计算机网络安全有三个主要目标：防止对网络资源未经授权的访问；检测并阻止正在进行的网络攻击和安全漏洞；并确保授权用户在需要时能够安全地访问他们所需的网络资源。

随着网络规模和复杂性的增加， 网络攻击 的风险也在上升。例如，根据 IBM 的《 2023 年数据泄露成本 》报告，组织经历的 82% 的 数据泄露 （一种导致未经授权访问敏感或机密信息的安全漏洞）涉及存储在云端的数据。这些攻击代价高昂：全球数据泄露的平均成本为 445 万美元，而美国数据泄露的平均成本是这一数字的两倍多，达到 948 万美元。

计算机网络安全可保护网络基础架构、资源和流量的完整性，阻止这些攻击并最大程度地减少对财务和运营的影响。

计算机网络安全系统在两个层面上工作：在外围和网络内部。

在外围，安全控制措施试图阻止网络威胁进入网络。但网络攻击者有时会突破网络，因此 IT 安全团队也会对网络内的资源（如笔记本电脑和数据）进行控制。即使攻击者进入了网络，他们也不能肆意妄为。这种在黑客与潜在 漏洞 之间建立多重分层控制的策略被称为“纵深防御”。

要建立计算机网络安全系统，安全团队需要结合使用以下工具：

防火墙是一种软件或硬件，可以阻止可疑流量进入或离开网络，同时允许合法流量通过。防火墙可以部署在网络边缘，也可以在内部使用，将较大的网络划分为较小的子网。如果网络的一部分被入侵，仍会切断黑客与其他部分的联系。

不同类型的防火墙具有不同的功能。基本防火墙使用包过滤功能来检查流量。更先进的下一代防火墙 (NGFW) 添加了入侵防御、AI 和机器学习、应用程序感知和控制以及 威胁情报 源，以提供额外的保护。

网络访问控制解决方案如同守门员，它可对用户进行身份验证和授权，以确定谁可以进入网络以及他们在网络中可以做什么。“身份验证”是指验证用户是否是他们声称的身份。此外，它还表示会向经过身份验证的用户授予访问网络资源的权限。

NAC 解决方案通常用于实施基于角色的访问控制 (RBAC) 策略，其中用户的权限基于其工作职能。例如，初级开发人员或许能查看和编辑代码，但无法实时推送代码。相比之下，高级开发人员可读取、编写代码并将其推送到生产环境。RBAC 通过让未经授权的用户远离他们无权访问的资产来帮助防止数据泄露。

除了对用户进行身份验证之外，一些 NAC 解决方案还可以对用户端点进行风险评估。这样做的目的是防止不安全或被入侵的设备访问网络。如果用户试图使用反恶意软件已过时或配置不正确的设备进入网络，NAC 将拒绝其访问。一些高级 NAC 工具可以自动修复不合规的端点。

虚拟专用网络 (VPN) 通过加密数据并遮蔽其 IP 地址和位置来保护用户的身份。当有人使用 VPN 时，他们不再直接连接到互联网，而是连接到一个安全服务器，由安全服务器代表他们连接到互联网。

VPN 可以帮助远程工作人员安全地访问公司网络，即使是通过咖啡店和机场等不安全的公共 Wi-Fi 连接。VPN 对用户的流量进行加密，确保其安全，防止黑客拦截其通信。

某些组织使用零信任网络访问 (ZTNA)，而不是 VPN。ZTNA 不使用代理服务器，而是使用零信任访问控制策略来安全连接远程用户。远程用户通过 ZTNA 登录网络时，并不能访问整个网络。而是只能访问他们获准使用的特定资产，并且每次访问新资源时都必须重新验证。

应用程序安全是指安全团队为保护应用程序和 应用程序编程接口 (API) 免受网络攻击而采取的措施。由于当今许多公司都使用应用程序来执行关键业务功能或处理敏感数据，因此应用程序是网络罪犯的常见目标。而且由于如此多的商业应用程序托管在公有云中，黑客可以利用它们的漏洞侵入公司专用网络。

应用程序安全措施可保护应用程序免受恶意参与者的侵害。常见的应用程序安全工具包括 Web 应用程序防火墙、运行时应用程序自我保护、静态应用程序安全测试和 动态应用程序安全测试 。

虽然以下工具严格来说并不是网络安全工具，但网络管理员经常使用它们来保护网络上的区域和资产。

数据丢失预防 (DLP)

数据丢失预防是指确保敏感数据既不会失窃也不会意外泄露的 信息安全 策略和工具。DLP 包括数据安全策略和专门构建的技术，而它们可用于跟踪数据流、加密敏感信息并在检测到可疑活动时发出警报。

端点安全 解决方案可保护 连接到网络的任意设备（例如笔记本电脑、台式机、服务器、移动设备或 IoT 设备），从而防止黑客试图利用它们潜入网络。防病毒软件可在设备上的特洛伊木马、间谍软件和其他恶意软件传播到网络的其余部分之前对其进行检测和销毁。