网络安全技术范文
时间:2023-02-26 16:09:07
网络安全技术范文第1篇
摘要:现阶段,我国的互联网技术发展得越来越好,在互联网发展的同时,其中也存在很多挑战与危险。由于网络存在互联性、开放性等特征,因此极易受到恶意软件与黑客的攻击,网络信息的安全性无法得到保障,网络安全技术在其中显得尤为重要。网络安全技术的主要目的就是给所有的网络用户提供一个认证与保密机制,确保网络服务的安全性。本文主要分析网络安全技术的具体内容与其在企业中的应用。
关键词:网络安全技术;应用;防火墙技术
网络安全技术的使用有利于确保网络数据与网络服务不受到外界的干扰与侵害。目前,人们的网络安全保护意识越来越强,网络安全技术可降低网络数据被破坏的风险,在互联网信息传输中发挥着重要作用。这种技术需要以计算机系统的硬件与软件作为支撑,信息数据得到保护后,可降低信息数据被泄露、更改的风险,确保网络信息技术的正常运行。现阶段,互联网的应用十分广泛,在应用过程中,网络数据的安全性遭受严重威胁,因此,必须合理利用网络安全技术,确保网络信息数据不被遭到破坏。
一、 网络安全技术概述
网络安全技术的主要目的就是确保网络信息数据的安全,避免其受到侵害,这类技术包括很多内容,例如防火墙技术、可视化技术、加密技术、漏洞扫描技术等。
(一) 防火墙技术
防火墙技术是网络安全技术中的一种类型,它可通过某种安全策略,实现内网与外网间的访问控制,网络间数据的传输必须要经过安全策略检查,通过检查后,才能决定是否允许通信,并对网络通信的运行情况进行监控。防火墙部署的位置非常讲究,一般而言,它被安装于外部网络与内部网络的接口位置,对外网侵入起到阻挡作用。若内网具备较大规模,且存在虚拟局域网的设置,则可将防火墙设置于虚拟局域网间。除此之外,在公共网络连接总部与其分支间也需有防火墙的设置。
目前的防火墙技术主要包括网关、包过滤与服务防火墙三种类型,包过滤防火墙技术指的就是将过滤技术与其原理相结合,限定和检查于网络外部进入内部的数据包。网关防火墙技术包括两种类型,其一是电路网关,其二是应用网关。电路网关主要位于内部网络与外部网络之间,以网络安全策略对其所提出的要求为依据,决定IP/TCP的连接是否处于开通状态。应用网关与包过滤防火墙所在物理位置相同,不过两者的逻辑位置存在差异,应用网关的逻辑位置位于应用层协议中,其访问控制的实施主要集中于应用层。服务防火墙于应用层中有中间结点的形成,它可实现外部网络与内部网络的隔离,使网络数据传输的安全性得到增强。现阶段有一种非常先进的过滤方法,它具有状态监测功能,在防火墙检测中的应用较为广泛。目前,防火墙技术所具备的功能已经变得逐渐完善,从日志系统中,可对网络发生事件进行追踪。
(二) 可视化技术
可视化技术实际上就是对漏洞扫描与防火墙技术的补充,这种技术可通过人类所具备的视觉功能,以图像、图形形式,将系统数据与抽象网络表现出来,实现网络通信信息的传输,同时,可反映网络信息的运行情况。通过可视化技术,网络管理人员可对其中存在的问题与威胁进行观察,并阻止病毒入侵。另外,它还可以对网络运行趋势进行预测,确保计算机网络安全防护充分发挥作用。
(三) 漏洞扫描技术
对网络攻击进行掌握后,利用漏洞扫描程序,可将这些攻击信息集中起来,并查询服务端口,监管与控制远端系统与本机系统信息,实现攻击的实施,且对目标主机反映进行记录,收集与整合相关的数据与信息,在短时间内,即可发现互联网系统中是否存在安全漏洞,其输出形式与统计格式一致。管理员可通过这种技术,了解到网络运行是否存在风险,并对网络风险进行评估,制定出合理、科学的安全防范计划,弥补网络安全漏洞。
(四) 数据加密技术
数据加密技术主要是指重新编码信息,以变序的形式,将明文数据转变为密文数据,在实际的应用操作过程中,又可将密文数据替转为明文数据,通过这种形式,将数据输出,若非法用户想获得其中的信息非常难。数据加密技术实施的目的就是保护动态信息与数据。在数据加密系统中,有两个基本单元,分别为算法与密钥,算法的组成包括程序、法则、公式,它对密文与明文间的替换进行明确,密钥是算法的参数。利用数据加密,可使计算机系统运行的安全性大大提升,避免其中的秘密数据遭到外界破坏,可有效防止数据被盗窃或破解。
二、网络安全技术的应用
本文以某大型企业为例,探讨网络安全技术的具体应用。该大型企业属于公交领域,其公司内部网络结构为星型拓扑结构,网络总部下方拥有多个应用子网,其中主要有电子票务网、财务子网等内容。其服务器包含数据库、食品监控、地理信息、无线终端传输等服务器,系统间相互协作,保持紧密联系。
该公司网络系统中有防火墙的设置,其采用的设置主要有包过滤、服务与复合型防火墙设置。包过滤防火墙于路由器上进行构建,在网络层完成各项工作,网络控制的实施主要依靠IP数据包得以实现,经过对IP包目的地址、源地址、TCP数据分组等各类参数进行检查后,将其与访问控制表中的参数标准对比,明确安全策略是否与预定义相符,并决定数据包应该丢弃还是保存。
包过滤防火墙技术具备速度快、逻辑简单、执行高效等特征,其网络开销较小,用户不用对网络访问模式进行更改,对于非法网络的入侵具有阻挡作用。通常情况下,这种技术也可安装于服务器内。值得注意的是,有些过滤包不具备报警与审计机制,对用户身份的合法性无法识别。
服务器具备较高的安全性,与过滤包防火墙技术相比,其具备的安全性更高,主要服务于应用层,在服务器或计算机上完成服务程序的运行,其核心为服务器,服务器的位置处于外网与内网间,将网络访问流量阻隔,将审核功能提供给网络通信用户。如果客户端要对主服务器进行访问,则可将该请求发送至服务器,对数据资源进行申请后,数据资源会被服务器回馈至客户端。服务器具备多种功能,其中主要包括审计跟踪、用户认证、数据加密等,正由于其主要服务于应用层,因此可实现对网络运行过程的监控与管理,合理控制应用数据,具备很高的安全性与灵活性。不过这种技术也存在一些局限性,例如其运行较慢,而每日产生的网络数据较多,两者形成矛盾,增加网络环境的管理难度。
该公司应用的复合型防火墙技术将服务与过滤防火墙相结合,实现两种技术的融合,使其安全性大大提升。由堡垒主机管理服务,外网可与堡垒主机相连,并将网关服务提供至内部网络,安全机制十分强大。堡垒主机的功能非常多,其主要功能在于实现企业外部网络与内部网络隔离,确保企业内部网络资源的可靠性。
结束语:
网络安全技术可有效确保网络数据的安全传输,在网络运行中具有重要意义。本文首先对网络安全技术进行了详细分析,然后以某企业为例,探讨了网络安全技术的具体应用,有利于为日后网络安全技术的设置提供依据。
