漏洞影响而被攻击,工作站、服务器以及路由器等网络设备需要及时更新补丁或系统版本,这样可以对大多数的网络攻击起到很好的防御作用。
3.3ACL技术
ACL技术,即访问控制列表,常应用于路由器端口。分为三种:标准访问控制列表,扩展访问控制列表和命名访问控制列表。根据不同的网络环境,使用不同的类型可以禁止某些IP地址的访问或者禁止访问某些IP地址,以保护内网主机的安全,如:标准访问控制列表可以在不同的端口定义入口和出口规则限制源IP地址的访问权限。扩展形式的ACL不仅可以限制源IP地址的访问,同时可以限制其具体访问某个目的IP地址,提高精确性和确定性,使得ACL灵活多变。命名形式的ACL是在扩展ACL的基础上将ACL的编号以名字代替,提高的了ACL的可读性和维护性。
3.4NAT技术
NAT技术是一种IP地址转换技术,分为静态、动态和端口复用三种方式,它可以采用以上三种方式将内网主机的IP转换为外网IP,以另外一个身份与外界交流信息,使得外部网络无法获取真正的内网主机地址,避免了绝大部分的外部网络攻击。同时可以减少外网地址的租用量,使得多个内网地址使用1个或1组外网IP,达到节约外网IP地址的作用。
3.5入侵防护技术(IPS)
IPS是利用一个网络端口对外部流量进行检查,若确认了其安全性,外部流量会通过系统的另一个端口与内部直接相连。IPS直接嵌入到网络,不需要利用其它介质间接进入内部系统。[3]因此,IPS一旦发现有攻击者入侵网络,就会根据入侵特性创建过滤器。若有攻击者通过数据链路层到应用层的漏洞发起对内部网络的攻击,IPS能够检查数据流中的入侵行为,同时对其进行拦截。
3.6蜜罐技术
蜜罐是近几年来新兴的互联网安全防御技术,它可以动态识别未知攻击信息,然后将未知的攻击信息及时反馈给互联网防护体系,动态提高网络防护能力。[4]蜜罐技术与其它防御技术有很大的不同:它允许攻击者入侵到网络,在此过程中它会主动学习并详尽记录与攻击行为相关的信息。然后经系统自行分析后,动态调整互联网的安全防御策略,进而提高网络安全性能。
4总结
文章从应用技术的角度阐述了网络安全的防御方法。此外,实验室的管理也应纳入安全机制设置范围,如:建立严格的实验室使用规则,提高管理人员的安全意识和技术能力,规范使用人员的行为习惯等也是不容忽视的措施。这就需要我们在网络安全技术上不断地探索和研究,加强人员管理和学生教育,进一步完善高校计算机类实验室的网络安全防范。
参考文献:
[1]钱真坤,叶小路.计算机网络信息和网络安全应用研究[J].网络安全技术与应用.2013.(8):5-6.
[2]朱玲华.关于互联网安全防御技术的分析[J].网络安全技术与应用.2013.(8):21-24.
[3]黄成兵.计算机网络安全与防御分析[J].福建电脑.2011.9(6):84-86.
[4]石玮.浅谈计算机网络安全与防御技术[J].计算机光盘软件与应用,2010.6(13)131-132.
作者:李秀峰 单位:长治学院