首页资料文库正文

网络安全技术十篇

时间：2023-04-11 10:46:08

网络安全技术

网络安全技术篇1

关键词:网络管理;安全管理;安全技术;加密;认证

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)22-pppp-0c

在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏,带来损失。随着网络技术地迅猛发展,大量地信息在网络上高速传递,网络的安全技术刻不容缓。网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。

通过加强内部网络管理人员以及使用人员的安全意识,部署系统安全策略来控制对系统资源的访问,这是防病毒进程中,最容易和经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令、安全证书、id等,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。

在网络上,要保证流畅的安全访问,安全的管理意识和设备的部署(包括硬件和策略)是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。再好的防火墙,如果不加以科学的策略控制,就是虚设。通过路由访问控制策略,工作站的本地安全策略的科学配置加上一套好的杀毒软件也能较好地保证网络的流畅和安全访问。

1 计算机网络安全的概念

国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2 计算机网络安全技术

网络安全是指和网络相关的安全问题。网络的基本功能是为其他通信实体(主机、其他网络等)提供信息传输服务。从这个角度看,网络安全的核心问题就是如何保障网络安全地实施其基本功能:信息传输。当我们从不同角度观察这个功能的实施,就会产生不同的安全问题。例如:

1) 如果把网络看成一种资源,那么就需要对利用这种资源的实体进行验证、授权和计费;

2) 网络正常运行的前提是协议的正常操作:各种协议实体不能被伪造的或其它非法报文所欺骗,网络必须有能力过滤报文;

3) 作为一种传输基础设施,网络应该对其所传输的数据实施安全保护;

4) 对于具备特定所有权的网络,网络应该有能力提供某种关于其自身的隐私保护的能力。

网络面临的安全问题层出不穷,网络安全技术也处于不断发展当中。

5) AAA的实施技术

AAA(Authentication,Authorization and Accounting :验证、授权和计费):AAA定义了实施验证、授权和计费的系统的一般框架。AAA是网络接入中对于网络用户的验证、授权和计费技术的统称。AAA不特指某种具体的协议或技术,它只是一个技术框架。具体验证、授权和计费工作都是由特定的协议或设备来完成。一个典型的AAA应用如下图所示:

在图所示网络中,用户通过某个接入网络和由网络接入服务器(NAS,Network Access Server)、网关和AAA服务器所组成的一个ISP局域网相连,并期望获得对于由ISP网关所连接的Internet的访问权限。

图中NAS的基本功能是作为接入网和ISP之间的网关,实现用户的接入。对于不同的接入网络,NAS所采用的技术和具体实现有很多不同。比如华为3Com公司的Quidway A8010设备提供拨号用户的接入,S3026则可以提供以太网用户的接入功能。

在实际应用中,并不是所有用户都有权利通过接入服务器访问Internet,使用了接入服务的用户也需要交纳一定的费用等。即ISP必须能够实现用户的授权、论证和计费等功能。图中NAS和AAA服务器之间是客户机和服务器的关系,负责提供上述功能。以AAA功能的验证功能的实现为例:NAS负责收集用户名、用户密码等信息,并向AAA服务器发起“访问请求”,AAA服务器根据预先配置的用户数据库以及策略决定是否允许该用户访问网络资源,并将认证结果通知NAS,进而由NAS接受或拒绝该用户对于网络的访问请求。

1) 网络防火墙技术

防火墙的原意是指大楼建筑中用于将火灾隔离于一定区域的墙体。信息技术借用这个词汇是指用于将网络危险和内部网络隔离开来的软硬件设施。具体来说,防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

2) 安全加密技术

加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。

3) 网络主机的操作系统安全和物理安全措施

防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。

3 如何保障网络安全

1) 意识安全,认识到信息的安全风险,评估系统的应用风险制定合理的管理安全策略。

2) 概念安全,界定自身的安全区域,保证区域安全。

3) 拓扑安全,划分安全类别,对不同的数据应用进行不同级别的安全保护。

4) 接入安全,把好各网络进出口,设置策略路由或防火墙,实施访问控制。

5) 访问规则安全,定义好访问规则,科学分配访问控制权限。

参考文献:

[1] 柳纯录.信息系统项目管理师教程[M].2版.北京:清华大学出版社,2008.