参考文献:
[1]曹继猛.基于Windows 的无线移动网络安全技术的研究与应用[D].武汉理工大学,2009
[2]罗庆满,李鹤鹏,赵林.浅谈网络安全技术在政府部门的应用[J].网络安全技术与应用,2013(7):21+23
[3]李莉,万佩真,孙莉.试论网络安全技术与网络犯罪的关联性[J].企业经济,2009(6):184-186
[4]吕敬欣.网络安全技术在计算机实验系统的应用研究[J].网络安全技术与应用,2009(8):77-79
[5]杨慧.网络安全技术的发展现状和未来发展趋势[J].电脑知识与技术,2010(35):9991-9993
网络安全技术范文第2篇
随着计算机技术的不断飞跃,网络安全技术在最近几年得到了明显的进步,其中云计算技术在最近两年由于其高度的可靠性和巨量的存储空间,使得该技术的发展非常迅速。在安全防护上,由于云计算能够依托网络的支持,能够很好地利用网络资源,从而实现办公效率的明显提升。文章就以云计算下的网络安全技术实现路径进行分析,并阐述基于云计算的网络技术的意义以及云计算中网络安全存在的问题,并对这些问题提出有针对性的策略,旨在能够更好推动云计算在网络安全中的应用。
关键词:
云计算;网络安全;策略
云计算是一种较为新型的网络技术,云计算主要特点是能够利用网络现有的计算技术,从而提升数据的运行效率。同时,云计算拥有极为强大的数据处理能力,能够将有限的网络资源充分利用起来,从而将资源功效最大化。目前云计算应用在很多领域,例如公安刑侦、城市交通运营、图书馆管理、高校人员管理以及企业中的具体应用。由于上述这些领域每时每刻都涉及大量的数据,如果采用常规的数据分析,会占用大量资源,且分析效率也很一般,而使用云计算后,不仅运行效率得到显著提升,同时也降低了大量人工和设备成本,从而受到了人们的普遍欢迎。不过云计算由于涉及大量的数据,因此必须要对数据具有很好的安全防范,一旦数据丢失,那么后果就难以估量。因此,在云计算环境下,提升网络安全,具有非常现实的意义。
1云计算环境中网络安全技术的意义和作用
在云计算环境中使用网络安全技术,同常规环境下使用网络安全技术,能够更好地保证用户的数据安全,同时也能较好地防范数据丢失被窃。由于不同用户的使用环境多种多样,很多用户工作在广域网中,但有些用户仅仅在企业的局域网中工作,这就导致了两种不同网络环境下的数据传输容易发生丢失的现象,同时两种环境中的数据库也会存在一定的冲突。但用户在使用云计算后,就可以避免这种情况发生,也能轻松的在不同网络环境下使用不同的数据库。此外,在云计算环境下,用户的数据安全都得到了一定程度的升级。例如用户的U盘资料、笔记本数据资料就很难轻易丢失。通过使用云计算环境中的网络安全技术,还能有效降低用户使用设备的性能,在传统运行环境中,用户在处理数据库资料时,必须要使用高性能处理器和大容量内存,这样才能保证使用效率和速度。但是在使用云计算后,当设备接入网络后,就可以将设备的数据进行共享,在数据处理中,可以依靠其他设备的协同处理,共同完成任务的执行,从而有效降低单一设备的依赖性。
2云计算环境中的网络安全技术现状
目前,关于云计算环境中的网络安全技术的相关问题,包括了技术问题、网络环境问题以及法律问题等,这些问题的存在也影响了云计算环境中的数据正常传输和分享。
2.1数据通信安全存在问题
由于网络传输的主要目的是信息传输和信息共享,因此可以说数据通信是网络传输的主要环节。在云计算环境中的网络环境中,数据通信经常容易受到攻击。例如对服务器进行攻击,在极短时间内向服务器发出大量冗余数据导致通信通道拥堵,用户无法正常访问。还有就是不法分子直接侵入服务器,获得大量数据并篡改数据,这就会导致数据的泄露和系统数据遭到破坏。最后是不法分子通过监听服务器的传输通道,从而获取大量用户的个人信息,并加以利用,这对用户的财产安全带来很大的隐患。
2.2服务器安全性相对脆弱
网络安全环境中,服务器的漏洞相对较多,一旦服务器端出现了问题就会导致程序或服务崩溃,那么客户端中的用户的个人信息和相关数据就处在一个不设防的状态下,很容易导致黑客和不法程序的侵入。因此,如何在技术上能够保证用户数据安全,是一个急需解决的问题
2.3网络环境复杂
计算机网络安全问题也是云计算环境中比较突出的问题。很多用户的电脑和移动终端设备上或多或少都存在一些安全漏洞,这些漏洞非常容易被不法分子捕获并加以利用,很多不法分子在利益的驱动下,长时间对大量用户的使用设备进行非法入侵,从而获得大量用户的个人信息和相关机密,可以说,整体而言,目前计算机网络安全环境相当恶劣。
2.4系统存储数据安全性有待提升
数据存储的可靠性是影响计算机性能的主要原因,在传统的网络环境中,基本上数据都是存在单一独立的终端中,很少进行数据传输和共享,因此安全防护主要依靠终端自身的安全措施。但是在云计算的网络环境中,数据都是上传到网络运营商的云平台。因此云平台的安全性是否可靠,就完全依赖于运营商的技术水准和服务能力,这就对网络运营商开发云平台的技术提出很高的要求。
2.5系统身份认证不够完善
云计算环境中的网络都具有身份识别、身份验证,但是一旦身份验证环节出现问题,那么不法分子很容易获得用户账号和密码侵入云平台,从而获取用户资料,并通过植入蠕虫和木马来获取用户更多的信息,这就对用户数据安全带来极大的隐患。
2.6法律不够健全
由于我国还没有非常全面的计算机网络安全的相关法律法规,对利用计算机进行非法活动的个人和团体还没有明确的制裁手段,从而导致了这些不法分子犯罪成本较低,从而也加大了目前网络的安全隐患。
3云计算环境中的网络安全技术实现路径策略
3.1设置智能防火墙
目前智能防火墙的功能比传统的防火墙要更为强大,同时具有识别用户信息的功能,这对控制网络数据通信起到了很强的保护作用。不仅如此,智能防火墙还有其他功能,例如入侵防御功能。当数据进入终端后,只要对数据进行拦截,那么就不会影响用户正常使用,这样就能有效防止网络通信通道轻易被堵塞。此外,智能防火墙还具有防欺骗功能,由于很多病毒会自行修改用户IP,非法进入网络,而防欺骗功能就可以有效识别这种被恶意修改的IP,从而阻止病毒侵入网络。最后,智能防火墙还具有传统的功能,也就是防攻击功能,防火墙能够有效识别云计算中的恶意数据,并阻止这些数据入侵用户终端,从而保护用户数据的安全。
3.2系统加密技术
