網路資訊保安論述

       諾頓防火牆

諾頓防火牆是由賽門鐵克提供的一款功能強大的防火牆。它幫助個人使用者和企業使用者保護和管理其資訊世界。無論資訊的使用方式儲存位置如何，我們藉助該軟體和服務，可以有更全面、更有效的方式在更多端點阻止網路威脅風險。

諾頓個人防火牆執行圖如下：

Norton工作原理：

通過防火牆的資料包的相關資訊進行檢查，決定放行還是不放行，而且檢查的專案越多，

層次越深，則越安全。諾頓防火牆是基於應用層的閘道器，隨時監控應用程式的執行情況。

同時，它利用了埠隱蔽和郵件過濾等技術。

實時監控圖如下：

工作原理圖如下

Norton的效能： 　　

防禦能力： 　　

安裝了諾頓的計算機可以保證處於埠靜默狀態，而外向連線方面也可以獲得一定的保障。建立空會話、列舉使用者名稱密碼等攻擊無法對安裝了諾頓的計算機發生作用。在足夠高的

防護級別下，通過網路訪問共享、可移動裝置的使用等都受到了很好的限制，諾頓除了能

夠抵禦網際網路威脅之外，對區域網和本地的安全威脅也具有較強的處理能力。            

功能： 　　

諾頓防火牆所整合的功能相當豐富，除了作為基礎的防火牆功能，入侵檢測、隱私保護等功能也頗為強大。諾頓在瀏覽器中整合了增加了Web輔助功能外掛，該外掛可以動態的根據所瀏覽網站的情況進行彈出廣告視窗、Applet、ActiveX等內容的阻塞，而使用者可以針對單個網站決定是否阻塞這些內容同 時可以以關鍵字的形式維護廣告資訊過濾清單。另外，該外掛還可以幫助使用者禁止瀏覽器資訊、訪問歷史資訊等洩漏給外部網路。諾頓防火牆所集

成的入侵檢測元件 帶有大量的攻擊指紋，而且能夠設定在多長時間內阻止發起攻擊的計算

機，其功能性已經趨進了專業的入侵檢測系統。 

    可管理性： 　　

    諾頓的定製能力不單體現在對防火牆規則的設定上，輔助功能元件的管理功能也相當強大。以入侵檢測指紋為例，使用者可以決定哪些攻擊需要被檢測而哪些需要被忽略，同時可以

選擇發現攻擊時的告警方式。另外，不只防火牆具有防護等級，包括隱私保護等輔助功能

在內也可以獨立設定級別，使用者可以快速簡便的設定計 算機的防護強度。 　　

    易用性： 　　

    在整體設計上諾頓相當規整，大量的功能很好的排布在寥寥幾個選項頁中，相應的許多操作需要深入多個介面才能完成，這也是諾頓操作負擔較高的主要原 因。諾頓為使用者提供了多種應用情境模式的選擇，對這些模式諾頓分別賦予了不同的規則許可權，初級使用者可以安

全高效的利用模式的切換來調整對計算機的保護。而 相對專業的基於地址和協議的過濾條

件設定被隱藏在了高階設定部分，專業使用者在需要的情況下可以通過該介面定義更加複雜

的防護策略。

     選擇諾頓360的系統要求和優勢：

     諾頓防火牆對硬體的要求非常底，同時支援Windos XP/Vista/Win7系統。　

解決方案
	全面的可定製網際網路安全
	一次設定，終身無憂的一體化自動防護
	自動防病毒和反間諜軟體
核心防護
	阻止病毒、間諜軟體、特洛伊木馬、蠕蟲病毒、殭屍網路和 Rootkit
	通過在後臺執行的智慧雙向防火牆抵禦黑客襲擊
	每 5 到 15 分鐘或更短時間定時更新一次
	智慧技術使掃描在更精準、更快速並在更短時間內完成
高階防護
	諾頓啟動恢復工具可以修復、恢復並啟動受到嚴重感染而無法啟動的電腦
	可以利用基於雲的線上情報實時檢測威脅
	下載智慧分析可以在您安裝或執行新下載的檔案和應用程式前向您發出其中可能包含風險的預警
	阻止瀏覽器、作業系統以及應用程式威脅，保護您免於受感染網站的威脅
	通過主動式多層防護系統來保護您免受最新的威脅侵擾
	實時SONAR 主動防護技術可以在傳統的定義可用之前檢測新出現的間諜軟體和病毒
身份防護
	阻止黑客攻擊您的電腦
	阻止網頁仿冒網站
	“線上身份安全”讓您可安全地儲存和管理登入與個人資訊
	通過自動登入和表單填寫功能保護您免於擊鍵記錄程式的威脅
	驗證常用的網上購物和網上銀行網站
網路
	幫助保護和監視您的家用網路
	在連線到公共無線網路時自動保護您的電腦

