安全技术论文

网络安全技术论文

在了解网络面临来自哪些方面的威胁后，更应该了解针对不同网络威胁的一些应对技术和措施，掌握它们的工作原理以及对应的安全产品的使用方法，并能结合不同的网络环境和网络安全需求，制定一套科学合理的网络系统安全解决方案。本章将结合目前常见的网络安全技术，较为详细地分别介绍这些安全技术的工作原理，并结合一些实际网络安全产品的配置过程实例，更为直观地介绍安全产品的使用方法。7.1防火墙7.1.1防火墙的概念7.1.2防火墙的主要功能7.1.3防火墙技术7.1.4防火墙的选购7.1.1防火墙的概念现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它是指隔离在内部（本地）网络与外界网络之间的一道防御系统，是这一类防范措施的总称。通过它可以隔离风险区域（如Internet或有一定风险的网络）与安全区域（如局域网，也就是内部网络）的连接，同时不会妨碍人们对风险区域的访问。它是一种设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和外部网之间的访问控制。7.1.3防火墙的主要功能1．防火墙是网络安全的屏障2．防火墙能控制对特殊站点的访问3．对网络存取访问进行记录和统计4．防止内部网络信息的外泄5．地址转换(NAT)7.1.4防火墙技术目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。具体来说主要包括：简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。1．简单包过滤防火墙包过滤防火墙工作在网络层，对数据包的源及目的IP具有识别和控制作用，对于传输层，只能识别数据包是TCP还是UDP及所用的端口信息。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设置的访问控制表进行比较，确定是否符合预定义的安全策略，并决定数据包的通过或丢弃。比如：如果防火墙已设置拒绝telnet连接，这时当数据包的目的端口是23时，则该数据包就会被丢弃；如果允许进行Web访问，这时目的端口为80时则数据包就会被放行。由于这类防火墙只对数据包的IP地址、TCP/UDP协议和端口进行分析，因此它的处理速度较快，并且易于配置。简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果内部网络已经配有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的。单纯简单包过滤的产品由于其保护的不完善，在1999年以前国外的网络防火墙市场上就已经不存在了。2．应用代理防火墙应用代理防火墙，也叫应用代理网关防火墙。所谓网关是指在两个设备之间提供转发服务的系统。这种防火墙能彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，外网的访问应答先由防火墙处理，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力，使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利用操作系统本身的socket接口传递数据，从而导致性能比较差，不能支持大规模的并发连接；另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序的代理后防火墙才能正常工作，这样的后果是一些新出现的应用在代理型防火墙上往往不能使用，出现了防火墙不支持很多新型应用的局面。在IT领域中，新的应用和新的技术不断出现，甚至每一天都有新的应用方式和新的协议出现，代理型防火墙很难适应这种局面，使得在一些重要的领域和行业的核心业务应用中，代理型防火墙被渐渐地被抛弃。3．状态检测包过滤防火墙状态检测包过滤防火墙是在简单包过滤上的功能扩展，最早是CheckPoint公司提出的，现在已经成为防火墙的主流技术。状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。前面介绍的简单包过滤只是一种静态包过滤，静态包过滤将每个数据包单独分析，固定根据其包头信息（如源地址、目的地址、端口号等）进行匹配，这种方法在遇到利用动态端口应用协议时会发生困难。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。目前业界很多优秀的防火墙产品采用了状态检测型的体系结构，比如CheckPoint的Firewall-1，Cisco的PIX防火墙，NetScreen防火墙等等。4．复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代防火墙，它基于专用集成电路（ASIC，ApplicationSpecificIntegratedCircuit）架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击。复合型防火墙在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施，体现出网络与信息安全的新思路。7.1.6防火墙的选购目前国内外防火墙产品品种繁多、特点各异，有硬件的防火墙，也有软件防火墙。硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，基本上可以达到线性。而软件防火墙一般是基于某个操作系统平台开发的，直接在计算机上进行软件的安装和配置。由于用户平台的多样性，使得软件防火墙需支持多操作系统，如：Unix、Linux、SCO-Unix、Windows等，代码庞大、安装维护成本高、效率低，同时还受到操作系统平台稳定性的影响。显然，硬件防火墙总体性能上来说是优于软件防火墙的，但其价格也要高些。1．关系到防火墙性能的几个指标和概念（1）防火墙端口数（2）防火墙吞吐量（3）防火墙会话数（4）防火墙策略（5）DMZ区（6）防火墙的通信模式2．防火墙的选购下面从几个方面探讨选购防火墙时应该注意的问题。