网络安全技术篇2

15G技术及其面临的安全威胁

如今，成熟的4G网络技术已经实现了普及，但是信息化的发展导致4G已不能满足时代的发展需求，5G技术应运而生，且性能比4G更高。但不可否认的是，5G网络的安全性仍存在较大问题，包括以下几个方面：

1.1虚拟的网络技术具有相当大的脆弱性

5G网络技术相比于4G网络技术更加便利，但摆脱不了虚拟网络的脆弱性。其相比实体通信手段，更加容易遭受窃听与攻击，终端甚至会遭到破坏。网络中的恶意攻击通过伪装成为合法用户，取得网络通信服务信任之后开始攻击，这种破坏难以根除并及时解除。此外，移动网络的应用离不开智能设备，网络技术和智能设备的同步发展意味着它们会同时遭受到网络恶意攻击，如经常见到的病毒、木马等。

1.25G网络通信技术传输信息量更大，速度更快，从而也对现有计算存储技术和设备提出了严峻的考验

5G对于数据接入信道的传输速度有相应的要求，而现在的设备无法满足该要求。同时，5G网络技术对于终端的管理机制提出了新要求。这些因素导致5G技术不易建立有效的传输管理体系，信息过载容易导致设备出现故障。

1.3网络业务的安全问题

随着网络技术的发展，5G将广泛应用在电子商务及相关的增值业务方面。此类业务对设备以及信息的安全性有着更高的标准。由于用户使用的智能系统存在很大的流动性，在使用流通过程中会面对不同的运营商、服务提供商和信息交流方，不同参与环节之间的交流会对其安全环节提出新的要求和考验。

25G网络安全技术与发展

2.1引入NFV等虚拟化技术，完善5G网络基础设施体系

在5G网络基础设施体系中，NFV技术是必不可少的核心部分。NFV技术的主要作用有两点：（1）实现资源在物理端到虚拟端的映射；（2）实现在虚拟端的管理以及资源优化。加入NFV技术，不仅提高了5G网络的安全性，还能建立网络安全机制，同时发挥虚拟化系统的优势，实现隔离负载业务，这些都是提高网络安全的重要途径。然而NFV技术虚拟化的特点也带来了一些安全威胁：（1）一旦虚拟化管理层被非法入侵、攻克甚至控制，虚拟机将会失控；（2）面对虚拟化的网络环境，传统安全机制适用性被大大降低，难以构筑安全防线，对安全防护机制提出了新的要求；（3）多方信息的汇合流通，降低了用户对资源的控制，黑客很容易对其设备进行攻击。通过上述问题可知，在引进NFV技术之后，5G网络通信系统需要建立全新的全面的安全防御体制机制，从而有效防止黑客非法入侵和传输数据被非法窃取。

2.2按需部署网络切片，增强5G网络云端安全性

5G网络的用户具有很大的流动性，相关信息会在不同的运营商、服务提供商和信息交流方之间流通，而不同参与环节之间的交流对其安全环节提出了新的要求和考验。为了增强网络云端的安全性，必须部署网络切片。在通信系统中，网络切片的作用是实现需求端与供给端的联系沟通，并且结合需求方提出的要求而提供所需服务。在5G网络通信技术中，要求信息能及时有效地满足需求端与供给端的联系沟通，且不和切片内的其他供给方发生交叉影响，这就需要网络切片提供完善的隔离机制。该隔离保障机制重点在于保证本切片信息资源的隐秘性，拒绝非法访问。并且，按需部署的网络切片，能够保障用户服务、信息、资源等数据得到有效保障，甚至于用户存放在云端的数据资源也能被有效保护，因此该技术值得推广与普及。

2.3接入RAT构建5G网络通用认证机制

伴随着通信技术的不断整合，无线技术在通信系统中的应用越来越普及。而5G网络技术的最大特点是实现了多种无线网络的融合，并通过相关机制将其整合统一，实现对应系统的优化升级。其显著特征之一是异构网络的接入，体现了Wi-Fi和蜂窝网络在网络构架上面的差异。异构网络体现在两个方面：（1）介入技术的差异，（2）介入网络的归属不同。为了建立有效的认证机制，可以选择接入RAT，实现异构网络的识别以及安全运行。值得注意的是，在实现不同异构网络互换时，必须保证切换操作是在安全条件下进行的。

