網(wǎng)絡(luò)安全技術(shù)論文三篇
今天學(xué)習(xí)啦小編要跟大家分享的是網(wǎng)絡(luò)安全技術(shù)論文三篇,歡迎大家閱讀!!!
網(wǎng)絡(luò)安全技術(shù)論文一:
計算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、加密及數(shù)字簽名技術(shù)、PKI技術(shù)等,以下就此幾項技術(shù)分別進(jìn)行分析。
一、防火墻技術(shù)
防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機(jī)與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
二、加密及數(shù)字簽名技術(shù)
加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于Internet上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。
不對稱加密,即“公開密鑰密碼體制,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。
目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),DES對64位二進(jìn)制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù),實際密鑰長度為56位(有8位用于奇偶校驗,解密時的過程和加密時相似,但密鑰的順序正好相反),這個標(biāo)準(zhǔn)由美國國家安全局和國家標(biāo)準(zhǔn)與技術(shù)局來管理。DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中?,F(xiàn)在DES也可由硬件實現(xiàn),AT&T首先用LSI芯片實現(xiàn)了DES的全部工作模式,該產(chǎn)品稱為數(shù)據(jù)加密處理機(jī)DEP。另一個系統(tǒng)是國際數(shù)據(jù)加密算法(IDEA),它比DES的加密性好,而且計算機(jī)功能也不需要那么強(qiáng)。在未來,它的應(yīng)用將被推廣到各個領(lǐng)域。IDEA加密標(biāo)準(zhǔn)由PGP(Pretty Good Privacy)系統(tǒng)使用,PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統(tǒng)。在PGP系統(tǒng)中,使用IDEA(分組長度128bit)、RSA(用于數(shù)字簽名、密鑰管理)、MD5(用于數(shù)據(jù)壓縮)算法,它不但可以對你的郵件保密以防止非授權(quán)者閱讀,還能對你的郵件加以數(shù)字簽名從而使收信人確信郵件是由你發(fā)出。
在電腦網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字簽名技術(shù)將是未來最通用的個人安全防范技術(shù),其中采用公開密鑰算法的數(shù)字簽名會進(jìn)一步受到網(wǎng)絡(luò)建設(shè)者的青睞。這種數(shù)字簽名的實現(xiàn)過程非常簡單:首先,發(fā)送者用其秘密密鑰對郵件進(jìn)行加密,建立了一個“數(shù)字簽名”,然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者,接收者在收到郵件后使用發(fā)送者的另一個密匙——公開密鑰對簽名進(jìn)行解密,如果計算的結(jié)果相同他就通過了驗證。數(shù)字簽名能夠?qū)崿F(xiàn)對原始郵件不可抵賴性的鑒別。另外,多種類型的專用數(shù)字簽名方案也將在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通信中得到應(yīng)用。
三、PKI技術(shù)
PKI(Public Key Infrastructure,公開密鑰基礎(chǔ)設(shè)施)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗證數(shù)字證書持有者身份。例如,某企業(yè)可以建立公鑰基礎(chǔ)設(shè)施(PKI)體系來控制對其計算機(jī)網(wǎng)絡(luò)的訪問。在將來,企業(yè)還可以通過公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)來完成對進(jìn)入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。
PKI讓個人或企業(yè)安全地從事其商業(yè)行為。企業(yè)員工可以在互聯(lián)網(wǎng)上安全地發(fā)送電子郵件而不必?fù)?dān)心其發(fā)送的信息被非法的第三方(競爭對手等)截獲。企業(yè)可以建立其內(nèi)部Web站點,只對其信任的客戶發(fā)送信息。
PKI采用各參與方都信任一個同一CA(認(rèn)證中心),由該CA來核對和驗證各參與方身份的身份這種信任機(jī)制。例如,許多個人和企業(yè)都信任合法的駕駛證或護(hù)照。這是因為他們都信任頒發(fā)這些證件的同一機(jī)構(gòu)——政府,因而他們也就信任這些證件。然而,一個學(xué)生的學(xué)生證只能被核發(fā)此證的學(xué)校來進(jìn)行驗證。數(shù)字證書也一樣。
