網絡安全技術探析

王玉霞

摘 要：網絡安全問題日益重要，本文比較了防火墻技術、入侵檢測技術和加密技術，介紹了SSL協議、HTTPS協議和L2TP協議等網絡安全協議，以期探尋新技術手段有效管理網絡。

關鍵詞：網絡安全 防火墻 安全協議

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）02（c）-0033-01

隨著計算機網絡技術正朝著分布式方向飛速發展，網絡信息安全問題越來越重要。網絡安全涉及數學、網絡技術、計算機技術、信息安全技術等多門學科，確保網絡環境下系統運行安全可靠、信息保密、數據完整，使網絡系統安全運行。

1 傳統網絡安全技術比較

1.1 防火墻技術

防火墻是最早成熟、使用廣泛的網絡安全工具，用來阻擋外來不穩定因子影響內部網絡，防止黑客對網絡的攻擊和控制。防火墻安全隔離技術，也成為一種數據控制訪問機制，在內部網建立起安全網關，它主要有服務訪問政策、驗證工具、包過濾以及應用網關四部分組成，是介于計算機及其連接網絡間的軟件或者硬件。從防火墻的實現原理分為四類：網絡級防火墻、應用級防火墻、電路級網關以及規則檢查防火墻。這四類防火墻技術都有各自的優勢，在使用過程中根據實際需要使用哪一種或是綜合使用。

1.2 入侵檢測技術

入侵檢測系統的發展經歷了集中式階段（基本模型是通用入侵檢測模型）、層次式（層次化入侵檢測模型）、集成式（管理式入侵檢測模型）三個階段。入侵檢測系統采用的技術分為兩種：特征檢測、異常檢測和混合檢測。特征檢測根據以往檢測出來的入侵方法，并做出定性描述，檢測主體活動是否符合已檢測出的事件模式，當檢測的事件模式與已知的模式匹配，則較準確地預報檢測結果，但是對于新出現的入侵模式無能為力；異常檢測主要理念是假設入侵事件和正常主體活動異常，建立記錄主體活動行為，若當前活動主體情況與所建立的記錄不符合，則認為是異常入侵活動；混合檢測是特征檢測和異常檢測的綜合技術，不僅可以分析正常行為，還檢測異常入侵行為。

1.3 加密技術

加密技術室將明文采用數學或物理方法將明文信息轉換成密文，接收方采用相應的方法才能將其解密并還原成明文。加密技術成為通信安全的基石，加密的過程有不同的加密算法來實施，迄今為止，各種加密的算法已多達數百種，這些加密算法按照雙方密鑰是否相同分為保密密碼算法和公鑰密碼算法，也分別對稱加密和非對稱加密加密算法。對稱加密算法的典型代表是DES（Data Encryption Standard）算法，非對稱加密算法的典型代表是RSA（Rivest Shamir Ad1eman）算法。在線交易的過程中可通過數字證書驗證身份，用數字簽名對數據包進行加密，接手者才可以解密，確保了數據傳遞過程中的安全性，發送方也不能否認所發送的信息。

2 網絡安全協議

2.1 SSL協議

SSL協議是Netscape公司開發的安全套接字協議層，為網絡管理提供安全保護，為數據鏈傳輸數據遭到破壞和更改。SSL協議應用于TCP/IP協議和應用層協議之間，對服務器和用戶進行認證，確保數據安全傳輸，在傳輸的過程中加密數據，維護傳輸數據的安全性和完整性。SSL協議主要有四個協議組成：記錄協議、握手協議、告警協議和秘鑰更改協議，其工作流程有服務器認證階段和用戶認證階段。在服務器認證階段，客戶端向服務器發送請求，建立一個新的回話鏈接，服務器根據客戶發送的請求確定是否響應，若驗證通過，則產生公開密鑰，公開迷藥加密后由客戶端傳給服務器；在用戶認證階段，客戶端根據服務發送的提問，返回經過數字簽名后的提問以及公開密鑰，服務器完成對客戶的認證。

2.2 HTTPS協議

HTTPS協議是安全超文本傳輸協議，是Netscape開發的內置于瀏覽器，適用于分布式超媒體信息系統。HTTPS協議使用HTTP通道，傳輸密文，適用Netscape的安全套接層（SSL）成為HTTPS協議的安全基礎。HTTPS是加密的傳輸協議，使用的端口是443，由SSL和HTTP協議共同構建的加密傳輸協議，除可以進行加密傳輸，還可進行身份驗證，安全性高于http協議。使用HTTPS的服務器向CA（Certificate Authority）申請證書用以證明服務器的用途類型。客戶端若取得信任的主機必須有該證書用于相應的服務器。盡管傳輸的過程效率很低，但是安全性是很高的，特別對于銀行等部門對于安全性要求很高的系統。

2.3 L2TP協議

PPP協議封裝數據，其數據包可通過點到點二層鏈路上傳輸，為此微軟和思科提出了L2TP協議。L2TP協議支持PPP鏈路層數據包的隧道傳輸，PPP回話點和二層鏈路的端點在不同設備上，其信息交互使用了包交換技術，有效將PPP模型進行了拓展。協議主要層次結構描述了PPP數據幀、L2TP數據消息、L2TP控制消息、L2TP數據通道、數據包傳輸網絡之間的關系，PPP數據幀傳輸在數據通道上，而控制消息傳輸在可靠的控制通道，抑制網絡數據的速率，使得接受端來得及接收，盡量避免數據因擁塞而造成的數據包丟失。

2.4 IPSEC協議

IPSEC協議是國際互聯網工程任務組制定的一種適用于網絡的加密認證標準，具有工業開放標準的框架結構，其主要功能是為點到點通信提供認證和加密，為通絡通信提供安全服務。該協議在發送方IP和接收方IP地址間建立信任，通過篩選數據包和實施受信任的通訊維護網絡安全。IP地址不需要進行標識，但身份驗證程序驗證地址后面的數據包，實施計算機終端的安全設置。當從發送方和接收方進行防火墻類型的數據包或地址轉換，僅僅源向目標路由數據的通信并不需要IPSEC。其安全特性主要有：不可否認性、反重播性、數據完整性、數據可靠性（加密）、認證。

網絡安全技術為網絡信息傳輸提供保護，保護計算機硬件和軟件免遭破壞和更改，保障信息安全，確保網絡運行環境的安全。由于網絡運行環境的多變性和復雜性日益突出，網絡安全受到重大挑戰，探尋新技術手段有效管理網絡具有十分重要的意義。

參考文獻

[1] Sean Convery.Network Security Architectures[M].人民郵電出版社，2005.

[2] 楊栩燊.入侵檢測技術淺析[J].電腦與電信，2009，7.

[3] 劉遠生，辛一.計算機網絡安全[M].2版.清華大學出版社，2009.

[4] 馬春光.防火墻、入侵檢測與VPN[M].北京郵電大學出版社，2008.endprint