网络安全技术篇3

随着全球化的深入发展，信息全球化逐步实现，网络通信是人们获取信息的主要渠道，然而现阶段网络通信技术还存在一些安全隐患，如信息易被窃听、网络设备存在隐患等问题，这些网络通信技术的安全隐患，不利于网络信息接收使用者的隐私保护，尤其是对于企业来说，泄露企业信息将给企业带来巨大损失。文章就分析网络通信技术的隐患并提出解决措施，从而提高网络通信技术的安全性。

关键词：

网络通信技术；信息传播；安全隐患；解决问题

1网络通信技术的含义

网络通信技术就是通过加密技术来控制网络信息在传播过程中不失真，能够保证信息的准确性与真实性，保障信息传播过程的安全，同时还要保障网络使用者的隐私安全，确保网民能够安全的上网。随着网络的进一步发展，网络在日常生活中运用广泛，企业运用网络、个人运用网络、政府运用网络，然而网络安全问题一直存在，尤其是网络泄密问题愈演愈烈，网络泄密会带来巨大的损失：网络泄密会使个人的隐私泄露，会影响个人的生活与财产安全，为人们带来诸多不便；网络泄密最大的受害者是企业，企业一旦发生网络泄密事件，必将带来巨大损失，会影响企业的声誉、泄露客户信息、影响企业正常运行，例如索尼公司在2011年发生的网络泄密事件，事件直接造成索尼公司上亿客户资料泄露包括银行卡账号，导致公司亏损惨重，引起了网络安全专家的重视。

2网络通信技术现存的问题

即使一直以来网络相关专家始终致力于解决网络通信安全问题，但是网络通信技术仍然存在许多问题：

（1）使用网卡易被窃听。想要使用网络，就要先连接上网，连接网络的方式有两种，一种是连网线上网，另一种是插网卡上网，在使用因特网时，在树状型局域网中，主机发送一个消息，在局域网内的任意一台主机都可以收到消息，这是一个连续的不间断地过程；然而使用网卡上网的话，网卡在发送消息时会自动消除旧消息，这就会给黑客制造搭线窃取消息的机会，导致消息泄露和网络通信事故的发生。其中最显著的就是以太网卡，是网卡存在缺陷的代表。

（2）网络硬件设备自身的不足。网络硬件设施本身还存在一定的问题，由于现在上网的服务方式是协议上网的形式，通过TCP\IP协议来保障安全，这种方式的上网实用性强，但是安全性低。人们平常的网络通信都基于协议，比如使用网络发送邮件、登录网站等功能。由于协议上网的安全性低，黑客很易突破窃取信息，导致网络通信事故的发生。

（3）网络管理员安全意识薄弱。网络安全管理员主要负责网络安全管理，维护和管理网络杀毒，做好网络服务器的防毒、防篡改工作，防止黑客入侵、病毒入侵，定期检查网络和服务器系统的运行日志并定期进行汇报。所以网络管理员可以无限制访问网络，而且网络安全管理员的安全意识薄弱，为黑客入侵提供条件，加之网络防火墙的权限设置不完善，进一步加大了网络安全隐患。

（4）网络秩序不稳定，网民素质低。在开放的网络环境下，网民可以在网上随意发言、浏览，然而少数网民素质低下，安全意识薄弱。另一方面，我国目前网络相关法律不完善，对于网络犯罪打击力度不够，让网络犯罪者趁虚而入，通过电信、黑客技术等方式进行诈骗，导致网络安全事故的产生。

3解决网络安全隐患的措施

面对诸多不足，要采取以下措施进行改善，规范网络安全，为人们提供良好的网络环境。接下来从内部和外部两方面来进行分析：

（1）完善网络内部体系，解决网络内部问题。网络通信技术内部存在许多问题，想要保障网络通信的安全就要先解决网络内部安全问题。首先，要解决网卡泄露消息的问题，要加大研究力度，改善网卡的漏洞缺陷，努力让黑客无处可入侵，让网卡用户能够安全的接收浏览信息。其次，要改善网络硬件设施，通过加强对交换机的严格控制以及对路由器进行隔离控制来避免IP地址被盗事件的发生。然后，完善网络加密技术对信息进行保护，可以通过链路层次加密、节点层次加密、端到端层次加密等方式来提高网络通信技术的安全性。最后，要加强对病毒的防范，通过强化防火墙、强化入侵检测技术、提高杀毒软件的工作性能等措施来防止、抵制黑客的恶意攻击，维护网络环境安全。

