网络安全技术解析
2011-08-15卢方兴
卢方兴
绥化学院计算机科学与技术系,黑龙江 绥化 152061
传统上以防火墙作为第一道安全屏障的防范方式随着攻击技术的日趋成熟和手法的日趋多样已经不能很好的完成安全防护工作。防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的,首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,而这是远远不能满足用户复杂的应用要求的。
网络安全问题自从其出现就受到了广泛的重视,目前,如何采用相关技术确保网络安全?希望个人、企业以及政府部门应采取以下几种技术。
1 加密机制技术
加密是一种最基本的安全机制,它能防止信息被非法读取。加密是一种在网络环境中对抗被动攻击行之有效的安全机制。数据加密是保护数据最基本的方法。但是这种方法只能防止第三者获取真实数据,仅仅解决了安全问题的一个方面。而且加密技术也并不是牢不可破的。
2 数据签名机制技术
数据签名与加密机制有点相似,一般是签名者利用秘密密钥(私钥)对需要签名的数据进行加密,验证方利用签名者的公开密钥(公钥)对签名数据进行解密运算。此法对于密钥的设计和加密算法有极高的要求。
访问控制机制技术。访问控制机制就是按照事先确定的规则决定主体对客体的访问是否合法。访问控制一般以下面的机制为基础:1)访问控制数据库;2)口令机制;3)安全标志,当它与实体(程序、数据等)有关时,可用来允许或拒绝与安全有关的访问;4)能力表,决定主体对客体访问的权利的凭证。
3 数据完整性机制技术
数据完整性技术可以发现网络上传输的数据是否已经被非法修改,从而使用户预防不会被非法数据所欺骗。
4 认证机制技术
认证是以交换信息的方式来确定实体身份的一种机制,是进行存取控制所必不可少的条件,因为不知道用户是谁,就无法判断其存取是否合法。用于认证机制的技术如下:1)口令机制:口令一般由发送方实体提供,由接收方实体检验;2)安全协议机制:收发双方事先经过约定,按照约定的协议进行鉴定交换;3)使用密码技术:将交换的数据进行加密,只有合法用户方能解密,得到有意义的明文(数据);4)使用实体的特征或实体所有的物件:这时常采用的技术就是指纹识别技术、视角膜识别技术和DNA识别技术等。
5 系统漏洞检测技术
系统中漏洞的存在是系统受到各种安全危险的主要原因。外部黑客对系统的攻击主要利用了系统提供的网络服务中的漏洞;内部人员作案则也是利用了系统内部服务及其资源配置中所存在的漏洞;如著名的攻击方法之一“拒绝服务攻击”主要就是利用了系统中资源分配上的漏洞,长期占用有限的资源不释放,使得其它用户得不到系统应该进行的服务;或者利用服务处理上的弱点,使该服务器崩溃。因此,要保护系统的安全,就非常有必要消除系统中所存在的各种安全漏洞,而消除系统中的安全漏洞的第一步就是应该检测出系统中是否存在各种安全漏洞,在此基础上才能进一步考虑怎样消除和修补那些存在的漏洞。
6 防火墙技术
在保护网络安全的各种技术中,防火墙技术是目前比较好的技术,也是一种技术比较成熟的网络安全技术。利用防火墙技术实现的软件将定义好的安全策略转换成具体的安全控制操作,它使得内部网络与外部网(主要是因特网)之间相互隔离、限制网络互访。按照一定的安全策略规则对其检查网络包或服务请求,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,而与内部网络或私有网络相连的网络则被称为外部网络或共用网络。防火墙技术能有效地控制内部网络与外部网络之间的互访和数据传送,从而实现了保护内部网络的信息不受外部非法授权用户的访问或者过滤信息的目的。防火墙的实现从层次上大概可以分为两种:报文过滤和应用层网关。
7 IP隧 道(IP Tunnel)或VPN(Virtual Private Network)技术
经常会出现这种情况,一个大公司的两个子公司相隔很远,需要通过Internel通信。在这种情况下,就可以采用IP Tunnel或VPN来防止Internet上的黑客获取信息,从而在Internet上形成了一个虚拟的专用网。
8 隔离域名服务器(Split Domain Name Server)
这种技术是通过防火墙将受保护网络的域名服务器与外部网络的域名服务器隔离,使得外部网络的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保护受保护网络的IP地址不被外部网络所获悉。
而在当前实际应用中,建立防火墙系统是解决网络安全问题的主要方法,基于防火墙的网络安全体系结构主要有如下的3种基本结构:
1)双宿主主机结构:这是最基本的防火墙系统结构。这种系统实质上就是至少具有两个网络接口卡(NIC)的主机系统;这样的主机还可以充当与这些网络接口卡相连的若干网络中间的路由器。这种结构虽然能提供很高程度的网络控制,但是由于进出服务器的信息量太大,造成主机的负载较大,容易成为网络瓶颈;
2)主机过滤结构:这种结构就是在堡垒主机对外通过过滤路由器连接到外部网络,对内直接连接内部网络。但入侵者一旦攻破堡垒主机,整个内部网络就危险了;
3)子网过滤结构:这种结构就是在主机过滤结构中增加一层周边网络的安全机制,也就是堡垒主机对外、对内连接都要通过过滤路由器。所以相对上一种结构它又算比较完全的一种。
基于防火墙的3种基本结构可以产生多种变形,通过基本的结构结合起来以增强网络安全。
9 结论
由于目前网络安全技术还存在着这样或那样的安全缺陷,不能完善地保护网络安全,所以有必要对网络安全技术作进一步的研究。