（1）防火墙自身是否安全（2）系统是否稳定（3）是否高效（4）是否可靠（5）功能是否灵活（6）配置是否方便（7）管理是否简便（8）是否可以抵抗拒绝服务攻击（9）是否可以针对用户身份进行过滤（10）是否具有可扩展、可升级性7.2入侵检测系统7.2.1入侵检测系统概述7.2.2入侵检测系统技术7.2.3入侵检测系统的工作流程7.2.4IDS与防火墙对比入侵检测系统：IntrusionDetectionSystem,简称IDS。入侵检测是指：“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。入侵检测系统是一个典型的“窥探设备”。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，可以与防火墙联动，可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。7.2.2入侵检测系统技术入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测系统从分析方式上主要可分为两种：（1）模式发现技术（模式匹配）（2）异常发现技术（异常检测）模式发现技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，而且知识库必须不断更新。对所有已知入侵行为和手段（及其变种）都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。异常发现技术先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的“正常”标准难于计算和更新，并无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：（1）基于主机的IDS（2）基于网络的IDS基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用网络适配器（探测器）来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者消除证据很困难。（3）实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地做出反应。从而将入侵活动对系统的破坏减到最低。（4）能够检测未成功的攻击企图。（5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源，而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的IDS一般监视WindowsNT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。基于主机的IDS的主要优势有：（1）非常适用于加密和交换环境。（2）近实时的检测和应答。（3）不需要额外的硬件。（4）确定攻击是否成功。（5）监测特定主机系统活动。以上两种实现方式的集成化是IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势，两者可以相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的IDS无法看到负载，因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。7.2.3入侵检测系统的工作流程1．信息收集2．信号分析3．实时记录、报警或有限度反击7.3虚拟专用网（VPN）技术VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，如图所示。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，VPN的核心就是在利用公共网络建立虚拟私有网。7.3.1VPN的特点7.3.2VPN安全技术7.3.3VPN技术的实际应用7.3.1VPN应具备的特点1．安全保障2．服务质量保证（QoS）3．可扩充性和灵活性4．可管理性7.3.2由于传输的是私有信息，VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全，这四项技术分别是：（1）隧道技术（Tunneling）、（2）加解密技术（Encryption&Decryption）、（3）密钥管理技术（KeyManagement）、（4）使用者与设备身份认证技术（Authentication）。7.3.3VPN技术的实际应用在实际应用中VPN技术针对不同的用户有不同的解决方案，用户可以根据自己的情况进行选择。这些解决方案主要分为三种：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN）。这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。7.4网络病毒与防范7.4.1概述7.4.2网络病毒的传播途径与网络防毒7.4.3防病毒技术的发展趋势7.4.1概述1．什么是网络病毒网络病毒是一个新兴的概念，在传统的病毒分类里基本上没有网络病毒这个概念的，随着网络的广泛应用，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。病毒也有了一些网络的特性。如今网络病毒是一个广义的概念，一般只要是利用网络来进行传染、破坏的都可以被称为网络病毒。2．网络病毒具有以下特点：（1）自动传播和主动攻击，如：蠕虫病毒；（2）攻击系统后门，如：特洛伊木马；（3）多种传播方式多样化，如：通过邮件、网络共享，利用IIS、IE、SQL的漏洞进行传播等；（4）爆发速度快、影响面广，如：以邮件为载体进行传播的病毒危害十分巨大；（5）来自Internet网页的威胁，如：网页中包含恶意有毒编码。3．网络病毒的危害计算机病毒的主要危害有：（1）病毒激发对计算机数据信息有直接破坏作用，数据的安全性得不到保障；（2）占用磁盘空间和对信息的破坏；（3）抢占系统资源，降低系统运行性能；（4）严重影响计算机和网络运行速度，甚至导致计算机系统和网络系统的瘫痪；（5）由于网络病毒可能存在多种变种，从而造成许多不可预见的危害；（6）网络病毒造成巨大的经济损失。4．