这种技术分成公钥加密和私钥加密两种,系统加密能够将系统中的重要数据进行加密,从而防止数据即使被非法获取,也很难被有效识别。在用户的网络中还可以使用安全过滤器,这样也可以有效阻断恶意代码和木马的入侵。同时,用户也要重视自身的终端的安全性,要选择信誉较好的云服务运营商,这样能够保证数据在自身没有监控条件环境下,也能依靠运营商的技术措施得到有效防护。此外,用户还要设置较为复杂的密码,这样也能增加窃取者的窃取难度。
3.3反病毒技术
目前,计算机病毒种类越来越多,对用户数据造成很大威胁,因此就诞生了反病毒技术。目前反病毒技术包括动态和静态两种。动态技术具有高效预防的功能,可以方便、迅速地保护云数据资源,一旦发现病毒攻击,会立刻发出警告,并自动切断网络。静态技术是传统技术,不具有实时监测的功能,因此静态技术已经被动态技术所淘汰。
4结束语
云计算技术由于具备多种优点,从而在很多领域广泛应用,但是也必须要看到云计算环境中网络安全还存在种种问题,只有将这些问题进行有效解决,才能保证云计算有更大的发展空间,才能服务更多领域,让更多人群收益。
作者:符向阳 单位:天津日报社
参考文献
[1]赵晟杰,罗海涛,覃琳.云计算网络安全现状与思考[J].大众科技,2014,5(12):1-4.
[2]闫盛,石淼.基于云计算环境下的网络安全技术实现[J].计算机光盘软件与应用,2014,6(23):168.
网络安全技术范文第3篇
校园网网络安全威胁信息安全技术随着校园网络互连的迅速扩大,学校越来越关心整个校园网安全技术问题。校园网络能否高效、安全地运行,必然成为校园数字化过程中的一个核心问题。一个安全高效的校园网络系统,可以为学校的行政管理、科研、信息交流提供一个稳定、可靠的网络环境。
一、网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,网络服务不中断。
二、网络信息安全的特征
1.保密性。信息不泄露给非授权用户、实体或过程,或供其利用的特性,在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露;在运行层面,保证能够为授权使用者正常地使用,并对非授权的人禁止使用,并有防范黑客、病毒等的攻击能力。
2.完整性。数据未经授权不能被修改、破坏、插入、延迟、乱序和不丢失的特性。
3.可用性。授权的用户能够正常地按照顺序使用的特征,保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力,在运行方面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者和接收者都无法否认所和接收信息内容。
三、威胁网络安全的因素
1.黑客。相信人们在生活中对这个词语并不陌生,或许在自己的身边就存在着黑客。黑客其实是程序设计人员,对于操作系统和编程语言等高级知识有很好的掌握,我们之所以称其为黑客,主要是因为他们还利用对方的操作系统中的安全漏洞而非法的进入对方的计算机系统中,窥探或是盗取对方的机密,其危害性就不言而喻了。从一定程度上来说,黑客对于网络系统的安全危害是比一般的电脑病毒的危害还要大得多。
2.病毒。病毒是相对于黑客的又一安全隐患,而目前对于数据安全存在的最大的安全隐患是计算机病毒,它也是一种恶意破坏的行为,是恶意编制者在正常的计算机程序中刻意插入的计算机指令或是程序的代码,从而破坏计算机中的数据或计算机的功能应用,影响计算机的正常运用。计算机病毒就跟瘟疫一样具有传染性、破坏性、隐蔽性、寄生性等一些特点,能够进行自我复制而在计算机中蔓延开来,对于计算机的影响不只是单个的计算机,而是区域性地产生影响,因此,加强对计算机病毒的防范迫在眉捷,要对已产生的计算机病毒进行及时的清理。
3.软件漏洞。在计算机中存在着许多应用软件,而这些软件随着人们的需要而被安装,这些软件虽经过无数次的测试,但并不能保证它们本身不存在着漏洞,更不能保证它们在应用的过程中不会出现问题,这种安全问题的存在,就使得计算机处于危机之中,一旦这些存在问题的操作系统或是软件投入到使用中,就会使计算机遭到破坏。
四、校园网络采用的网络安全技术
1.防火墙技术。防火墙是一个或一组在两个网络之间执行访问控制策略的系统,本质上,它遵从的是一种允许或阻止业务往来的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。防火墙能够强化安全策略,防止不良现象发生的“交通警察”,有效地记录因特网上的活动,限制暴露用户点,是网络安全策略的检查站。
2.数据加密技术。在计算机网络系统中,与防火墙配合使用的安全技术还有文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取,侦听或破坏所采用的主要技术手段之一。按作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.网络安全扫描技术。网络安全扫描技术是检测远程或本地系统安全脆弱性的一种安全技术,通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
4.入侵检测技术。入侵检测技术是通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行处理,从而发现入侵行为的一种技术。这是一种主动地防护措施,通过收集、分析计算机系统或计算机网络中的特定信息,达到预测威胁网络安全的行为是否存在的目的。入侵检测技术在防火墙技术的基础上提供了又一道安全防护层,可起到防御网络攻击的作用,因而提高了网络系统的安全性和防御体系的完整性。
5.计算机病毒防范技术。计算机病毒是一种计算机程序,它不仅能破坏计算机系统,还能传播感染到其他系统。计算机病毒能够寄生在其他文件中,通过自我复制进行传播,当预先设定的条件满足时即被激活,从而给计算机系统造成不同程度的破坏。计算机病毒不同,其编制目的也各有不同。比如,破坏文件造成数据丢失、删除重要程序文件造成系统错误、修改数据甚至盗取用户数据。检测与清除计算机病毒的常见方法是安装杀毒软件,同时也必须对病毒传播途径进行严密控制。
6.虚拟专用网技术。虚拟专用网是利用接入服务器、路由器及虚拟专用网设备在公用的广域网上实现虚拟专用网的技术。在虚拟网络中,任意两个节点之间的连接并不需要传统专用网络常用的端到端的物理链路,只是两个专用网络借助一个公共网络相互连接的一种方法,并通过采用隧道技术、加密技术、用户身份认证技术、访问控制技术,为网络安全提供了强有力的保障。