在一個典型、完整和有效的PKI系統(tǒng)中,除證書的創(chuàng)建和發(fā)布,特別是證書的撤銷,一個可用的PKI產(chǎn)品還必須提供相應(yīng)的密鑰管理服務(wù),包括密鑰的備份、恢復(fù)和更新等。沒有一個好的密鑰管理系統(tǒng),將極大影響一個PKI系統(tǒng)的規(guī)模、可伸縮性和在協(xié)同網(wǎng)絡(luò)中的運行成本。在一個企業(yè)中,PKI系統(tǒng)必須有能力為一個用戶管理多對密鑰和證書;能夠提供安全策略編輯和管理工具,如密鑰周期和密鑰用途。 PKI發(fā)展的一個重要方面就是標(biāo)準(zhǔn)化問題,它也是建立互操作性的基礎(chǔ)。目前,PKI標(biāo)準(zhǔn)化主要有兩個方面:一是RSA公司的公鑰加密標(biāo)準(zhǔn)PKCS(Public Key Cryptography Standards),它定義了許多基本PKI部件,包括數(shù)字簽名和證書請求格式等;二是由Internet工程任務(wù)組IETF(Internet Engineering Task Force)和PKI工作組PKIX(Public Key Infrastructure Working Group)所定義的一組具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議。在今后很長的一段時間內(nèi),PKCS和PKIX將會并存,大部分的PKI產(chǎn)品將保持兼容性,這兩種標(biāo)準(zhǔn)都會得到支持。
四、結(jié)束語
網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。
網(wǎng)絡(luò)安全技術(shù)論文二:
1 引言
計算機(jī)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展深刻地改變了傳統(tǒng)的生產(chǎn)、經(jīng)營、管理和生活方式,在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,要想真正解決網(wǎng)絡(luò)安全問題,要從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。網(wǎng)絡(luò)安全是一個系統(tǒng)的概念,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標(biāo)。通過運用多種網(wǎng)絡(luò)安全技術(shù),如數(shù)據(jù)加密技術(shù)、訪問控制、認(rèn)證授權(quán)、防火墻、入侵檢測和防病毒等來實現(xiàn)信息安全。計算機(jī)網(wǎng)絡(luò)的高速發(fā)展帶給了人類巨大利益的同時,也帶來了許多負(fù)面的影響,在網(wǎng)絡(luò)安全體系中,為了彌補(bǔ)TCP/IP協(xié)議等各種安全漏洞,防火墻技術(shù)是很常用、很有效的防御系統(tǒng),是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。
2 防火墻
防火墻是設(shè)置在不同網(wǎng)絡(luò)或者不同網(wǎng)絡(luò)安全域之間的一系列控制裝置的組合。防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動。從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查,用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問,以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等,從而保證了所要保護(hù)的內(nèi)部計算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實現(xiàn)的功能的側(cè)重點不同,防火墻實際上代表了一個網(wǎng)絡(luò)的訪問控制原則。
2.1 防火墻的種類
從技術(shù)上看,防火墻有包過濾型、代理服務(wù)器型等幾種基本類型。它們之間各有所長,具體使用哪一種或是否混合使用,要根據(jù)具體需求確定。
2.1.1 包過濾型
包過濾型防火墻是建立在路由器上,在服務(wù)器或計算機(jī)上也可以安裝包過濾防火墻軟件。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進(jìn)行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好,對網(wǎng)絡(luò)性能影響不大,可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問,也可以用來禁止訪問某些服務(wù)類型,但是不能識別內(nèi)容有危險的信息包,無法實施對應(yīng)用級協(xié)議的安全處理。發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本相對較低,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。包過濾技術(shù)的缺陷也是明顯的。包過濾在網(wǎng)絡(luò)層上攔截所有的信息流,不保存與傳輸和應(yīng)用相關(guān)的狀態(tài)信息。體現(xiàn)出一種無狀態(tài)性。在包過濾技術(shù)里只要符合過濾規(guī)則的數(shù)據(jù)包就可以穿過防火墻,在內(nèi)網(wǎng)和外網(wǎng)間建立連接,這樣使得外部網(wǎng)可以訪問內(nèi)部網(wǎng),無形中增加了內(nèi)部網(wǎng)的危險性。
2.1.2 代理服務(wù)器型
