淺論網絡安全

郭　佳

21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域走向大眾化。面對信息社會、網絡社會,我們需要建立起一套完整的網絡安全體系,而構成這一體系的是網絡安全產品。

一、網絡安全產品的特點

網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

二、防火墻

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶用非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足,即無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT型、代理型和監測型。

1.包過濾型產品是防火墻的初級產品

其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”作為基本單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。

2.網絡地址轉換型

這是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。

3.代理型防火墻

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。

4.監測型防火墻

監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品。

雖然監測型防火墻安全性上已超越了包過濾型防火墻和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在使用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。

(作者單位:山西陽泉市技工學校)