计算机网络安全论文目录

网络安全技术分析(1)

发布日期:2003年5月-17作者:秩名

从信息网络安全内涵的根本变化出发,阐述了发展我国国家信息安全体系的重要性和建立具有中国特色的网络安全体系的必要性。本文论述了网络防火墙安全技术的分类和主要技术特征。关键词:网络安全防火墙1的技术特点。概述21世纪,世界各地的计算机将通过互联网连接起来,信息安全的内涵将发生根本改变。不仅从一般的防御变成了非常普通的防御,也从专门的领域变成了无处不在。当人类在21世纪步入信息社会和网络社会时,中国将建立一个完整的网络安全体系,特别是在政策和法律上具有中国特色的网络安全体系。一个国家的信息安全体系其实包括国家的法规政策,以及技术和市场的发展平台。在构建信息防御系统时,中国应专注于开发自己独特的安全产品。中国真正解决网络安全问题的最终途径是发展民族安全产业,促进中国网络安全技术的整体提升。网络安全产品有以下特点:第一,网络安全来源于安全策略和技术的多样化,采用统一的技术和策略并不安全;第二,网络的安全机制和技术应该是不断变化的;再次,随着网络在社会方面的延伸,进入网络的手段越来越多。因此,网络安全技术是一项非常复杂的系统工程。因此,建立具有中国特色的网络安全体系需要国家政策法规的支持和集团的共同研发。安全和反安全就像是矛盾的两个方面,总是在向上上升,所以未来安全行业也会随着新技术的发展而发展。信息安全是国家发展面临的重要问题。对于这个问题,我们还没有从系统规划上考虑,从技术、产业、政策上发展。政府不仅要看到发展信息安全是我国高科技产业的一部分,还要看到发展安全产业的政策是信息安全体系的重要组成部分,甚至要看到它对我国未来电子信息技术的发展将起到非常重要的作用。2.防火墙网络防火墙技术是一种专用的网络互联设备,用于加强网络之间的访问控制,防止外网用户通过外网非法进入内网,访问内网资源,保护内网运行环境。它按照一定的安全策略检查两个或两个以上网络之间传输的数据包,如链路模式,以决定是否允许网络之间的通信,并监控网络运行状态。?目前防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)、电路层网关、屏蔽主机防火墙、双宿主机等。?虽然防火墙是保护网络免受黑客攻击的有效手段,但它也有明显的缺点:不能防止来自防火墙以外的其他途径的攻击,不能防止来自内部叛逃者和临时用户的威胁,不能完全防止被感染软件或文件的传播,不能防止数据驱动的攻击。自从1986,美国数字公司在互联网上安装了世界上第一个商用防火墙系统并提出防火墙的概念以来,防火墙技术发展迅速。国内外数十家公司推出了不同功能的防火墙产品线。防火墙处于五层网络安全体系的底层,属于网络层安全技术的范畴。在这个层面上,企业对安全系统的质疑是:所有的IP是否都可以接入企业的内网系统?如果答案是“是”,说明内网没有在网络层采取相应的防范措施。防火墙作为内部网络和外部公网之间的第一道屏障,是最早被人们重视的网络安全产品之一。理论上,防火墙处于网络安全的底层,负责网络间的安全认证和传输。然而,随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术逐渐走向网络层以外的其他安全层面,不仅要完成传统防火墙的过滤任务,还要为各种网络应用提供相应的安全服务。此外,多种防火墙产品正在向数据安全和用户认证方向发展,防止病毒和黑客的入侵。根据防火墙采用的不同技术,我们可以将其分为四种基本类型:包过滤、网络地址转换——NAT、代理和监控。

