随着网络安全技术的快速发 展，网络安全产品呈现出三大特点：一，网络
安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略
就可能不安全了；二，网络的安全机制与技术要不断地变化；三，随着
网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全
技术是一个十分复杂的系统工程。

一、防火墙技术分析

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。

1、包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的，包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

2、网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问互联网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。   在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3、代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到单位内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4、监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术。那么我们究竟应该在哪些地方部署防火墙呢?首先，应该安装防火墙的位置是单位内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果单位内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，这类问题一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说，保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。

二、网络安全的管理与培训

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

网络安全是三分技术加七分管理，管理和培训做的好与坏是评价一个网络系统安全性好坏的重要方面。

网络安全是一门新兴的技术，即便是对计算机专业人员来说也是一个崭新的领域。如果技术人员对安全产品只有一知半解，就不能对产品正确配置，甚至根本配置错误，不但大的安全投入得不到保护，而且带来虚假的安全。对于安全产品不能买回来一装了事，应该了解安全工具的局限性和双刃性以及错误的配置带来的问题。这要求技术人员不但要懂网络、懂安全，还要了解应用需求，了解网络协议、网络攻击手段，认清并处理网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、信任关系利用、端口攻击、未授权访问等多样化的攻击手段。

针对技术人员的培训应包括：网络安全理论培训、安全技术培训、安全产品培训以及本部业务培训等。

同时要建立严格的文档管理体系，其中包括：

　　1、网络建设方案：包括网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档；

　　2、机房管理制度：包括对网络机房实行分域控制，保护重点网络设备和服务器的物理安全；

　　3、各类人员职责分工：根据职责分离和多人负责的原则，划分部门和人员职责。包括对领导、网络管理员、安全保密员和网络用户职责进行分工；

　　4、安全保密规定：制定颁布本部门计算机网络安全保密管理规定；

　　5、网络安全方案：网络安全项目规划、分步实施方案、安全监控中心建设方案、安全等级划分等整体安全策略；

　　6、安全策略文档：建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记；

　　7、口令管理制度：严格网络设备、安全设备、应用系统以及个人计算机的口令管理制度；

　　8、系统操作规程：对不同应用系统明确操作规程，规范网络行为；

9、应急响应方案：建立网络数据备份策略和安全应急方案，确保网络的应急响应；

　　10、用户授权管理：以最小权限原则对网络用户划分数据库等应用系统操作权限，并做记录；

　　11、安全防护记录：记录重大网络安全事件，对网络设备和安全系统进行日志分析，并提出修复意见；

　　12、定期对系统运行、用户操作等进行安全评估，提交网络安全报告。

13、其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等，以及全面建立计算机网络各类文档，堵塞安全管理漏洞。

三、内容安全管理的技术保障

当安全威胁到了内容结构，一个单位的网络面临的不仅是病毒散播、恶意攻击等安全问题，而可能是单位内部重要信息的泄密与丢失。内容安全的管理必须依靠三大技术保障，即电子邮件过滤、反间谍软件和网页过滤。

内容安全管理技术可以细分为电子邮件过滤、反间谍软件、网页过滤三种技术，这三种技术不仅对内容安全管理发展起到决定性推动作用，而且对于互联网的安全起到至关重要的保障作用。

１、电子邮件过滤

电子邮件过滤能够确保一个单位生产效率，降低网络、邮件服务器和存储环境被垃圾、恶意邮件充斥的可能性，防止以财务获取等为目的的病毒攻击。此外，电子邮件使用者不仅能向IT系统传播病毒、散布垃圾邮件，还能将一个单位的知识产权内容和单位的内部信息内容通过电子邮件的形式发送给外界或无意接收这些信息的人，电子邮件过滤能够使一个单位规避这种风险。未来电子邮件过滤技术将会融入更多综合信息安全内容。反垃圾邮件将成为网络安全解决方案中的重要组成部分。

２、反间谍软件

目前，间谍软件已成为影响一个单位运营安全的巨大隐患。无论合法还是非法间谍软件都能隐蔽安装的可执行程序，对个人和单位进行监视，并向其控制者发送所得信息。

表面上看，间谍软件可能只表现为自动弹出广告框，但实际上它能够跟踪用户在线行为，监视用户一切点击、按键行为，通过电子邮件内容盗取、硬盘文档扫描及改变系统和登记注册设置等行为使得用户身份被破解、数据遭损坏、甚至单位机密交易信息丢失，祸害单位整个网络。

从系统管理员的角度来说，间谍软件会造成系统速度下降，增加沟通成本。从一个单位角度看，间谍软件能够在轻微网络堵塞的伪装下轻易穿透单位防火墙。一旦在单位内网中隐藏下来，间谍软件就开始为实现它的创建目的而活动起来，将所有敏感信息传回给其制造者，为系统管理带来负担。

针对反间谍软件危害性，应从三方面加以防范。一是预防，阻止间谍软件程序进入计算机系统；二是设置障碍，在下载程序中设置障碍并防止它们向外发送信息；三是杀毒：清除系统中所有的间谍软件，不过这是一项艰巨工作。由于很多间谍软件与免费程序捆绑在一起，这些免费程序在失去间谍软件部分后也许就无法再运行。因此简单地卸载程序并不能解决这个问题。要将间谍软件彻底地从系统中删除，需要对它的特质、依存的环境和应用关系有深入的了解。

３、网页过滤

从发展初期的单纯以预防员工访问与工作无关的网页地址而影响工作效率为目的，网页过滤已经发展成为了能够满足全球网络的复杂安全需求的综合过滤解决方案。当前的网页过滤解决方案能够提供更成熟的架构和更细化的分类，且过滤的选项也不是简单的“同意”或“拒绝”。

随着一个单位架构式发展，全球网络日益复杂化，下一代网页过滤解决方案的设计，必须能够解决一个单位所面对的一系列网络干扰和挑战。这些问题包括：日益增多的网络病毒、恶意代码及“惩罚性攻击”；符合用户习惯的流媒体、即时消息及端到端等协议；未经授权使用的免费或共享软件等。