摘 要:本文讨论了网络安全的重要性,并阐述了网络安全防护的几种常用技术:加密技术,防火墙技术和网络防病毒技术。
关键词:网络安全; 加密; 防火墙; 防病毒
中图分类号: TP393.08
随着互联网的发展,计算机网络已被广泛地用于人们生产、生活当中。然而,计算机网络安全受到方方面面的威胁。因此,在网络设计和应用当中,要采用相应的网络安全防护技术,来保证网络的正常运行。
网络安全应包括下面几个方面的内容:物理安全、信息安全和通信安全。计算机网络的安全主要通过加密、防火墙、网络防病毒等技术来实现。
一、加密技术
加密技术是网络安全的核心,现代密码技术发展至今二十余年,其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。加密技术是解决网络上信息传输安全的主要方法,其核心是加密算法的设计。加密算法按照密钥的类型, 可分为非对称密钥加密算法和对称密钥加密算法。
(一)非对称密钥加密
在非对称机密体系中, 密钥被分解为一对(即公开密钥和私有密钥), 而且加密密钥与解密密钥不同,是一种利用公开加密密钥加密,利用不公开解密密钥解密的密码体制。密钥中任何一把都可以作为公开加密密钥,而另一把作为私有解密密钥加以保存。私有密钥只能由生成密钥的交换方掌握, 公开密钥可广泛公开。非对称加密方式可以使通信双方无需实现交换密钥就建立安全通信, 广泛应用于身份认证, 数字签名等信息交换领域。目前最完善的公开密钥密码体制是RSA。
(二) 对称加密技术
在对称加密技术中, 对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。信息交换双方都不必彼此研究交换专用的加密算法。若在交换阶段私有密钥未曾泄漏, 那么机密性和报文完整性就可以得以保证。但对称加密技术也存在一些不足, 例如: 如果交换一方有N个交换对象, 那么他就要维护N个私有密钥, 对称加密技术存在的另一个问题是双方共享一把私有密钥, 交换双方的任何信息都是通过这把密钥加密后传送给对方的。比较有名的如DES等。
二、防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络的特殊网络互联设备。它对两个或多个网络之问传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。作为内网与外网之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为4种基本类型:包过滤型、网络地址转换型,代理型和监测型。
(一)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本低。它是一种完全基于网络层的安全技术,只能根据数据包的源、目标端口等网络信息进行判断,无法识别基于应用层的恶意侵入,有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙,达到入侵网络的目的。
(二)网络地址转换型
网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。它允许具有私有IP地址的内网访问因特网。
在内网通过安全网卡访问外网时,将产生一个映射记录。系统将外出的源地址映射为一个伪装的地址,让这个伪装的地址通过非安全网卡与外网连接,这样对外就隐藏了真实的内网地址。在外网通过非安全网卡访问内网时,它并不知道内网的连接情况,而只是通过一个开放的IP地址来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为是安全的访问,可以接受访问请求。当不符合规则时,防火墙认为该访问是不安全的,就屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(三)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之问没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器也集成了包过滤技术,这两种技术的混合应用显然比单独使用一种技术具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而目通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
(四)监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点中,不仅能够检测来自网络外部的攻击,同时对自内部的恶意破坏也有极强的防范作用。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
三、网络防病毒技术
由于网络计算机病毒是网络系统最大的攻击者, 具有强大的传染性和破坏力, 网络防病毒技术已成为计算机网络安全的又一重要课题。防病毒技术可分为三种: 病毒预防技术, 病毒检测技术和病毒消除技术。
(一) 病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。预防病毒技术包括: 磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
(二) 病毒检测技术
计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。计算机病毒的检测技术有两种: 一种是判断计算机病毒特征的监测技术。病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。另一种是文件自身检测技术, 这是一种不针对具体病毒程序的特征进行判断, 而只是通过对文件自身特征的检验技术, 如出现差异, 即表示该文件已感染上了病毒, 达到了检测病毒存在的目的。
(三) 病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果, 是计算机病毒传染程序的一种逆过程。但由于杀毒软件的更新是在病毒出现后才能研制, 有很大的被动性和滞后性, 而且由于计算机软件所要求的精确性, 致使某些变种病毒无法消除, 因次应经常升级杀毒软件。
四、结束语
目前,国内市场上已经出现了防火墙、安全路由器、安全网关、黑客入侵监测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段, 仍有大量的工作需要我们去研究、开发和探索, 以走出有中国特色的产学研联合发展之路, 赶上或超过发达国家的水平, 以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]何莉,许林英,姚鹏海.计算机网络概论[M].高等教育出版社.
[2]黎洪松.计算机网络技术[M].电子工业出版社.