浅析网络安全防御系统的实现策略

摘　要：随着互联网络的发展和普及，网络安全问题也受到大家的普遍关注，各种攻击行为层出不穷，主要包括、拒绝服务DOS、恶意软件、利用脆弱、操纵IP包、内部攻击和CGI攻击等等，因此如何打造一套网络安全防御系统显得尤为重要。

关键词：网络安全；防御；技术
一、网络安全技术手段
（一）防火墙技术
　　网络防火墙技术已应用在网络出入口的一种技术，其设备主要包括两种包过滤和应用代理。利用防火墙的目的有两个：一个是在网络层对用户之间的互访进行控制，即控制网络的信息流向，另一个是隔离用户作用，如果某一子网突发事故，则其余子网用户不会受到影响。防火墙主要是通过两个层次的访问控制实现上述功能的，一个代理防火墙提供的基于应用协议的访问控制功能，另一个是由包过滤提供的基于IP地址访问控制实现的。此外，有的防火墙为了隔离内部网络和外部网络，还提供地址映射服务。
（二）鉴别与授权技术
　　鉴别与授权技术是一种针对用户访问进行控制的措施，鉴别与授权技术在网络中是有多个层次共同组成的，首先访问控制一级设备，主要访问控制各物理层设备，然后是访问控制网络层，最后是对各种应用程序进行鉴别和授权。
（三）审计和监控技术
　　审计和监控系统是网络中另一个非常重要的安全系统，该系统能够对网络中的一切活动信息进行记录，并能够实时、半实时或脱机对记录信息进行分分析，用以检查、鉴别网络中的非正常活动，并对非法活动进行追踪，以降低或避免非法活动对网络造成的影响。网络设备中的专用和通用设备的相互组合构成了网络审计和监控系统。其专用设备主要安装在有重大信息的出入口处、网络设备中心等地方，而其他地方则是利用通用设备，比如防火墙技术、操作系统和应用程序的设计和监控功能，以期待早发现攻击事件，及早采取防御措施。
二、网络安全防御系统实现策略
（一）网络安全
　　1.网络拓扑安全。从图1网络拓扑结构图中可以看到，整个内部网络设置为双层网络，既是内部所有局域网中的主机和外部INTERNET用户对主机服务器的访问是通过不同的信道进行访问的，这体现了网络拓扑的安全性。
　　　　　　　
                      图1 网络拓扑结构图
　　2.防火墙。防火墙具有如下功能：为了保证内部安全，将网路地质转变为NAT隐藏的内部地址，节省了IP资源网络隔离DMZ,从屋里层次隔断了内网和外网的连接。具有数据包过滤功能，能够按以下规则进行定义，过滤有攻击嫌疑的数据包：源IP地址；目标IP地址；协议类型；源TCP/UDP端口；目的TCP/UDP端口；TCP报文标志域等等，其为了防止IP地址被到情况发生还提供有IP地址和MAC地址相绑定功能。预防IP地址欺诈功能。防止DOS攻击，通过对保护目标主机的通信状态跟踪，判断DOS/DDOS攻击，并作出反应，保证服务器的正常运行。（2）实时入侵检测。该网络防御系统通过网络安全监测仪提供了强大的实时入侵检测功能，能够通过对网络数据的收集和分析，与入侵行为的规则集进行匹配，判断入侵行为的发生，并提供实时报警功能。
（二）数据安全
　　（1）完整性。网络中的所有服务器使用的都是可信操作系统，能够对数据的完整性提供保护功能，将关键文件的摘要信息保存在数据库中，在对数据完整性进行检查时，再次取出存储在数据库中的信息和获取信息进行比较，对数据是否完整进行判断，然后以发送邮件方式通知系统管理员，然后通过数据还原恢复正常数据。（2）保密性：SSL加密通道。SSL通道确保了网站和浏览器之间的数据交互的安全性，但是完全实现各种信息的保密仅依靠SSL加密通道是不够的，比如，电子邮件内的信息，SSL通道就不能实现保密，因此，还需要有通信加密软件，通信加密软件通过对信息进行数字签名和加密，保证了信息的保密性和安全性。
（三）系统安全
　　（1）鉴别认证机制。从网络部分来说，使用SSl通道信息加密及对用户进行服务器和外部用户间的双向鉴别，这些技术本质上都利用了公钥技术，然后在结合签证机关在服务器端给用户发放的证书，再次进行鉴别。操作系统自身也提供了一种安全机制，通过对用户进行统一发放IC卡，使用IC卡对所有用户进行身份验证，只有持IC卡用户才能进行服务器，而其他非IC卡用户则不能进入，保证了服务器的安全。 (2)周期性的安全扫描。多种多样的网络设备，仅依靠操作系统提供的安全性并不能达到网络安全，因此有必要对网络中的所有设备进行周期安全扫描，以弥补设备中可能被攻击者利用的网络漏洞。定期对网络设备进行安全扫描能够防止病毒的扩散和新病毒的入侵。
三、结语
　　文章通过使用多种技术手段保证了网络安全策略的实现，通过各种安全措施的实施，为企业提供了一个较完整的网络安全防御系统，达到了保护企业网络信息系统安全的目的。
　　参考文献：
[1] 葛韵. 浅议计算机网络安全防范措施[J]. 莱钢科技, 2009, (02) .
[2]李虎军,王晓,陈吉荣. 计算机网络安全研究[J]中国科技信息, 2010,(13)
[3] 倪超凡. 计算机网络安全技术初探[J]. 赤峰学院学报(自然科学版), 2009, (12)