網(wǎng)絡(luò)安全新技術(shù)論文(2)

　　網(wǎng)絡(luò)安全新技術(shù)論文篇二

　　網(wǎng)絡(luò)安全技術(shù)探討

　　摘要：文中詳細(xì)介紹了網(wǎng)絡(luò)安全領(lǐng)域中的兩個重要技術(shù)：防火墻技術(shù)和入侵檢測技術(shù)，并討論了防火墻與入侵檢測系統(tǒng)的聯(lián)動實(shí)現(xiàn)，提出了一個基于防火墻和入侵檢測的互動理論模型。

　　關(guān)鍵字：防火墻;網(wǎng)絡(luò)安全;入侵檢測

　　引言

　　計算機(jī)網(wǎng)絡(luò)是隨著現(xiàn)代社會對資源共享和信息交換與及時傳遞的迫切需要而不斷發(fā)展起來的，人們在享受著網(wǎng)絡(luò)所帶來的巨大便利的同時，網(wǎng)絡(luò)安全問題也變得越來越突出，成為人們?nèi)找骊P(guān)注的重點(diǎn)。一些常用的網(wǎng)絡(luò)安全解決方案有防火墻技術(shù)、(Virttml Private Network)、加密技術(shù)、入侵檢測技術(shù)等，防火墻技術(shù)作為網(wǎng)絡(luò)安全的重要組成部分格外受到關(guān)注，入侵檢測系統(tǒng)與防火墻聯(lián)動處理研究也是網(wǎng)絡(luò)安全體系研究的一個熱點(diǎn)問題。本文重點(diǎn)分析了網(wǎng)絡(luò)安全技術(shù)中的防火墻技術(shù)和入侵檢測技術(shù)，提出了一個入侵檢測系統(tǒng)與防火墻聯(lián)動的框架，探討如何提高網(wǎng)絡(luò)安全問題。

　　1、網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真實(shí)性(Authenticity)。網(wǎng)絡(luò)安全通常分為5個層次，如表1-1所示。

　　網(wǎng)絡(luò)安全技術(shù)體現(xiàn)為保障以上某個或某幾個層次的安全。現(xiàn)有的安全組件有訪問控制、加密、鑒別與認(rèn)證等，在Internet的時代，人們又采用了防火墻、入侵檢測系統(tǒng)、數(shù)字簽名、虛擬專網(wǎng)等來加強(qiáng)網(wǎng)絡(luò)、系統(tǒng)的安全性。

　　2、防火墻技術(shù)

　　防火墻是網(wǎng)絡(luò)安全技術(shù)中最常用的也是最成熟的技術(shù)，目前保護(hù)網(wǎng)絡(luò)安全最主要的手段之一就是構(gòu)建防火墻。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可以是硬件和軟件的結(jié)合體。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻配置的訪問控制策略進(jìn)行過濾或做出其他操作。防火墻系統(tǒng)不僅能保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送的有價值的信息。

　　2、1　包過濾技術(shù)

　　數(shù)據(jù)包過濾技術(shù)是防火墻最常用的技術(shù)，是一種基于網(wǎng)絡(luò)層的安全防護(hù)技術(shù)。包過濾防火墻主要通過IP數(shù)據(jù)包過濾模塊來實(shí)現(xiàn)。包過濾防火墻即可以由過濾路由器或普通路由器加包過濾軟件來實(shí)現(xiàn)，也可以在一個雙宿網(wǎng)關(guān)上安裝包過濾軟件來實(shí)現(xiàn)，還可以在一臺服務(wù)器上來實(shí)現(xiàn)。根據(jù)用戶事先定義好的過濾規(guī)則(訪問控制表――AccessControl List)，禁止或允許數(shù)據(jù)包的通過，從而達(dá)到對站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問控制。包過濾的最大優(yōu)點(diǎn)是邏輯簡單、價格便宜、對用戶透明、傳輸性能高，但是不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)，不是包過濾系統(tǒng)所能辨認(rèn)的。

　　包過濾一般檢查網(wǎng)絡(luò)層的IP頭和傳輸層的TCP頭，包括下面幾項：IP源地址、IP目標(biāo)地址、協(xié)議類型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目標(biāo)端口、ICMP的消息類型、TCP報頭中的ACK位和FIN位。此外，TCP的序列號、確認(rèn)號、IP校驗(yàn)和分段偏移也往往是要檢查的選項。

　　2.2　代理技術(shù)

　　代理技術(shù)也稱為應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理是工作在應(yīng)用層上特殊的應(yīng)用服務(wù)程序。它是作為內(nèi)外網(wǎng)之間的一個網(wǎng)關(guān)，在客戶和服務(wù)器之間充當(dāng)中繼，通信雙方不存在直接的網(wǎng)絡(luò)連接，由代理服務(wù)器來維持兩個連接：客戶方一代理服務(wù)器與代理服務(wù)器一服務(wù)器方。實(shí)質(zhì)上代理服務(wù)器分為兩部分：一個是客戶代理，完成與客戶方的連接與通信;另一個是服務(wù)器代理，完成與服務(wù)器方的連接與通信。工作過程如圖1-1所示。

