1、計算機網絡安全技術淺析 摘 要：論敘了網絡安全的概念及涉及的領域，介紹了確保網絡安全的主要技術。關鍵詞：網絡安全 技術 防火墻 加密 入侵檢測 安全隔離 虛擬專用網一、概述20世紀90年代以來，計算機進入到網絡應用階段，呈現出前所未有的社會化趨勢。internet/intranet技術日趨成熟，很多政府機構、民間組織和企業都建立了自己的內部網絡并將之與internet聯通。上述政府機構、組織和企業網絡中的核心機密均成為攻擊者的目標。因此網絡安全問題越來越受到各級領導、專家、技術開發和應用人員的重視。二、網絡安全的概念國際標準化組織（iso）對計算機系統安全的定義是：為數據處理系統建立和采用的技

2、術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。三、網絡安全涉及的領域1、社會經濟領域在社會經濟領域中，主要是黨政機關的網絡安全問題，它關系到我國的政治穩定和國計民生。國家經濟領域內的網絡安全問題，它對國家經濟持續穩定發展起著決定作用。國防和軍隊網絡安全問題，關系到國家安全和主權完整。2、技術領域在技術領域中，網絡安全包括實體安全，用來保

3、證硬件和軟件本身的安全；運行安全，用來保證計算機能在良好的環境里持續工作；信息安全，用來保障信息不會被非法閱讀、修改和泄露。3、電子商務領域網絡上的電子商務應用已滲透到我國經濟生活的各個方面，電子商務交易安全將直接影響到整個國民經濟的正常運行，影響到億萬買賣雙方的切身利益。所以有效保護銀行、企業和個人的各種權益，防止不良行為和惡意侵襲，已經成為計算機網絡安全保護的一個新的重點。四、確保網絡安全的主要技術 1、防火墻技術防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸

4、的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。防火墻處于5層網絡安全體系中的最底層，屬于網絡層安全技術范疇。防火墻系統是一種網絡安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結合，這種安全部件處于被保護網絡和其它網絡的邊界，接收進出被保護網絡的數據流，并根據防火墻所配置的訪問控制策略進行過濾或作出其它操作，防火墻系統不僅能夠保護網絡資源不受外部的侵入，而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火墻系統可以用于內部網絡與internet之間的隔離，也可用于內部網絡不同網段的隔離，后者通常稱為intranet防火墻。根據防火

5、墻所采用的技術不同,我們可以將它分為四種基本類型：包過濾型、網絡地址轉換-nat、代理型和監測型。具體如下：（1）包過濾型 包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、tcp/udp源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡

6、單的情況下，能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造ip地址，騙過包過濾型防火墻。（2）網絡地址轉化-nat網絡地址轉換是一種用于把ip地址轉換成臨時的、外部的、注冊的ip地址標準。它允許具有私有ip地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的ip地址。nat的工作過程是：在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將

7、外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的ip地址和端口來請求訪問。olm防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。（3）代理型 代理型

8、防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體

9、性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。（4）監測型監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防

10、火墻的定義，而且在安全性上也超越了前兩代產品。監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但監測型防火墻技術的實現成本較高，也不易管理。基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求，同時也能有效地控制安全系統的總擁有成本。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。2、數據加密技術數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心

11、，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。計算機網絡應用特別是電子商務應用的飛速發展，對數據完整性以及身份鑒定技術提出了新的要求，數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現，即數據的發送方在發送數據的同時利用單向的hash函數或者其它信息文摘算法計算出所傳輸數據的消息文摘，并將該消

12、息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名，接收方使用相同的算法計算出接收到的數據的數字簽名，并將該數字簽名和接收到的數字簽名進行比較，若二者相同，則說明數據在傳輸過程中未被修改，數據完整性得到了保證。常用的消息文摘算法包括sha、md4和md5等。根據密鑰類型不同可以將現代密碼技術分為兩類：對稱加密算法（私鑰密碼體系）和非對稱加密算法（公鑰密碼體系）。在對稱加密算法中，數據加密和解密采用的都是同一個密鑰，因而其安全性依賴于所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快，加密強度高，且算法公開，但其最大的缺點是實現密鑰的秘密分發困難，在大量用戶

13、的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便于應用在網絡開放的環境中。目前最著名的對稱加密算法有數據加密標準des和歐洲數據加密標準idea等。在公鑰密碼體系中，數據加密和解密采用不同的密鑰，而且用加密密鑰加密的數據只有采用相應的解密密鑰才能解密，更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中，用戶通常將密鑰對中的加密密鑰公開（稱為公鑰），而秘密持有解密密鑰（稱為私鑰）。利用公鑰體系可以方便地實現對用戶的身份認證，也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密，如果能夠解開，說明信息確實為該用戶所發

14、送，這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名算法結合使用，在保證數據傳輸完整性的同時完成對用戶的身份認證。目前的公鑰密碼算法都是基于一些復雜的數學難題，例如目前廣泛使用的rsa算法就是基于大整數因子分解這一著名的數學難題。目前常用的非對稱加密算法包括整數因子分解（以rsa為代表）、橢園曲線離散對數和離散對數（以dsa為代表）。公鑰密碼體系的優點是能適應網絡的開放性要求，密鑰管理簡單，并且可方便地實現數字簽名和身份認證等功能，是目前電子商務等技術的核心基礎。其缺點是算法復雜，加密數據的速度和效率較低。因此在實際應用中，通常將對稱加密算法和非對稱加密

