论文部分内容阅读
摘要:为保证计算机网络系统的安全,应混合使用多种安全防护策略。现代防火墙技术已从网络安全的最底层逐步走向网络层之外的其他安全层次,在完成传统防火墙的过滤任务的同时,还能为各种网络就用提供相应的安全服务。
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2008)21-30430-02
Computer Network Security and Firewall Technology
YUAN Rong-jian
(Guizhou Electronic Information Vocational and Technical College,Kaili 556000,China)
Abstract: In order to guarantee the security of computer network system, should be mixed use of a variety of security strategy. Modern network security firewall technology from the bottom layer gradually network other than the safety level, the completion of the traditional firewall filtering tasks at the same time, but also for the various networks used to provide the appropriate security services.
Key words: computer; network security; firewall technology
1 引言
当人类步人21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
2 计算机网络安全的定义
网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
3 影响计算机网络的安全因素
网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括:
1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。
4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。
5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。
6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。
7)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。这主要表现在管理措施不完善,安全意识淡薄,管理人员的误操作等。
4 目前主要的网络安全策略
4.1 数据加密
数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密等方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保密,所有传输数据均以密码的形式在链路中传送,任意一对节点之间的链路上的加密是独立实现的,可以采用不同的密码。链路加密的算法一般采用序列密码,可以对报文和报头同时进行加密,所以链路加密掩盖了被传输数据源节点和目标节点的信息。链路加密能够防止搭线窃听,但由于在中间节点暴露了信息的内容,在互联网中链路加密是不能实现通信安全的,链路加密通常是用硬件实现,但也可以用软件来实现。
端端加密是对源节点用户到目标节点用户的数据进行保护,允许源节点到目标节点的数据始终以密文的形式存在,所以端端加密方式更加可靠、易于设计和实现,端端加密通常是用软件实现,但也可以用硬件来实现。
节点加密是对源节点到目标节点的链路提供保护,节点在加密方式上与链路加密类似,区别是在节点加密方式中,网络节点先把收到的数据进行解密,然后采用另一种不同的密钥进行加密;节点加密要求报头和路由信息用明文的形式传输,因此这种方式很难防止攻击者分析通信业务。
混合加密是采用链路加密和端端加密相结合的混合加密方式,可以有效的保护报头中的敏感数据,获得更高的安全性。
4.2 网络存取控制
网络的存取控制就是对网络上的用户进行身份识别,防止非法用户进入系统,使数据泄密或破坏网络数据。常用的一是身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户;二是数字签名。数字签名是采用电子形式的签名,可以用密码形式实现,安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签名体制是两个用户登记公开密钥,作为对方验证签名的依据之一,用户双方都有自己的保密密钥,可以对发送的数据保密。三是存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。四是灾难恢复策略。备份策略是网络系统最常用的灾难恢复策略,对于服务器上的数据,管理人员应经常备份。备份可以采用本机上备份,也可以采用网络备份。备份要经常进行,尽量远离服务器,在其他房间单独存放,以免由于盗窃、火灾等原因导致备份的数据丢失。
5 防火墙技术分析
根据防火墙所采用的技术不同,可以将它分为四种类型:包过滤型、网络地址转换-NAT、应用代理型、状态检测型等。
5.1 包过滤型
包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流阻挡丢弃。
包过滤的优点是:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。缺点:只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。
5.2 网络地址转换-NAT
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP地址标准,用户必须要为网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.3 应用代理型防火墙
应用代理型防火墙是工作在OSI的最高层即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
5.4 状态检测型
状态检测型防火墙采用的一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测型防火墙与前几种防火墙技术相比,它具有高安全性、高效性、可伸缩性和扩展性以及应用范围广的优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多种连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
6 结束语
总之,由于网络安全的威胁是多方面的,所以单纯依靠某一种防火墙技术来实现完全保护是很困难的,只有将防火墙技术和其它网络安全技术相结合才能很好地起到保护网络安全的作用。
参考文献:
[1] 张景田.计算机网络安全技浅析[J].统计与查询,2005(4).