网络病毒的类型随着网络越来越发达，网络病毒的种类也就越来越多，迄今为止计算机病毒已有近9万种，计算机病毒大体上可归纳为以下几类：（1）按照病毒存在的载体分类，一般可分为4类：导区病毒、文件型病毒、蠕虫病毒、混合类的病毒：（2）按照病毒传染的方法分类可分为4类：入侵型病毒、嵌入式病毒、加壳型病毒、病毒生产机（3）按照病毒自身特征分类可以分为2类：伴随型病毒、变型病毒。7.4.2网络病毒的传播途径与网络防毒网络病毒的传播主要有以下五种途径：邮件传播、点击网页、用户下载、其它人植入、通过计算机漏洞植入，所以我们只要守住了这五个要道，就能较好地防住网络病毒。网络防毒的主要方法：1.建立好的安全习惯2.对计算机应该经常打补丁3.掌握一些病毒知识4.安装专业的防毒软件进行全面控制5．利用可网管交换机进行控制7.4.3防病毒技术的发展趋势1．防范未知病毒技术期待突破2．反病毒体系趋向于立体化7.5信息加密技术随着网络技术的发展，网络安全也就成为当今网络社会的焦点中的焦点。由于信息的传输通过的是脆弱的公共信道，信息储存于“不设防”的计算机系统中，如何保护信息的安全使之不被窃取、篡改或破坏，也就是信息内容的保密性问题，已成为当今被普遍关注的重大问题。加密技术是有效而且可行的办法。在计算机网络广泛应用的影响下，近代密码学在一些算法理论的基础上建立起来，尤其在利用网络进行文件传输、电子邮件往来和进行合同文本的签署中得到广泛应用，为我们的网络活动提供了安全保障，是网络安全技术中的核心技术。7.5.1加密技术的基本概念7.5.2数据加密的基本原理7.5.3对称密钥体制和非对称密钥体制7.5.4数据加密算法7.5.5数据传输过程中的加密方式7.5.6基于加密技术的安全认证7.5.7加密技术的应用实例7.5.1加密技术的基本概念密码学是以研究数据保密为目的，对存储或传输的信息采取秘密的交换以防止第三者对信息的窃取。密码是实现秘密通讯的主要元素（手段），是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把数据（明文）的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，从而保证信息传输的安全。加密过程中的几个名词概念：（密码学中的几个名词）（1）明文：被变换的信息，其可以是一段有意义的文字或数据；（2）密文：信息变换后的一串杂乱排列的数据，从字面上无任何含义；（3）加密：从明文到密文的变换过程为加密；（4）解密：将密文还原为明文的变换过程；（5）密钥：对加密与解密过程进行控制的参数。（6）Ek（m）：以加密密钥k为参数的函数，是一个加密变换。其中，参数k称之为密钥。对于明文m，加密算法（将明文变成密文的一种编码）E确定之后，由于密钥k不同，密文也不同。（7）Dk’（C）：以解密密钥k’为参数的函数。是一个解密变换。其中，C密文。7.5.2数据加密的基本原理在保障信息安全的多种技术中，密码技术是信息安全的核心和关键技术。通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。在数据加密系统中，密钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一个非常重要的问题。7.5.3对称密钥体制和非对称密钥体制对称密钥体制是指加密密钥（Pk）和解密密钥（Sk）是相同的，也就是说数据在加密和解密过程中使用相同的密钥。对称密钥体制也可称为单钥体制。非对称密钥体制是指在对数据进行加密和解密过程中使用不同的密钥，这两个密钥分别称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。因此这种密钥体制有时也称为公开密钥体制（公钥体制）或双钥体制。对称加密的特点：对称加密速度快，但密钥不便于管理。非对称加密的特点：可以适应网络开放性要求，且密钥管理问题也较为简单，尤其可方便实现数字签名和验证。但由于其需要很复杂的数学算法，故其加密速度较低。7.5.4数据加密算法数据加密算法有很多种，密码算法标准化是信息化社会发展的必然趋势，是世界各国保密通信领域的一个重要课题。按照发展进程来看，密码经历了古典密码算法、对称密钥密码算法和公开密钥密码算法三个阶段。古典密码算法有替代加密、置换加密、凯撒密码；对称加密算法包括DES和AES；公开密钥密码算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法等。1．DES（DataEncryptionStandard，数据加密标准）加密算法数据加密标准（DES）是美国经长时间征集和筛选后，于1977年由美国国家标准局颁布的一种加密算法。它主要用于民用敏感信息的加密，后来被国际标准化组织接受作为国际标准。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。DES算法仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。DES算法的弱点是不能提供足够的安全性，因为其密钥容量只有56位。由于这个原因，后来又提出了三重DES或3DES系统，使用3个不同的密钥对数据块进行（两次或）三次加密，该方法比进行普通加密的三次快。其强度大约和112比特的密钥强度相当。2．RSA算法RSA算法以它的三位发明者的名字命名（RonRivest、AdiShamir和LeonardAdleman）。适用于数字签名和密钥交换。RSA加密算法是目前应用最广泛的公钥加密算法，特别适用于通过Internet传送的数据。RSA的理论依据为：寻找两个大素数比较简单，而将它们的乘积分解开则异常困难。RSA算法既能用于数据加密，也能用于数字签名，在RSA算法中，包含两个密钥，加密密钥和解密密钥，加密密钥是公开的。RSA算法的优点是密钥空间大（500位，一般推荐使用1024位），缺点是加密速度慢，如果RSA和DES结合使用，则正好弥补RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文，而RSA可解决DES密钥分配的问题。7.5.5数据传输过程中的加密方式数据加密技术主要分为数据存储加密和数据传输加密。采用数据存储加密技术的目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以