　　2.3　地址翻譯技術(shù)

　　NAT(Network Address Translation)技術(shù)可以將局域網(wǎng)中節(jié)點(diǎn)的地址轉(zhuǎn)換成(映射到)一個外部公用地址，反之亦然。它應(yīng)用到防火墻技術(shù)中，從而實(shí)現(xiàn)一個機(jī)構(gòu)內(nèi)部局域網(wǎng)內(nèi)多個主機(jī)以一個地址出現(xiàn)在Interact上，把內(nèi)部IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部設(shè)備。NAT有三種類型：靜態(tài)NAT、動態(tài)NAT和端口映射NAT。

　　3、入侵檢測技術(shù)

　　入侵檢測系統(tǒng)(IDS Intrusion Detection System)是當(dāng)今動態(tài)安全技術(shù)中最成熟且最具有代表性的技術(shù)，它能主動檢測網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，其目的是盡可能實(shí)時的提供對內(nèi)部或外部的未授權(quán)的使用或?yàn)E用計算機(jī)系統(tǒng)的行為進(jìn)行鑒別和阻止。入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可缺少的組成部分，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。

　　3.1　分布式入侵檢測

　　分布式入侵檢測是目前入侵檢測乃至整個網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)之一，研究人員已經(jīng)提出并實(shí)現(xiàn)了多種原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種則通過IDS之間的信息共享來實(shí)現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中處理;分布式信息收集、分布式處理。前者以DIDS、NADIR、ASAX為代表。后者則采用了分布式計算的方法，降低了對中心計算能力的依賴，同時也減少了對網(wǎng)絡(luò)帶寬帶來的壓力，因此具有更好的發(fā)展前景。

　　3.2　智能化入侵檢測

　　所謂的智能化入侵檢測，即使用智能化的方法與手段來進(jìn)行入侵檢測?，F(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的地思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實(shí)現(xiàn)了知識庫的不斷升級與擴(kuò)展，使設(shè)計的入侵檢測系統(tǒng)防范能力不斷增強(qiáng)。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。

　　3.3　全面的安全防御方案

　　使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測等多方位對所關(guān)注的網(wǎng)絡(luò)進(jìn)行評估，然后提出可行的全面解決方案。

　　4、防火墻與入侵檢測系統(tǒng)的聯(lián)動實(shí)現(xiàn)

　　4.1　聯(lián)動的方式

　　入侵檢測系統(tǒng)和防火墻之間的聯(lián)動包括以下三種方式：

　　*系統(tǒng)嵌入方式：把入侵檢測系統(tǒng)嵌入防火墻中，入侵檢測系統(tǒng)的數(shù)據(jù)不再來源于網(wǎng)絡(luò)的直接抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包既要接受防火墻的驗(yàn)證，還要判斷是否有攻擊，以達(dá)到真正的實(shí)時阻斷。

　　*端口映像方式：防火墻將網(wǎng)絡(luò)中指定的一部分流量鏡像到入侵檢測系統(tǒng)中，入侵檢測系統(tǒng)再將處理后的結(jié)果通知防火墻，要求其相應(yīng)的修改安全策略。

　　*專用響應(yīng)方式：當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)存在攻擊企圖時，通過一個開放接口實(shí)現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進(jìn)行網(wǎng)絡(luò)安全事件的傳輸，更改防火墻安全策略，對攻擊的源頭進(jìn)行封堵。

　　4.2　聯(lián)動的實(shí)現(xiàn)

　　本文提出的聯(lián)動框架基于客戶端/服務(wù)器(Client/Server)模式，通過擴(kuò)展檢測系統(tǒng)和防火墻的功能，在防火墻中駐留一個Server程序，在/DS端駐留一個Client端程序，Client端一旦發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后，產(chǎn)生控制信息，將控制信息傳送給Server端，Server端接收到Client端的控制信息-后，動態(tài)生成防火墻的過濾規(guī)則攔截攻擊，最終實(shí)現(xiàn)聯(lián)動。入侵檢測系統(tǒng)與防火墻聯(lián)動實(shí)現(xiàn)的過程如圖1-2所示。

　　結(jié)束語

　　如何不斷提高網(wǎng)絡(luò)安全水平，是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。網(wǎng)絡(luò)安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一種平衡，并沒有一種技術(shù)可以完全消除網(wǎng)絡(luò)安全中的漏洞，網(wǎng)絡(luò)安全的目標(biāo)就是盡可能的增大保護(hù)時間，盡量減少檢測時間和響應(yīng)時間。在眾多的安全策略中，采用入侵檢測系統(tǒng)和防火墻互助互補(bǔ)的聯(lián)動體系將會使網(wǎng)絡(luò)更加安全。

　　
看了“網(wǎng)絡(luò)安全新技術(shù)論文”的人還看：

1.網(wǎng)絡(luò)安全技術(shù)論文1000字

2.計算機(jī)網(wǎng)絡(luò)安全方面的論文

3.網(wǎng)絡(luò)安全問題論文

4.計算機(jī)網(wǎng)絡(luò)安全技術(shù)論文范文

5.計算機(jī)網(wǎng)絡(luò)安全技術(shù)論文賞析