15、算法結合使用，利用des或者idea等對稱加密算法來進行大容量數據的加密，而采用rsa等非對稱加密算法來傳遞對稱加密算法所使用的密鑰，通過這種方法可以有效地提高加密的效率并能簡化對密鑰的管理。3、網絡入侵檢測技術網絡入侵檢測技術也叫網絡實時監控技術，它通過硬件或軟件對網絡上的數據流進行實時檢查，并與系統中的入侵特征數據庫進行比較，一旦發現有被攻擊的跡象，立刻根據用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統對訪問控制策略進行調整，將入侵的數據包過濾掉等。網絡入侵檢測技術的特點是利用網絡監控軟件或者硬件對網絡流量進行監控并分析，及時發現網絡攻擊的跡象并做出反應。入侵檢測部件可以直接部

16、署于受監控網絡的廣播網段，或者直接接收受監控網絡旁路過來的數據流。為了更有效地發現網絡受攻擊的跡象，網絡入侵檢測部件應能夠分析網絡上使用的各種網絡協議，識別各種網絡攻擊行為。網絡入侵檢測部件對網絡攻擊行為的識別通常是通過網絡入侵特征庫來實現的，這種方法有利于在出現了新的網絡攻擊手段時方便地對入侵特征庫加以更新，提高入侵檢測部件對網絡攻擊行為的識別能力。利用網絡入侵檢測技術可以實現網絡安全檢測和實時攻擊識別，但它只能作為網絡安全的一個重要的安全組件，網絡系統的實際安全實現應該結合使用防火墻等技術來組成一個完整的網絡安全解決方案，其原因在于網絡入侵檢測技術雖然也能對網絡攻擊進行識別并做出反應，但其

17、側重點還是在于發現，而不能代替防火墻系統執行整個網絡的訪問控制策略。防火墻系統能夠將一些預期的網絡攻擊阻擋于網絡外面，而網絡入侵檢測技術除了減小網絡系統的安全風險之外，還能對一些非預期的攻擊進行識別并做出反應，切斷攻擊連接或通知防火墻系統修改控制準則，將下一次的類似攻擊阻擋于網絡外部。因此通過網絡安全檢測技術和防火墻系統結合，可以實現了一個完整的網絡安全解決方案。4、安全隔離技術網絡的安全威脅和風險主要存在于三個方面：物理層、協議層和應用層。網絡線路被惡意切斷或過高電壓導致通信中斷，屬于物理層的威脅；網絡地址偽裝、teardrop碎片攻擊、synflood等則屬于協議層的威脅；非法url提交、

18、網頁惡意代碼、郵件病毒等均屬于應用層的攻擊。從安全風險來看，基于物理層的攻擊較少，基于網絡層的攻擊較多，而基于應用層的攻擊最多，并且復雜多樣，難以防范。面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求，全新安全防護理念-安全隔離技術應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成網間信息的安全交換。隔離概念的出現，是為了保護高安全度網絡環境，隔離產品發展至今共經歷了五代。第一代隔離技術，完全的隔離。采用完全獨立的設備、存儲和線路來訪問不同的網絡，做到了完全的物理隔離，但需要多套網絡和系統，建設和維護成本較高。第二代隔離技術，硬件卡隔離。通

19、過硬件卡控制獨立存儲和分時共享設備與線路來實現對不同網絡的訪問，它仍然存在使用不便、可用性差等問題，有的設計上還存在較大的安全隱患。待添加的隱藏文字內容2第三代隔離技術，數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離，切換時間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網絡應用，只能完成特定的基于文件的數據交換。第四代隔離技術，空氣開關隔離。該技術是通過使用單刀雙擲開關，通過內外部網絡分時訪問臨時緩存器來完成數據交換的，但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題，往往成為網絡的瓶頸。第五代隔離技術，安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制

20、，來實現網絡間的隔離和數據交換，不僅解決了以往隔離技術存在的問題，并且在網絡隔離的同時實現高效的內外網數據的安全交換，它透明地支持多種網絡應用，成為當前隔離技術的發展方向。5、虛擬專用網技術虛擬專用網(virtual private network，vpn)是近年來隨著internet的發展而迅速發展起來的一種技術。現代企業越來越多地利用internet資源來進行促銷、銷售、售后服務，乃至培訓、合作等活動。許多企業趨向于利用internet來替代它們私有數據網絡。這種利用internet來傳輸私有信息而形成的邏輯網絡就稱為虛擬專用網。虛擬專用網實際上就是將internet看作一種公有數據網，這種公有網和pstn網在數據傳輸上沒有本質的區別，從用戶觀點來看，數據都被正確傳送到了目的地。相對地，企業在這種公共數據網上建立的用以傳輸企業內部信息的網絡被稱為私有網。vpn的具體實現是采用隧道技術，目前，較為常用的vpn分為第二層隧道協議和第三層隧道協議。其中第二層隧道協議主要是pptp(點到點隧道協議)和l2tp(第二層隧道協議)；而第三層隧道協議主要是ipsec和gre協議。隨著人們對網絡安全要求的進一步提高，ipsec隧道協議正在成