从中国最大的数据库www.3722.cn下载。

2.1.包过滤包过滤产品是防火墙的初级产品,其技术基础是网络中的数据包传输技术。网络上的数据是以包的形式传输的,数据被分成一定大小的包,每个包都会包含一些特定的信息,比如数据的源地址、目的地址、TCP/UDP源端口、目的端口等。防火墙可以通过读取数据包中的地址信息来判断这些“数据包”是否来自可信的安全站点。一旦发现来自危险站点的数据包,防火墙将拒绝这些数据。系统管理员也可以根据实际情况灵活制定判断规则。包过滤技术的优点是简单实用,实施成本低。在应用环境简单的情况下,能够以较小的成本在一定程度上保证系统的安全性。但是包过滤技术的缺陷也是显而易见的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目的、端口等网络信息进行判断,无法识别基于应用层的恶意入侵,如恶意Java小程序、邮件附带的病毒等。有经验的黑客可以轻易地伪造IP地址,骗过包过滤防火墙。2.2.网络地址转换-—NAT网络地址转换是将IP地址转换为临时、外部和注册IP地址的标准>:标准。它允许具有私有IP地址的内部网络访问互联网。这也意味着不允许用户获得其网络中每台机器的注册IP地址。NAT的工作过程如图1所示:当内网通过安全网卡访问外网时,会产生一条映射记录。系统将外发源地址和源端口映射到一个伪装的地址和端口,通过不安全的网卡将伪装的地址和端口连接到外网,从而对外隐藏真实的内网地址。外网通过不安全的网卡访问内网时,并不知道内网的连接,只是通过开放的IP地址和端口请求访问。OLM防火墙根据预定义的映射规则判断该访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求或将连接请求映射到不同的内部计算机。当不符合规则时,防火墙认为访问不安全,不可接受,防火墙会屏蔽外部连接请求。网络地址转换的过程对用户是透明的,用户不需要设置,只需要做常规操作即可。2.3.基于代理的代理防火墙也可以称为代理服务器。其安全性高于包过滤产品,并开始向应用层发展。代理服务器位于客户端和服务器之间,完全阻断了两者之间的数据交换。从客户端的角度来看,代理服务器相当于一个真实的服务器;从服务器的角度来看,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据时,首先向代理服务器发送数据请求,然后代理服务器根据这个请求向服务器请求数据,然后代理服务器将数据传输给客户端。由于外部系统与内部服务器之间没有直接的数据通道,外部恶意侵权很难对企业内部网络系统造成危害。代理防火墙的优点是安全性高,可以检测和扫描应用层,对基于应用层的入侵和病毒非常有效。其缺点是对系统整体性能影响较大,对于客户端可能生成的所有应用类型都必须一一设置代理服务器,大大增加了系统管理的复杂度。2.4.监控监听防火墙是新一代的产品,这项技术实际上已经超越了防火墙最初的定义。监控防火墙可以主动实时监控各层数据。基于对这些数据的分析,监控防火墙可以有效地判断各层的非法入侵。同时,这种检测防火墙产品一般都有分布式检测器,安装在各种应用服务器和其他网络节点中,不仅可以检测来自网络外部的攻击,对来自内部的恶意破坏也有很强的防范作用。据权威机构统计,针对网络系统的攻击有相当比例来自网络内部。所以监控防火墙不仅超越了传统防火墙的定义,在安全性上也超越了前两代产品。虽然监控防火墙在安全性上已经超越了包过滤防火墙和代理服务器防火墙,但在实际使用中监控防火墙技术仍然是第二代代理产品,但在某些方面也开始使用。基于系统成本和安全技术成本的综合考虑,用户可以选择性地使用一些监控技术。这样既能保证网络系统的安全要求,又能有效控制安全系统的总拥有成本。事实上,作为防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单一使用具有更大的优势。因为该产品是基于应用程序的,所以应用程序网关可以为协议提供过滤。比如可以过滤掉FTP连接中的PUT命令,通过代理应用,应用网关可以有效避免内网的信息泄露。正是由于应用网关的这些特点,应用过程中的矛盾主要集中在对各种网络应用协议的有效支持和对网络整体性能的影响上。