 

諾頓個人防火牆的整體設計非常優秀，處處顯出大家風範，該系統包含的很多功能只有在企業級安全軟體中才能見到。在保護能力上諾頓足以滿足個人計算機使用者的需要，特別是能夠與反病毒等元件結合的時候可以獲得極為全面的安全防禦。一個比較明顯的問題在於只需要基本防火牆功能的使用者是否願意犧牲如此多的系統資源，執行效能問題使得諾頓更適合應用在具有足夠效能的計算機上。

 

校園網存在的問題及其解決方法

校園網總體上分為校園內網和校園外網以及提供各種服務的伺服器群。校園內網主要包括教學區域網、圖書館區域網、辦公自動化區域網等。外部網主要實現校園網與Internet的

基礎接入。校園網的伺服器群構成了校園網的服務系統，主要包括DNS、Web、FTP、視訊點播以及Mail服務等。校園網雖然速度快、規模大，但計算機系統管理複雜，隨著其應用的深入，校園網路的安全問題也逐漸突出，直接影響著學校的教學、管理、科研活動。根據

校園網路的基本結構，可以分析出校園網路存在的安全隱患和漏洞主要有以下幾個方面：

    第一，非正常途徑訪問或內部破壞。如篡改人事檔案記錄；私自改變程式設定，引起系統混亂。以及為了個人私利竊取機密資料。這些行為都嚴重地破壞了學校的管理秩序。

    第二，校園網使用者對網路資源的濫用。有人利用校園網資源進行商業的或免費的視訊、軟體資源下載服務，甚至有的是提供pornography、暴力、reactionary資源和站點，內外網惡意使用者可能利用利用一些工具對網路及伺服器發起DoS/DDoS攻擊，導致網路及服務不可用，從而導致大量非法內容或垃圾郵件出入，佔用了大量珍貴的網路頻寬，Internet資源嚴重被浪費，造成流量堵塞、上網速度慢等問題。

    第三，計算機病毒的破壞和系統漏洞的存在。目前，校園網中廣泛使用的作業系統主要是Windows，存在各種各樣的安全問題，伺服器、作業系統、防火牆、TCP/IP協議等方面都存在安全漏洞。學校對作業系統不能進行及時更新，計算機病毒就利用作業系統的漏洞進行傳染。如ARP欺騙病毒、網路執行官、網路特工、灰鴿子等木馬病毒，表現為集體掉線、部分掉線、單機掉線、帳號和密碼被盜等，這些嚴重威脅了校園網路的正常使用。

    第四，開放的網路環境極易受到攻擊，有來自網路外部的入侵、攻擊等惡意破壞行為。當下有很多政府網站每天受到各種外部的攻擊，學校的校園網也一樣有這些威脅。如黑客經常利用網路攻擊校園網的伺服器，以竊取一些重要資訊。目前在因特網上，可以自由下載很多攻擊工具，這類攻擊工具設定簡單、使用方便，破壞力大，這意味著攻擊所需要的技術門檻大大降低。

    第五，網路硬體安全問題。從物理上講,任何個人或部門都不可能時刻對這些裝置進行全面監控。另一個方面，大多數學校網路建設經費不足，所以就將有限的經費投在關鍵裝置上，對於網路安全建設沒有比較系統的投入，使得校園網處在一個開放的狀態，沒有有效的安全預警手段和防範措施，還有校園網路涉及硬體的裝置分佈在整個校園內，管理起來有一定的難度，暴露在外面的設施，都有可能遭到有意或無意地損壞，這樣可能會造成校園網絡全部或部分癱瘓的嚴重後果。

    第六，校園網安全管理有缺陷。校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅。 

針對校園網可能存在的安全問題，我提出了一些解決方案。由於校園網的安全問題是一個較為複雜的系統工程，要從使用者、管理、技術三方面的因素來考慮。從嚴格的意義上來講，100%的安全網路系統是沒有的，網路安全工作是一個循序漸進、不斷完善的過程。 在目前的情況下，需要全面考慮綜合運用防火牆、入侵檢測、防毒軟體等多項技術，互相配合、加強管理。為了提高校園網路的安全性，提出以下幾點安全策略：