五、结束语
在数字化教育飞速发展的今天,一个安全有效的校园网能够在学校教学活动中发挥重要的保障和促进作用。作为校园网络管理者,应认真了解和掌握校园网的特点和网络安全技术,在实践中灵活运用,更好地保证校园网络的安全运行。
参考文献:
[1]袁津生,齐建东,曹佳.计算机网络安全基础.北京:人民邮电出版社,2008.
[2]张世永.网络安全原理与应用.北京:科学出版社,2003.
[3]陈梁.防火墙网络安全研究.电脑知识与技术,2007.
[4]桑一梅.校园网安全现状与网络安全技术分析.智能计算机与应用,2012.
网络安全技术范文第4篇
【关键词】校园网络 网络安全 防火墙
作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等,也无时无刻不在威胁教育网络的健康发展,而成为教育信息化建设中不容忽视的问题。教育行业的信息安全需求,无疑形成了一个庞大的市场。
一、网络安全的概念
网络安全就是是要保护好网络系统中的软、硬件资源以及存储在系统中的数据,避免因偶然的或者恶意的原因而遭到破坏,确保系统连续、可靠、高效的运行,保障网络服务连续畅通。从狭义的角度来看,网络安全是指防止外在的或者人为的原因破坏网络系统资源:从广义角度来看,计算机网络安全的研究领域囊括了信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。
二、校园网络威胁
与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段;病毒与恶意攻击,即通过网络传播病毒或恶意Java、XActive等;线路窃听,即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。
三、网络安全防范的内容
一个安全的计算机网络应该具有机密性、完整性、可用性、可控性、可审查性与可保护性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
四、校园网网络安全的主要技术
网络安全的主要技术有防火墙、身份识别、数字签名、信息加密和防病毒技术等。
(一)防火墙技术
防火墙的本义原是指古代人们房屋之间修建的那道墙,这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是在本地网络与外界网络之间实施特定访问控制策略的系统。它是保护可信网络(用户内部网)不受非可信的外部网(国际互联网、外部网)访问的机构,是整体安全防护体系的一个重要组成部分。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网如校园网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对内部网构成威胁的数据。防火墙技术是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
(二)身份识别
系统的安全性常常依赖于对终端用户身份的正确识别与检验,以防止用户的欺诈行为。身份验证一般包括两个方面的含义:一个是识别,一个是验证。所谓的识别是指对系统中的每个合法用户都具有识别能力。所谓验证是指系统对访问者自称的身份进行验证,以防假冒。身份的验证主要有以下几种方法:口令和通行字的方法;利用信物的身份验证;利用人类生物学特性进行身份验证。
(三)数字签名
数字签名技术是基于公共密钥的身份验证,公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。大多数电子交易采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
(四)信息加密
信息加密是网络信息安全的核心技术之一,它对网络信息安全起着别的安全技术无可替代的作用。数据加密技术是与防火墙配合使用的技术,是通过对信息的重新组合,使得只有收发双方才能解码还原信息,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。
(五)防病毒技术
在所有计算机安全威胁中,计算机病毒是最为严重的,它不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。校园网络中,计算机病毒具有不可估量的威胁性和破坏力。它的防范是网络安全技术中重要的一环。防病毒技术包括预防病毒、检测病毒、消除病毒等技术。
五、结束语
校园网络安全是一个长期的、动态的过程,内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全,因此,校园网络安全及技术防范任重而道远。只有通过不断地努力,我们的校园网才能够在比较安全的环境下工作,才能充分发挥它的优势,更好地为我们的教育事业服务。
参考文献:
网络安全技术范文第5篇
关键词 网络安全 数据传输
中图分类号:TP393. 08 文献标识码:A
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它。go-vern-ment不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
一、防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换―NAT,型和监测型。
(一)包过滤型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(二)网络地址转化―NAT。
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(三)型。
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(四)监测型。
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
二、结语
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
(作者单位:西北工业大学)
参考文献:
[1]郑连清:网络安全概论.清华大学出版社,北京交通大学出版社,2004,9.