代理服務(wù)器型防火墻是在計算機(jī)或服務(wù)器上運行代理的服務(wù)程序,直接對特定的應(yīng)用層進(jìn)行服務(wù),因此也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)防火墻在內(nèi)部網(wǎng)中設(shè)置了一個代理服務(wù)器,并將外部網(wǎng)和內(nèi)部網(wǎng)之間的連接分為兩段,一段是從外部網(wǎng)上的客戶端主機(jī)請求引到代理服務(wù)器,另一段由代理服務(wù)器連到內(nèi)部網(wǎng)的某個主機(jī)服務(wù)器上。代理服務(wù)器型防火墻的核心,是運行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程,實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。代理服務(wù)器型防火墻的缺點是可能影響網(wǎng)絡(luò)的性能,對用戶不透明,且對每一種TCP/IP服務(wù)都要設(shè)計一個代理模塊,建立對應(yīng)的網(wǎng)關(guān),實現(xiàn)起來比較復(fù)雜。代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。
2.1.3 網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅解決了IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,提供一定的網(wǎng)絡(luò)安全保障。內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。
2.1.4 監(jiān)測型
監(jiān)測型防火墻技術(shù)超越了最初的防火墻的網(wǎng)絡(luò)層定義以及只位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間接口的位置定義。監(jiān)測型防火墻產(chǎn)品帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。
3 結(jié)束語
隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)中的惡意軟件越來越猖狂。為了盡最大可能地防范它們對網(wǎng)絡(luò)和系統(tǒng)的破壞,需要采用防火墻等網(wǎng)絡(luò)安全工具,在網(wǎng)絡(luò)邊界保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。從以上分析來看各種網(wǎng)絡(luò)安全技術(shù)都有各自的側(cè)重點和優(yōu)缺點,只有在網(wǎng)絡(luò)系統(tǒng)中將各種安全防護(hù)技術(shù)結(jié)合起來使用,才能使網(wǎng)絡(luò)安全得到最大限度的保護(hù)。
網(wǎng)絡(luò)安全技術(shù)論文三:
1 引言
21世紀(jì)全世界的計算機(jī)大部分都將通過互聯(lián)網(wǎng)連到一起,在信息社會中,隨著國民經(jīng)濟(jì)的信息化程度的提高,有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機(jī)中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大,信息的泄露問題也變得日益嚴(yán)重,因此,計算機(jī)網(wǎng)絡(luò)的安全性問題就越來越重要。
2 網(wǎng)絡(luò)威脅
2.1網(wǎng)絡(luò)威脅的來源
(1)網(wǎng)絡(luò)操作系統(tǒng)的不安全性:目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。
(2)來自外部的安全威脅:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒等。
(3)網(wǎng)絡(luò)通信協(xié)議本身缺乏安全性(如:TCP/IP協(xié)議):協(xié)議的最大缺點就是缺乏對IP地址的保護(hù),缺乏對IP包中源IP地址真實性的認(rèn)證機(jī)制與保密措施。
(4)木馬及病毒感染。
(5)應(yīng)用服務(wù)的安全:許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮的不周全。
2.2網(wǎng)絡(luò)攻擊的發(fā)展趨勢
目前新發(fā)現(xiàn)的安全漏洞每年都要增加一倍。管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞,而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo),而且現(xiàn)在攻擊工具越來越復(fù)雜,與以前相比,攻擊工具的特征更難發(fā)現(xiàn),更難利用特征進(jìn)行檢測,具有反偵察的動態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術(shù)。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術(shù)可以繞過防火墻。在許多的網(wǎng)站上都有大量的穿過防火墻的技術(shù)和資料。由此可見管理人員應(yīng)對組成網(wǎng)絡(luò)的各種軟硬件設(shè)施進(jìn)行綜合管理,以達(dá)到充分利用這些資源的目的,并保證網(wǎng)絡(luò)向用戶提供可靠的通信服務(wù)。
3 網(wǎng)絡(luò)安全技術(shù)
3.1網(wǎng)絡(luò)安全管理措施
安全管理是指按照本地的指導(dǎo)來控制對網(wǎng)絡(luò)資源的訪問,以保證網(wǎng)絡(luò)不被侵害,并保證重要信息不被未授權(quán)的用戶訪問。網(wǎng)絡(luò)安全管理主要包括:安全設(shè)備的管理、安全策略管理、安全風(fēng)險控制、安全審計等幾個方面。安全設(shè)備管理:指對網(wǎng)絡(luò)中所有的安全產(chǎn)品。如防火墻、、防病毒、入侵檢測(網(wǎng)絡(luò)、主機(jī))、漏洞掃描等產(chǎn)品實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控。
安全策略管理:指管理、保護(hù)及自動分發(fā)全局性的安全策略,包括對安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的安全策略的管理。