1，入網訪問控制、網路的許可權控制和網路監測和鎖定控制。

入網訪問控制為網路訪問提供了第一層訪問控制, 它控制哪些使用者能夠登入到網路並獲取網路資源；控制准許使用者入網的時間和准許他們在哪臺計算機上入網。網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。使用者和使用者組被賦予一定的許可權。網路控制使用者和使用者組可以訪問哪些資源；可以指定使用者對這些資源能夠執行哪些操作。網路管理員應對網路實施監控, 伺服器應記錄使用者對網路資源的訪問, 對非法的網路訪問, 伺服器應以圖形或文字或聲音等形式報警, 以引起網路管理員的注意。如果不法之徒試圖進入網路, 網路伺服器應會自動記錄企圖嘗試進入網路的次數, 如果非法訪問的次數達到設定數值, 那麼該賬戶將被自動鎖定。 

 2 ，防範防範計算機病毒和系統安全漏洞。

使用者要及時更新作業系統，安裝各種補丁程式非常重要。藉助第三方產品（如：漏洞掃描系統）的幫助，及時發現安全隱患。要建立防範體系：（1）作為校園網的網路管理人員，要為系統使用安全策略，如賬戶設定、稽核策略、網路訪問、安全選項設定等，使用安全策略不僅可以有效防範病毒，監控系統狀態，還可以防範黑客攻擊。（2）選擇合適的防病毒軟體，及時更新病毒庫。（3）計算機使用者要增強網路安全意識。不要輕易使用盜版和存在安全隱患的軟體；不輕易瀏覽一些缺乏可信度的網站等。

    3，網路安全隔離和監控措施。 

合理使用防火牆，可以構築內外網之間的安全屏障，有效地將內部網與外部網隔離開來，有利於提高網路抵抗黑客攻擊的能力和系統的安全性。在WindowsXP/2000系統中可以開啟自身帶的防火牆功能，但最好還是安裝專業的防火牆軟體，如天網、360安全衛士和瑞星防火牆等。同時，在不影響網路正常執行的情況下，增加內部網路監控機制，可以最大限度地保護網路資源。如：配備入侵檢測系統（IDS，Intrusion Detection System），入侵防禦系統（IPS，Intrusion Prevention System），Web、E-mail、BBS的安全監測系統和網路監聽系統等。通過監控手段，增強網路安全的自我適應性和反應能力，及時發現不安全因素，從而保證網路服務的正常提供。通過使用網管軟體、日誌分析軟體、MRTG和Sniffer等工具，形成一個功能較完整、覆蓋面較廣的監控管理系統。

4，保證裝置安全、資料備份和恢復。

裝置的安全是整個網路安全的前提。包括裝置的防盜、防毀、抗電磁干擾及電源保護等。在校園網規劃設計階段就應該充分考慮到網路裝置的安全問題,將各種伺服器、主幹交換機和路由器等一些重要的裝置儘量實行集中管理;各種通訊線路儘量實行深埋、穿管線或架空，並標上明顯標記,防止意外損壞。對於終端裝置和其他轉接裝置要落實到人,進行嚴格管理。重要的資料要及時備份，備份前要進行病毒查殺，資料備份可採取異地備份、光碟備份等多種方式。對於校園網的管理員來說，要做好各種應急準備工作，必須要有一套應急修復工具，如系統啟動盤、DOS版防毒盤、緊急系統恢復盤、各種作業系統盤、常用應用軟體包、最新系統補丁盤等，並且做好分割槽表、DOS引導扇區、登錄檔等的備份工作，這樣可提高系統維護和修復時的工作效率。 

    5，制定切實可行的網路安全管理制度。

在網路安全中, 除採用技術措施之外, 加強網路的安全管理, 制定有關的規章制度, 對於確保網路安全、可靠地執行將起到十分有效的作用。主要包括以下幾方面的內容：

  （1）建立一個權威的資訊保安管理機構，制定統管全域性的網路資訊保安規定。

  （2）制定網路管理員的激勵制度，促使他們提高工作熱情，加強工作責任心。

  （3）對網路管理員進行專業知識和技能的培訓，培養一支具有安全管理意識的網管隊伍，使他們從技術上提高應對各種攻擊破壞的能力。

  （4）把網路資訊保安的基本知識納入學校各專業教育之中。

  （5）對學校教師和其他人員進行資訊保安知識普及教育。

  （6）在學校的網站設立網路安全資訊釋出欄目，釋出網路法令法規、網路病毒公告、作業系統更新公告等，並提供常用軟體的補丁下載。

通過分析，校園網路的安全問題，不僅是裝置，技術的問題，更是管理的問題。對於校園網路的管理人員來講，一定要提高網路安全意識，加強網路安全技術的掌握，注重對學生教工的網路安全知識培訓，而且更需要制定一套完整的規章制度來規範上網人員的行為。