[2]麦克卢尔(McClure,s.),斯卡姆布智(Scambray,J.),库尔茨(Kurtz,g.) 著,王吉军,张玉亭,周维续 译.黑客大曝光:网络安全机密与解决方案(第5版).清华大学出版社. 2006,4.
网络安全技术范文第6篇
[关键词] 网络 安全 VPN 加密技术 防火墙技术
一、绪论
大多数网络安全问题都是某些人试图获得某种好处或损害某些人而故意引起的。所以网络安全不仅仅是编程没有错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,而且时间和金钱上很充足、富有的人;同时能够制止偶然实施破坏行为人。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的问题。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
二、方案目标
本方案主要从网络层考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet等网络的安全互联。在保证网络安全可以满足各种用户的需求(如:可以满足个人的通话保密性,企业客户数据库不被非法访问和破坏等)的同时也可以防止诸如反动、等有害信息的传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽量降低。
三、安全需求分析
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程
完整性:保证数据不被未授权修改
可控性:控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙或划分VLAN的形式对不同的网段隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,及时响应(如报警)并阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
四、风险分析
网络安全是网络正常运行的前提。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类别。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。
五、解决方案
1.安全设计原则
为解决网络的安全、保密问题必须考虑技术难度及经费等因素,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
(7)分步实施原则:分级管理分步实施。
2.安全策略
根据以上分析,我们采取以下安全策略:
(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
(2)采用各种安全技术,构筑防御系统,主要有:
①防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
②NAT技术:隐藏内部网络信息。
③VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只有本网络在独占使用,而事实上并非如此。
④网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网上数据传输的安全性问题,也可解决远程用户访问内网的安全问题。
⑤认证:提供基于身份的认证,并在各种认证机制中可选择使用。
⑥多层次多级别的企业级的防病毒系统可对病毒实现全面的防护。
⑦网络的实时监测:采用入侵检测系统进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
六、结语
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。尽管如此,管理在网络安全工程中的作用是关键的,任何先进的网络安全技术或系统,如果缺乏有效的管理,也无法发挥它应有的作用。在实际的工程上,人们往往重视技术上网络安全漏洞,而忽略安全管理上的漏洞,技术上的漏洞可以采用技术方法加以检测发现,而安全管理上的漏洞往往无法用实体去测量,
参考文献:
[1]雷震甲:网络工程师教程[M].北京:清华大学出版社,2004
[2]劳帼龄:网络安全与管理[M].北京:高等教育出版社,2003
网络安全技术范文第7篇
[关键词] 网络安全协议防范技术
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。近几年来,互联网渐渐走进了老百姓的生活,人们的生活已离不开网络;同时网络给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨等的攻击,所以网络信息的安全和保密是一个至关重要的问题。为了确保信息的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文结合实际工作经验,谈谈网络安全防范技术。
一、网络的不安全因素
现今的网络,存在不少的不安全因素,主要有:
1.网络协议的弱点。TCP/IP协议是如今最流行的网络协议,它最初是在封闭的环境下使用,并且它的用户都是可靠的科研工作者,因而它的设计本身并没有较多地考虑安全方面的需求,导致TCP/IP协议存在各种弱点,这些弱点带来许多直接的安全威胁。
2.网络操作系统的漏洞。操作系统是网络协议和服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。一般情况,操作系统规模都很大,其中的网络协议实现尤其复杂,这点已经决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞,而某些商用操作系统的源代码封闭性更是加剧了这一现象,从而成为网络所面临的重要安全威胁之一。
3.应用系统设计的漏洞。与操作系统情况类似,应用程序的设计过程中也会带来很多由于人的局限性所导致的缺陷或漏洞。软件和硬件设计都存在这种问题,而其中软件的问题为我们所直接面对。由于在硬件设计方面,特别是芯片技术还比较落后,所以这方面的漏洞我们还很难具体化,这实际上说明,硬件的设计与漏洞是我们网络所面临的最为深刻的威胁之一。
4.网络系统设计的缺陷。网络设计专指某个地区、系统或者一个单位的内联网或外联网的设计,包括拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患,由这些设备组建一个应用系统的过程也可能带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性,不合理的网络设计则成为网络的安全威胁。
5.恶意攻击,就是人们常见的黑客攻击及网络病毒,是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响也是越来越大 。
6.来自合法用户的攻击。这是最容易被管理者忽视的安全威胁之一。事实上,80%的网络安全事件与内部人员的参与相关。网络管理的漏洞往往是导致这种威胁的直接原因。
7.互联网的开放性。事实上,以上所列的网络安全威胁多数都是由于互联网是一个完全开放的网络环境,其中通信几乎都是不受到任何制约,互联网的开放性是导致网络安全威胁最根本的原因。
8.就是物理威胁,如电磁干扰、电磁泄漏等。
还有就是管理方面的安全了,如制度的制定是否全理有效,制度的执行是否到位等。
二、网络安全防范理论
要做到网络安全,必要的防范措施是不可少的。当前的一些网络安全所依赖的技术主要有以下几种:
1.密码技术,它是密码认证、数字签名和其他各种密码协议的统称。数据加密算法标准的提出和应用、公钥加密思想的提出是密码技术发展的重要标志,认证、数字签名和各种密码协议则从不同的需求角度将密码技术进行延伸。认证技术包括消息认证和身份鉴别。数字签名技术可以理解为手写签名在信息电子化的替代技术,主要用以保证数据的完整性、有效性和不可抵赖性等。
2.访问控制。访问控制是网络安全防范和保护的主要技术,它的主要目的是保证网络资源不被非法使用和访问。访问控制技术规定何种主体对何种客体具有何种操作权力。访问控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。访问控制技术一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
3.PKI技术。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键技术。
三、常用主流网络安全防范技术
现在的网络根据用途可分为主流网络和专用网络,针对这两种不同的网络,网络安全措施又分为主流网络安全措施和专业网络安全措施。下面针对主流网络安全做一个简单的介绍:
1.防火墙技术是将内部网络与外部网之间的访问进行全面控制的一种机制,一般可能包括路由器、计算机等硬件,也可能包含有软件,或者同时包含硬件和软件。这些设备在物理上或逻辑上将内部网和外部网隔离开来,使得外网和内网的所有网络通信必须经过防火墙,从而可以进行各种的灵活的网络访问控制,对内部网进行尽可能的安全保障,提高内部网的安全性和健壮性,防火墙技术是当前市场上最为流行的网络安全技术,它已成为网络建设的一个基本配置。
2.VPN技术是利用不可信的公网资源建立可信的虚拟专用网,是保证局域网间通信安全的少数可行的方案之一。VPN既可在TCP/IP协议族的链路层实现(比如L2F、PPTP等安全协议),也可在网络层实现(IP Sec),其中更多情况下在网络层实现。作为最近几年才兴起的网络安全技术,VPN在国内的应用也就是最近几年的事情,但随着企业网络用户的迅速增加,VPN技术有着广阔的应用前景。
3.入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息,检测任何企图破坏计算机资源的完整性、机密性和可用性的行为,即查看是否有违反安全策略的行为和遭到攻击的迹象,并做出相应的反应。
4.反病毒技术是查找和清除计算机病毒的主要技术,其原理就是在杀毒扫描程序中嵌入病毒特征码引擎,然后根据病毒特征码数据库来进行对比式查杀。这种方法简单、有效,但只适用于已知病毒,并且病毒特征库需要不断升级。
5.网络隔离技术通过特殊硬件实现链路层的断开,使得各种网络攻击与入侵失去了物理通路的基础,从而避免了内部网络遭受外部攻击的可能性。
四、常用专用网络安全防范技术
专用网络由于要求更高的安全性,其防范也必更加重视,现就其主要的防范技术介绍如下:
1.系统和网络的扫描和评估。通过扫描和评估,可预知主体受攻击的可能性、将要发生的行为和产生的后果,因而这种方法受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。一些非常重要的专业应用网络,例如,银行,不能承受一次入侵带来的损失,对扫描和评估技术有强烈的需求。
2.监控和审计。监控和审计是与网络管理直接挂钩的技术。监控和审计是通过对网络通信过程中可疑、有害信息或行为进行记录以为事后处理提供依据,从而对计算机网络犯罪人员形成一个强有力的威慑,最终达到提高网络整体安全性的目的。局域网监控系统是网络监控系统中的一大类。局域网监控能够提供一套较好的内部网行为监控的机制,可以有效阻止来自内网的安全威胁。
3.全套接层协议(SSL,Secure Socket Layer)。这是由Netscape公司1994年设计开发的安全协议,主要在传输层提高应用程序之间的数据安全性。SSL采用了公开密钥和对称密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用对称密钥。加密的类型和强度则在两端之间建立连接的过程中协商决定,保证了客户和服务器间事务的安全性。
4.HTTPS协议,SHTTP协议及SMIME协议等。HTTPS协议是建立于SSL上的HTTP安全协议,它利用SSL协议来加强HTTP协议的安全性,已经成功应用于电子商务。SHTTP(安全超文本传输协议)是一种结合HTTP而设计的消息的安全通信协议。SHTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序相整合。SHTTP协议为HTTP客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的。SHTTP还为客户机和服务器提供了对称能力(及时处理请求和恢复,及两者的参数选择),同时维持HTTP的通信模型和实施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本,设计用来支持邮件的加密。基于MIME标准,SMIME为电子消息应用程序提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等。传统的邮件用户(MUA)可以使用SMIME来加密发送邮件及解密接收邮件。然而,SMIME并不仅限于邮件的使用,它也能应用于任何可以传送MIME数据的传输机制,例如HTTP。同样,SMIME利用MIME的面向对象特征允许在混合传输系统中交换安全消息。
网络的安全是一个很大的系统工程,要从防范技术和管理上去探讨和研究,建立一套整体安全解决方案的网络系统对网络来说是尤其重要的。希望本文能抛砖引玉,能让更多的人来关心和研究网络的安全问题,为网络的安全出谋划策!
网络安全技术范文第8篇
关键词:网络安全;防火墙;pki技术
一、防火墙技术
包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地ip、使用协定、tcp或udp的port 等信息进行控制管理。现在的路由器、switch router以及某些操作系统已经具有用packet filter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。
封包检验型防火墙在检查不完全的情况下,可能会造成问题。被公布的有关firewall-1的fast mode tcp fragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。
应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的程序,或用一个一般用途的程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。
防火墙是为保护安全性而设计的,安全应是其主要考虑。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的安全保护。
二、加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
1、 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有n个交换对象,那么他就要维护n个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重des是des(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
2、非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是rsa公钥密码体制。
三、pki技术
pki(publie key infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。pki技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pki技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控
制等安全问题。一个实用的pki体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1、认证机构
ca(certification authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由ca签发的网络用户电子身份证明—证书,任何相信该ca的人,按照第三方信任原则,也都应当相信持有证明的该用户。ca也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的ca是至关重要的,这不仅与密码学有关系,而且与整个pki系统的构架和模型有关。此外,灵活也是ca能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的ca产品兼容。
2、注册机构
ra(registration authorty)是用户和ca的接口,它所获得的用户标识的准确性是ca颁发证书的基础。ra不仅要支持面对面的登记,也必须支持远程登记。要确保整个pki系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的ra系统。
3、 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个pki系统强健性、安全性、可用性的重要因素。
4、证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、安全技术综合应用研究热点
1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、dna密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献
[1] 步山岳、张有东,计算机安全技术,高等教育出版社。2005年10月
[2]李振银等,网络管理与维护,中国铁道出版社,2004
网络安全技术范文第9篇
