防火墻是一種高級訪問控制設備，是置于不同網(wǎng)絡安全域之間的一系列部件的組合，是不同網(wǎng)絡安全域間通信流的惟一通道，它能根據(jù)有關的安全策略控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡的訪問行為。防火墻是網(wǎng)絡安全的屏障，是提供安全信息服務、實現(xiàn)網(wǎng)絡安全的基礎設施之一。

防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，防止來自被保護區(qū)域外部的攻擊，并通過過濾不安全的服務而降低風險；能防止內(nèi)部信息外泄和屏蔽有害信息，利用防火墻對內(nèi)部網(wǎng)絡的劃分，可以實現(xiàn)內(nèi)部網(wǎng)絡重點網(wǎng)段的隔離，限制安全問題擴散，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響；能強化網(wǎng)絡安全策略，將局域網(wǎng)的安全管理集中在一起，便于統(tǒng)一管理和執(zhí)行安全策略；能嚴格監(jiān)控和審計進出網(wǎng)絡的信息，如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。

數(shù)據(jù)加密能防止入侵者查看、篡改機密的數(shù)據(jù)文件，使入侵者不能輕易地查找一個系統(tǒng)的文件。數(shù)據(jù)加密技術是網(wǎng)絡中最基本的安全技術，主要是通過對網(wǎng)絡中傳輸?shù)男畔⑦M行加密來保障其安全性，是一種主動的安全防御策略。

數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換受“密鑰”控制。常用的數(shù)據(jù)加密技術有私用密鑰加密技術和公開密鑰加密技術。私用密鑰加密技術利用同一個密鑰對數(shù)據(jù)進行加密和解密，這個密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信息，也可以用該密鑰解密信息。DES是私用密鑰加密技術中最具代表性的算法。公開密鑰加密技術采用兩個不同的密鑰進行加密和解密，這兩個密鑰是公鑰和私鑰。如果用公鑰對數(shù)據(jù)進行加密，只有用對應的私鑰才能進行解密；如果用私鑰對數(shù)據(jù)進行加密，則只有用對應的公鑰才能解密。公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的用公鑰加密過的信息。目前比較安全的采用公開密鑰加密技術的算法主要有RSA算法及其變種Rabin算法等。

入侵檢測是對入侵行為的檢測，它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

用于入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)，入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘門，它能監(jiān)視分析用戶及系統(tǒng)活動，查找用戶的非法操作，評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，檢測系統(tǒng)配置的正確性，提示管理員修補系統(tǒng)漏洞；能實時地對檢測到的入侵行為進行反應，在入侵攻擊對系統(tǒng)發(fā)生危害前利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊，在入侵攻擊過程中減少入侵攻擊所造成的損失，在被入侵攻擊后收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入侵策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵攻擊。

入侵檢測作為一動態(tài)安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，它與靜態(tài)安全防御技術(防火墻)相互配合可構成堅固的網(wǎng)絡安全防御體系。

安全掃描就是對計算機系統(tǒng)或者其它網(wǎng)絡設備進行安全相關的檢測，以找出安全隱患和可能被攻擊者利用的漏洞。安全掃描是把雙刃劍，攻擊者利用它可以入侵系統(tǒng)，而管理員利用它可以有效地防范攻擊者入侵。

安全掃描常采用基于網(wǎng)絡的主動式策略和基于主機的被動式策略。主動式策略就是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞；而被動式策略就是對系統(tǒng)中不合適的設置，脆弱的口令以及其它同安全規(guī)則抵觸的對象進行檢查。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網(wǎng)絡安全掃描。

目前，安全掃描主要涉及四種檢測技術：基于應用的檢測技術、基于主機的檢測技術、基于目標的漏洞檢測技術、基于網(wǎng)絡的檢測技術。

網(wǎng)絡安全是動態(tài)的，對已經(jīng)建立的系統(tǒng)，如果沒有實時的、集中的可視化審計，就不能及時評估系統(tǒng)的安全性和發(fā)現(xiàn)系統(tǒng)中存在的安全隱患。網(wǎng)絡安全審計就是在一個特定的網(wǎng)絡環(huán)境下，為了保障網(wǎng)絡和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，而運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報警、分析、處理的一種技術手段，它是一種積極、主動的安全防御技術。

計算機網(wǎng)絡安全審計主要包括對操作系統(tǒng)、數(shù)據(jù)庫、Web、郵件系統(tǒng)、網(wǎng)絡設備和防火墻等項目的安全審計，以及加強安全教育，增強安全責任意識。目前，網(wǎng)絡安全審計系統(tǒng)主要包含以下幾種功能：采集多種類型的日志數(shù)據(jù)、日志管理、日志查詢、入侵檢測、自動生成安全分析報告、網(wǎng)絡狀態(tài)實時監(jiān)視、事件響應機制、集中管理。

安全管理就是指為實現(xiàn)信息安全的目標而采取的一系列管理制度和技術手段，包括安全檢測、監(jiān)控、響應和調(diào)整的全部控制過程。需要指出的是，不論多么先進的安全技術，都只是實現(xiàn)信息安全管理的手段而已，信息安全源于有效地管理，要使先進的安全技術發(fā)揮較好的效果，就必須建立良好的信息安全管理體系，制定切合實際的網(wǎng)絡安全管理制度，加強網(wǎng)絡安全的規(guī)范化管理力度，強化網(wǎng)絡管理人員和使用人員的安全防范意識。只有網(wǎng)絡管理人員與使用人員共同努力，才能有效防御網(wǎng)絡入侵和攻擊，才能使信息安全得到保障。

　　計算機網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程，防御網(wǎng)絡入侵與攻擊只是保障網(wǎng)絡信息安全的一部分。隨著計算機網(wǎng)絡的快速應用和普及，網(wǎng)絡信息安全的不確定因素也越來越多，我們必須綜合考慮各種安全因素，認真分析各種可能的入侵和攻擊形式，采取有效的技術措施，制定合理的網(wǎng)絡安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。

[1] 宋勁松.網(wǎng)絡入侵檢測——分析、發(fā)現(xiàn)和報告攻擊.國防工業(yè)出版社.2004年9月

[2] 袁德月，喬月圓.計算機網(wǎng)絡安全.電子工業(yè)出版社.2007年6月

[3] (美)福斯特 等著，蔡勉 譯.緩沖區(qū)溢出攻擊——檢測、剖析與預防.清華大學出版社.2006年12月

[4 ] 梅云紅.計算機網(wǎng)絡安全隱患與防范策略的探討.計算機與信息技術.2007年09期

[5] GA-T_391-2002_計算機信息系統(tǒng)安全等級保護管理要求