安全分析控制:確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程,包括風(fēng)險分析、選擇、實現(xiàn)與測試、安全評估及所有的安全檢查(含系統(tǒng)補(bǔ)丁程序檢查)。
安全審計:對網(wǎng)絡(luò)中的安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的日志信息收集匯總。實現(xiàn)對這些信息的查詢和統(tǒng)計;并通過對這些集中的信息的進(jìn)一步分析,可以得出更深層次的安全分析結(jié)果。
3.2網(wǎng)絡(luò)安全防護(hù)措施
3.2.1防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,主要方法有:堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、代理型和監(jiān)測型。
(1)包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,這種技術(shù)由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數(shù)據(jù)包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火墻便會將這些數(shù)據(jù)拒絕。包過濾的優(yōu)點是處理速度快易于維護(hù)。其缺點是包過濾技術(shù)完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法告知何人進(jìn)入系統(tǒng),無法識別基于應(yīng)用層的惡意入侵,如木馬程序,另一不足是不能在用戶級別上進(jìn)行過濾。即不能鑒別不同的用戶和防止IP盜用。
(2)網(wǎng)絡(luò)地址轉(zhuǎn)換
網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時。將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,而隱藏真實的內(nèi)部網(wǎng)絡(luò)地址。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。
(3)代理型
代理型的特點是將所有跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為二段。防火墻內(nèi)外計算機(jī)系統(tǒng)間的應(yīng)用層的“連接”由二個終止于代理服務(wù)器上的“連接”來實現(xiàn),外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,由此實現(xiàn)了“防火墻”內(nèi)外計算機(jī)系統(tǒng)的隔離,代理服務(wù)器在此等效于一個網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能,外部的惡意侵害也就很難破壞內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可對應(yīng)用層進(jìn)行偵測和掃描,對基于應(yīng)用層的入侵和病毒十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,系統(tǒng)管理復(fù)雜。
(4)監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測。在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中。不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,但其缺點是實現(xiàn)成本較高,管理復(fù)雜。所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面已開始使用監(jiān)測型防火墻。
3.2.2物理隔離
所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。雖然能夠利用防火墻、代理服務(wù)器、入侵監(jiān)測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵。但是這些技術(shù)手段都還存在許多不足,使得內(nèi)網(wǎng)信息的絕對安全無法實現(xiàn)。“物理隔離”一般采用網(wǎng)絡(luò)隔離卡的方法。它由三部分組成:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬盤分區(qū)和操作系統(tǒng),并能通過各自的專用接口與網(wǎng)絡(luò)連接。它通過有效而全面地控制計算機(jī)的硬盤數(shù)據(jù)線,使得計算機(jī)一次只能訪問及使用其中的一個硬盤分區(qū),從而最大限度地保證了安全(內(nèi)網(wǎng))與非安全(外網(wǎng))之間的物理隔離。隔離島在外網(wǎng)區(qū)域時可以讀/寫文件,而在內(nèi)網(wǎng)區(qū)域時只可以讀取文件,這樣就創(chuàng)建了一個只能從外網(wǎng)到內(nèi)網(wǎng)、操作簡便且非常安全的單向數(shù)據(jù)通道。
4 結(jié)論
隨著網(wǎng)絡(luò)的發(fā)展會有更多新的計算機(jī)的攻擊方式和手段出現(xiàn),也會有更多更新的防護(hù)技術(shù)手段出現(xiàn),做好網(wǎng)絡(luò)安全防護(hù)工作是計算機(jī)管理和應(yīng)用的重要內(nèi)容,做好計算機(jī)的安全管理,配合高效的防火墻,能夠很好地保障網(wǎng)絡(luò)的安全,極大提高網(wǎng)絡(luò)的運行效率。