[关键词]网络安全威胁防护技术趋势
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210104-02
一、计算机网络安全概述
(一)网络安全的定义
国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。①
(二)影响计算机网络安全的主要因素
计算机网络安全受到的安全威胁是来自各个方面的,一般来说,影响计算机网络安全的因素主要有以下几个方面:
1.计算机网络使信息的收集方便而且快速,信息的价值剧增,吸引了许多网上黑客前来攻击。
2.现有的计算机系统皆有安全漏洞,使网络入侵成为可能。一般操作系统的体系结构其本身是不安全的,这也是计算机系统不安全的根本原因之一,操作系统的程序是可以动态连接的,包括FO的驱动程序与系统服务,都可以用打“补丁”的方式进行动态连接,为黑客的侵入和病毒的产生提供了一个好环境。
3.网络系统中数据的安全问题。网络中的信息数据是存放在计算机数据库中的,通常也指存放在服务器中的信息集,供不同的用户来共享,数据库存在不安全性和危险性,因为在数据库系统中存放着大量重要的信息资源,在用户共享资源时可能会出现以下现象:授权用户超出了他们的访问权限进行更改活动,非法用户绕过安全内核,窃取信息资源等。
4.远程访问控制使得每个主机甚至可以被国外的黑客攻击。网络黑客是计算机网络发展的产物,黑客攻击,早在10多年前的主机终端时代就已出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击,利用网络窃取重要的情报,毁坏数据和信息。
5.目前的计算机病毒不但可以破坏计算机硬件,而且可以破坏网络安全系统并通过网络破坏更多的计算机。
二、计算机网络所面临的威胁及攻击
(一)管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75~85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。此外,管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏,从而为一些不法分子制造了可乘之机。②
(二)网络的缺陷及软件的漏洞
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论是Windows还是UNIX都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。
(三)计算机病毒
病毒是计算机中最让人头痛,也是最普遍的安全威胁,几乎每一个用过电脑的人都受到过病毒或多或少的威胁。大到系统崩溃,数据丢失,小到影响系统性能,甚至有的病毒只是开个玩笑。
(四)黑客的攻击
黑客是影响网络安全的最主要因素之一。“黑客”是英文“Hacker”的译音,原意是用来形容独立思考,然而却奉公守法的计算机迷,热衷于设计和编制计算机程序的程序设计者和编程人员。然而,随着社会发展和技术的进步“Hacker”的定义有了新的演绎,出现了一类专门利用计算机犯罪的人,即那些凭借自己所掌握的计算机技术,专门破坏计算机系统和网络系统,窃取政治、军事、商业秘密,或者转移资金账户,窃取金钱,以及不露声色地捉弄他人,秘密进行计算机犯罪的人。
三、计算机网络的安全技术
通过对网络系统各个层次的分析可以给数据链路层网络层系统层数据库层和应用层提供全面的保护。
(一)加密技术
加密技术是网络安全的核心,现代密码技术发展至今二十余年,其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。加密技术是解决网络上信息传输安全的主要方法,其核心是加密算法的设计。③
1.非对称密钥加密
在非对称机密体系中,密钥被分解为一对(即公开密钥和私有密钥),而且加密密钥与解密密钥不同,是一种利用公开加密密钥加密,利用不公开解密密钥解密的密码体制。
2.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。信息交换双方都不必彼此研究交换专用的加密算法。若在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。
(二)网络防病毒技术
由于网络计算机病毒是网络系统最大的攻击者,具有强大的传染性和破坏力,网络防病毒技术已成为计算机网络安全的又一重要课题。防病毒技术可分为三种:病毒预防技术,病毒检测技术和病毒消除技术。④
1.病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
2.病毒检测技术
计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。计算机病毒的检测技术有两种:一种是判断计算机病毒特征的监测技术。病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。另一种是文件自身检测技术,这是一种不针对具体病毒程序的特征进行判断,而只是通过对文件自身特征的检验技术。
3.病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。但由于杀毒软件的更新是在病毒出现后才能研制,有很大的被动性和滞后性,而且由于计算机软件所要求的精确性,致使某些变种病毒无法消除,因而应经常升级杀毒软件。
4.入侵检测技术和网络监控技术
入侵检测(IDSIntrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。根据采用的分析技术可分为签名分析法和统计分析法。
(三)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络的特殊网络互联设备。
1.防火墙技术的定义
在网络中,防火墙是内部网络与外界网络之间的一道防御系统,通过它使得内部网络与Internet或者其他外部网络之间相互隔离,并通过限制网络互访来保护内部网络,但这些对数据的处理操作并不会妨碍人们对风险区域的访问。
2.防火墙的关键技术
根据防火墙所采用的技术不同,我们可以将它分为4种基本类型:包过滤型、网络地址转换型,型和监测型。⑤
(1)包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
(2)网络地址转换型。网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。它允许具有私有IP地址的内网访问因特网。
(3)型。型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后由服务器将数据传输给客户机。
(4)监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。
四、网络安全防护的发展趋势
(一)加强病毒监控
随着病毒技术的发展,病毒的宿主也越来越多,在宿主增多的同时,传播途径也越来越广,目前较受关注的一项病毒注入技术是利用电磁波注入病毒。这种技术的基本设想是把计算机病毒调制在电磁信号并向计算机网络系统所在方向辐射,电磁信号通过网络中某些适当的节点进入网络,然后计算机病毒就在网络中传播,产生破坏作用。所以加强病毒监控成为网络安全防护的一项重要内容。
(二)建立安全可靠的虚拟专用网
虚拟专用网(VPN)系统采用复杂的算法来加密传输的信息,使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。其工作流程大致如下:1.要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;2.虚拟专网设备根据网络管理员设置的规则,确认是否需要对数据进行加密或让数据直接通过;3.对需要加密的数据,虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密和附上数字签名;4.虚拟专网设备加上新的数据包头,其中包括目的地虚拟专网设备需要的安全信息和一些初始化参数;5.虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设IP地址进行重新封装,重新封装后数据包通过虚拟通道在公网上传输;6.当数据包到达目标虚拟专网设备时,数字签名被核对无误后数据包被解密。
(三)强化管理
网络安全不只是一个单纯的技术问题,而且也是一个十分重要的管理问题。采取各种措施对计算机网络实施有效管理是计算机网络防护的主要内容之一。一般,计算机网络管理包括安全审计、行政管理、人事管理等几个方面的内容。安全审计是对计算机系统的安全事件进行收集、记录、分析、判断,并采取相应的安全措施进行处理的过程。
注释:
①李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8.
