淺析網絡安全技術

孫文良　劉文奇　叢　郁　蘇　華

摘要：在信息社會中人們對網絡的依賴越來越強，網絡的安全性也越來越重要，選擇合理的安全管理和防火墻是保證網絡安全的重要措施。

關鍵詞：網絡安全；網絡安全管理；防火墻

1引言

21世紀全世界的計算機大部分都將通過互聯網連到一起，在信息社會中，隨著國民經濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨著網絡應用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就越來越重要。

2網絡威脅

2.1網絡威脅的來源

(1)網絡操作系統的不安全性：目前流行的操作系統均存在網絡安全漏洞。

(2)來自外部的安全威脅：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒等。

(3)網絡通信協議本身缺乏安全性(如：TCP／IP協議)：協議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。

(4)木馬及病毒感染。

(5)應用服務的安全：許多應用服務系統在訪問控制及安全通信方面考慮的不周全。

2.2網絡攻擊的發展趨勢

目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標，而且現在攻擊工具越來越復雜，與以前相比，攻擊工具的特征更難發現，更難利用特征進行檢測，具有反偵察的動態行為攻擊者采用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術可以繞過防火墻。在許多的網站上都有大量的穿過防火墻的技術和資料。由此可見管理人員應對組成網絡的各種軟硬件設施進行綜合管理，以達到充分利用這些資源的目的，并保證網絡向用戶提供可靠的通信服務。

3網絡安全技術

3.1網絡安全管理措施

安全管理是指按照本地的指導來控制對網絡資源的訪問，以保證網絡不被侵害，并保證重要信息不被未授權的用戶訪問。網絡安全管理主要包括：安全設備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設備管理：指對網絡中所有的安全產品。如防火墻、VPN、防病毒、入侵檢測(網絡、主機)、漏洞掃描等產品實現統一管理、統一監控。

安全策略管理：指管理、保護及自動分發全局性的安全策略，包括對安全設備、操作系統及應用系統的安全策略的管理。

安全分析控制：確定、控制并消除或縮減系統資源的不定事件的總過程，包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查(含系統補丁程序檢查)。

安全審計：對網絡中的安全設備、操作系統及應用系統的日志信息收集匯總。實現對這些信息的查詢和統計；并通過對這些集中的信息的進一步分析，可以得出更深層次的安全分析結果。

3.2網絡安全防護措施

3.2.1防火墻技術

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備，主要方法有：堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換(NAT)、代理型和監測型。

(1)包過濾型

包過濾型產品是防火墻的初級產品，這種技術由路由器和Filter共同完成，路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數據包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險站點，防火墻便會將這些數據拒絕。包過濾的優點是處理速度快易于維護。其缺點是包過濾技術完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法告知何人進入系統，無法識別基于應用層的惡意入侵，如木馬程序，另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。

(2)網絡地址轉換

網絡地址轉換在內部網絡通過安全網卡訪問外部網絡時。將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，而隱藏真實的內部網絡地址。利用網絡地址轉換技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部結構，同時允許內部網絡使用自編的IP地址和專用網絡。防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。

(3)代理型

代理型的特點是將所有跨越防火墻的網絡通訊鏈路分為二段。防火墻內外計算機系統間的應用層的“連接”由二個終止于代理服務器上的“連接”來實現，外部計算機的網絡鏈路只能到達代理服務器，由此實現了“防火墻”內外計算機系統的隔離，代理服務器在此等效于一個網絡傳輸層上的數據轉發器的功能，外部的惡意侵害也就很難破壞內部網絡系統。代理型防火墻的優點是安全性較高，可對應用層進行偵測和掃描，對基于應用層的入侵和病毒十分有效。其缺點是對系統的整體性能有較大的影響，系統管理復雜。

(4)監測型

監測型防火墻是新一代的產品，監測型防火墻能夠對各層的數據進行主動的、實時的監測。在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中。不僅能夠監測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品，但其缺點是實現成本較高，管理復雜。所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面已開始使用監測型防火墻。

3.2.2物理隔離

所謂“物理隔離”是指內部網不得直接或間接地連接公共網。雖然能夠利用防火墻、代理服務器、入侵監測等技術手段來抵御來自互聯網的非法入侵。但是這些技術手段都還存在許多不足，使得內網信息的絕對安全無法實現?！拔锢砀綦x”一般采用網絡隔離卡的方法。它由三部分組成：內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站，分別有自己獨立的硬盤分區和操作系統，并能通過各自的專用接口與網絡連接。它通過有效而全面地控制計算機的硬盤數據線，使得計算機一次只能訪問及使用其中的一個硬盤分區，從而最大限度地保證了安全(內網)與非安全(外網)之間的物理隔離。隔離島在外網區域時可以讀／寫文件，而在內網區域時只可以讀取文件，這樣就創建了一個只能從外網到內網、操作簡便且非常安全的單向數據通道。

4結論

隨著網絡的發展會有更多新的計算機的攻擊方式和手段出現，也會有更多更新的防護技術手段出現，做好網絡安全防護工作是計算機管理和應用的重要內容，做好計算機的安全管理，配合高效的防火墻，能夠很好地保障網絡的安全，極大提高網絡的運行效率。