|
淺析網(wǎng)絡(luò)安全技術(shù)
(作者未知) 2009/7/19
摘要:文中就信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性�。論述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征。
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻 技術(shù)特征
1.概述
21世紀(jì)全世界的計算機(jī)都將通過Internet聯(lián)到一起���,信息安全的內(nèi)涵也就發(fā)生了根本的變化���。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在����。當(dāng)人類步入21世紀(jì)這一信息社會����、網(wǎng)絡(luò)社會的時候�,我國將建立起一套完整的網(wǎng)絡(luò)安全體系�,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策���,以及技術(shù)與市場的發(fā)展平臺��。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時����,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品�����,我國要想真正解決網(wǎng)絡(luò)安全問題�����,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)���,帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高�。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一�����,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了���;第二�����,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化����;第三�,隨著網(wǎng)絡(luò)在社會個方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多�,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程����。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)�����。安全與反安全就像矛盾的兩個方面�,總是不斷地向上攀升��,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國家發(fā)展所面臨的一個重要問題��。對于這個問題�,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上�、產(chǎn)業(yè)上、政策上來發(fā)展它�����。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分�,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分��,甚至應(yīng)該看到它對我國未來電子化���、信息化的發(fā)展將起到非常重要的作用���。
2.防火墻
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)����,訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查��,以決定網(wǎng)絡(luò)之間的通信是否被允許���,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)�。
目前的防火墻產(chǎn)品主要有堡壘主機(jī)����、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)�����、屏蔽主機(jī)防火墻����、雙宿主機(jī)等類型。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段�,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅��,也不能完全防止傳送已感染病毒的軟件或文件�����,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)���,提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展����。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。
防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇���。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施�。
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一��。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)���。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證���、防止病毒與黑客侵入等方向發(fā)展。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型�����、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT�、代理型和監(jiān)測型。
2.1.包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址���、目標(biāo)地址����、TCP/UDP源端口和目標(biāo)端口等���。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外�。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則�����。
包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全���。
但包過濾技術(shù)的缺陷也是明顯的�。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能(未完����,下一頁)
|