[2] 余建斌.黑客的攻击手段及用户对策[M].北京人民邮电出版社,2005.
[3] 蔡立军.计算机网络安全技术[M].中国水利水电出版社,2002.
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2008)21-30430-02
Computer Network Security and Firewall Technology
YUAN Rong-jian
(Guizhou Electronic Information Vocational and Technical College,Kaili 556000,China)
Abstract: In order to guarantee the security of computer network system, should be mixed use of a variety of security strategy. Modern network security firewall technology from the bottom layer gradually network other than the safety level, the completion of the traditional firewall filtering tasks at the same time, but also for the various networks used to provide the appropriate security services.
Key words: computer; network security; firewall technology
1 引言
当人类步人21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
2 计算机网络安全的定义
网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
3 影响计算机网络的安全因素
网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括:
1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。
4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。
5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。
6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。
7)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。这主要表现在管理措施不完善,安全意识淡薄,管理人员的误操作等。
4 目前主要的网络安全策略
4.1 数据加密
数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密等方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保密,所有传输数据均以密码的形式在链路中传送,任意一对节点之间的链路上的加密是独立实现的,可以采用不同的密码。链路加密的算法一般采用序列密码,可以对报文和报头同时进行加密,所以链路加密掩盖了被传输数据源节点和目标节点的信息。链路加密能够防止搭线窃听,但由于在中间节点暴露了信息的内容,在互联网中链路加密是不能实现通信安全的,链路加密通常是用硬件实现,但也可以用软件来实现。
端端加密是对源节点用户到目标节点用户的数据进行保护,允许源节点到目标节点的数据始终以密文的形式存在,所以端端加密方式更加可靠、易于设计和实现,端端加密通常是用软件实现,但也可以用硬件来实现。
节点加密是对源节点到目标节点的链路提供保护,节点在加密方式上与链路加密类似,区别是在节点加密方式中,网络节点先把收到的数据进行解密,然后采用另一种不同的密钥进行加密;节点加密要求报头和路由信息用明文的形式传输,因此这种方式很难防止攻击者分析通信业务。
混合加密是采用链路加密和端端加密相结合的混合加密方式,可以有效的保护报头中的敏感数据,获得更高的安全性。
4.2 网络存取控制
网络的存取控制就是对网络上的用户进行身份识别,防止非法用户进入系统,使数据泄密或破坏网络数据。常用的一是身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户;二是数字签名。数字签名是采用电子形式的签名,可以用密码形式实现,安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签名体制是两个用户登记公开密钥,作为对方验证签名的依据之一,用户双方都有自己的保密密钥,可以对发送的数据保密。三是存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。四是灾难恢复策略。备份策略是网络系统最常用的灾难恢复策略,对于服务器上的数据,管理人员应经常备份。备份可以采用本机上备份,也可以采用网络备份。备份要经常进行,尽量远离服务器,在其他房间单独存放,以免由于盗窃、火灾等原因导致备份的数据丢失。
5 防火墙技术分析
根据防火墙所采用的技术不同,可以将它分为四种类型:包过滤型、网络地址转换-NAT、应用代理型、状态检测型等。
5.1 包过滤型
包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流阻挡丢弃。
包过滤的优点是:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。缺点:只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。
5.2 网络地址转换-NAT
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP地址标准,用户必须要为网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.3 应用代理型防火墙
应用代理型防火墙是工作在OSI的最高层即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。应用代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
5.4 状态检测型
状态检测型防火墙采用的一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测型防火墙与前几种防火墙技术相比,它具有高安全性、高效性、可伸缩性和扩展性以及应用范围广的优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多种连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
6 结束语
总之,由于网络安全的威胁是多方面的,所以单纯依靠某一种防火墙技术来实现完全保护是很困难的,只有将防火墙技术和其它网络安全技术相结合才能很好地起到保护网络安全的作用。
参考文献:
[1] 张景田.计算机网络安全技浅析[J].统计与查询,2005(4).
[2] 余建斌.黑客的攻击手段及用户对策[M].北京人民邮电出版社,2005.
[3] 蔡立军.计算机网络安全技术[M].中国水利水电出版社,2002.