②张宝剑,计算机安全与防护技术[M].机械工业,2003,1.
③王德秀,网络安全技术及应用,有线电视技术,2003,1.
④梅筱琴、蒲韵、廖凯生,计算机病毒防治与网络安全手册,海洋出版社,2004:9~2.
⑤余伟建、王凌,黑客攻击手段分析与防范,人民邮电出版社,2003:10~13.
参考文献:
[1]李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8.
[2]王春、林海波,网络安全与防火墙技术,北京:清华大学出版社,2000:10~30.
[3]秦超、李素科、满成圆,网络与系统安全实用指南,北京航空航天大学出版社,2002.
[4]刘东华等著,网络与通信安全技术,人民邮电出版社,2002.
作者简介:
网络安全技术范文第10篇
关键词 网络;信息安全;技术解析
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)39-0192-02
传统上以防火墙作为第一道安全屏障的防范方式随着攻击技术的日趋成熟和手法的日趋多样已经不能很好的完成安全防护工作。防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的,首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,而这是远远不能满足用户复杂的应用要求的。
网络安全问题自从其出现就受到了广泛的重视,目前,如何采用相关技术确保网络安全?希望个人、企业以及政府部门应采取以下几种技术。
1 加密机制技术
加密是一种最基本的安全机制,它能防止信息被非法读取。加密是一种在网络环境中对抗被动攻击行之有效的安全机制。数据加密是保护数据最基本的方法。但是这种方法只能防止第三者获取真实数据,仅仅解决了安全问题的一个方面。而且加密技术也并不是牢不可破的。
2 数据签名机制技术
数据签名与加密机制有点相似,一般是签名者利用秘密密钥(私钥)对需要签名的数据进行加密,验证方利用签名者的公开密钥(公钥)对签名数据进行解密运算。此法对于密钥的设计和加密算法有极高的要求。
访问控制机制技术。访问控制机制就是按照事先确定的规则决定主体对客体的访问是否合法。访问控制一般以下面的机制为基础:1)访问控制数据库;2)口令机制;3)安全标志,当它与实体(程序、数据等)有关时,可用来允许或拒绝与安全有关的访问;4)能力表,决定主体对客体访问的权利的凭证。
3 数据完整性机制技术
数据完整性技术可以发现网络上传输的数据是否已经被非法修改,从而使用户预防不会被非法数据所欺骗。
4 认证机制技术
认证是以交换信息的方式来确定实体身份的一种机制,是进行存取控制所必不可少的条件,因为不知道用户是谁,就无法判断其存取是否合法。用于认证机制的技术如下:1)口令机制:口令一般由发送方实体提供,由接收方实体检验;2)安全协议机制:收发双方事先经过约定,按照约定的协议进行鉴定交换;3)使用密码技术:将交换的数据进行加密,只有合法用户方能解密,得到有意义的明文(数据);4)使用实体的特征或实体所有的物件:这时常采用的技术就是指纹识别技术、视角膜识别技术和DNA识别技术等。
5 系统漏洞检测技术
系统中漏洞的存在是系统受到各种安全危险的主要原因。外部黑客对系统的攻击主要利用了系统提供的网络服务中的漏洞;内部人员作案则也是利用了系统内部服务及其资源配置中所存在的漏洞;如著名的攻击方法之一“拒绝服务攻击”主要就是利用了系统中资源分配上的漏洞,长期占用有限的资源不释放,使得其它用户得不到系统应该进行的服务;或者利用服务处理上的弱点,使该服务器崩溃。因此,要保护系统的安全,就非常有必要消除系统中所存在的各种安全漏洞,而消除系统中的安全漏洞的第一步就是应该检测出系统中是否存在各种安全漏洞,在此基础上才能进一步考虑怎样消除和修补那些存在的漏洞。
6 防火墙技术
在保护网络安全的各种技术中,防火墙技术是目前比较好的技术,也是一种技术比较成熟的网络安全技术。利用防火墙技术实现的软件将定义好的安全策略转换成具体的安全控制操作,它使得内部网络与外部网(主要是因特网)之间相互隔离、限制网络互访。按照一定的安全策略规则对其检查网络包或服务请求,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,而与内部网络或私有网络相连的网络则被称为外部网络或共用网络。防火墙技术能有效地控制内部网络与外部网络之间的互访和数据传送,从而实现了保护内部网络的信息不受外部非法授权用户的访问或者过滤信息的目的。防火墙的实现从层次上大概可以分为两种:报文过滤和应用层网关。
7 IP隧道(IP Tunnel)或VPN(Virtual Private Network)技术
经常会出现这种情况,一个大公司的两个子公司相隔很远,需要通过Internel通信。在这种情况下,就可以采用IP Tunnel或VPN来防止Internet上的黑客获取信息,从而在Internet上形成了一个虚拟的专用网。
8 隔离域名服务器(Split Domain Name Server)
这种技术是通过防火墙将受保护网络的域名服务器与外部网络的域名服务器隔离,使得外部网络的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保护受保护网络的IP地址不被外部网络所获悉。
而在当前实际应用中,建立防火墙系统是解决网络安全问题的主要方法,基于防火墙的网络安全体系结构主要有如下的3种基本结构:
1)双宿主主机结构:这是最基本的防火墙系统结构。这种系统实质上就是至少具有两个网络接口卡(NIC)的主机系统;这样的主机还可以充当与这些网络接口卡相连的若干网络中间的路由器。这种结构虽然能提供很高程度的网络控制,但是由于进出服务器的信息量太大,造成主机的负载较大,容易成为网络瓶颈;
2)主机过滤结构:这种结构就是在堡垒主机对外通过过滤路由器连接到外部网络,对内直接连接内部网络。但入侵者一旦攻破堡垒主机,整个内部网络就危险了;
3)子网过滤结构:这种结构就是在主机过滤结构中增加一层周边网络的安全机制,也就是堡垒主机对外、对内连接都要通过过滤路由器。所以相对上一种结构它又算比较完全的一种。
基于防火墙的3种基本结构可以产生多种变形,通过基本的结构结合起来以增强网络安全。
9 结论