（2）加强网络监管，解决网络外部问题。网络通信安全与外部环境有极大的关系：①要提高网络安全管理员的安全意识，通过安全意识培训、开展安全意识宣讲会等形式来强化安全意识，为网络安全管理工作提供保障。②要加强网络安全隐患意识的宣传，提高网民的安全隐患意识，让网民防范于未然，让网民自己保护好自己。③政府信息管理部门要加强网络相关法律的完善，为打击网络违法犯罪行为提供依据，还要加强网络监管工作；同时，在遇到网络犯罪时，要严厉打击、严厉执法，为网络用户保驾护航，还要做好相关安全意识的宣传工作，做到为人民服务。

4结语

随着网络技术的进一步发展，网络在人们生活中的影响越来越大。网络是一把双刃剑，网络为人们带来了便利的同时也存在着巨大的安全隐患。所以我们要加强网络通信的安全建设，加大网络研究投入完善网络设备的安全性，政府加大监控力度，维持网络秩序，完善法律法规，努力营造安全的网络环境，为人们上网提供安全保障，保障网络通信环境的规范，促进网络通信技术的进一步发展。

作者：王禺朋单位：黑龙江工程学院昆仑旅游学院

参考文献

［1］汪刃.计算机网络信息技术安全及防范对策研究［J］.计算机光盘软件与应用，2013，（10）：92-93.

网络安全技术篇4

关键词：网络安全防火墙

1 概论

当今社会互联网高度发达，几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在，网络安全已经成了专门的技术。保证网络安全有很多种措施，包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等，其中防火墙技术使用最广泛，实用性最强。

2 防火墙技术

防火墙技术是一个由硬件设备和软件组合而成，在内部网和外部网之间的界面上构造的保护屏障，是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制，防止外网用户以非法手段访问内部网络，保护内部网络环境。防火墙能很好的保护用户，入侵者只有穿过防火墙，才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻，能满足绝大多数用户的需要。

3 防火墙分类

3.1 从实现方式上分从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现，只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单，价格便宜，广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络，效果很好，但是价格昂贵，只适用于大型企事业单位。

3.2 从架构上分防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器（NP）架构三种。

通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低，CPU处理能力弱，通用CPU架构防火墙的数据吞吐量较低，和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。

ASIC（Application Specific Integrated Circuit专用集成电路）技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题，稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案，线速可达千兆。ASIC技术的优势体现在对网络层的数据转发，而对应用层的数据处理不占优势。

网络处理器（NP）是专门为处理数据包而设计的可编程处理器，它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。

NP内含多个数据处理器，可以并发处理数据。数据处理能力较通用处理器强大很多，处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高，而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器，能够胜任高速数据处理。

3.3 从技术上分目前有很多种防火墙技术，根据采用技术的不同，总体可以分为两大类：包过滤型和应用型。

3.3.1 包过滤型防火墙包过滤型防火墙是最原始的防火墙，作用在网络层和传输层，技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包，每个数据包都包含一些特定信息，如数据源地址，目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址，其余数据包则被丢弃。

在包过滤防火墙的发展过程中，出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。

静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包，与过滤规则匹配成功则丢弃，否则让其通过。过滤规则基于数据包中的特定信息，如数据源地址，目的地址、协议类型、端口号等。

动态包过滤型防火墙的包过滤规则采用动态设置的方法，解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态，不仅根据规则表检查每一个包，还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为，增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪，并且可根据需要在过滤规则中动态地增加或更新条目。

包过滤技术既简单实用，又能适用于所有的网络服务，基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术，只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵，如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址，骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。

3.3.2 应用型防火墙应用型防火墙工作在应用层。它通过对各种应用服务编制专门的程序，实现监控应用层通信流的作用。

在型防火墙技术的发展过程中，出现了第一代应用网关型防火和第二代自适应防火墙。

应用网关型防火墙有时也被称为服务器，其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间，对于服务器来说，它相当于客户机；对于客户机来说，它相当于服务器。从客户机发出的数据包经过防火墙处理后，可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信，所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是服务器技术。

自适应型防火墙是一种新型防火墙，近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有类型防火墙的安全性的优点，能在不降低安全性的基础上将防火墙的性能提高数倍。自适应型防火墙的基本组成要素包括动态包过滤器和自适应服务器。

应用型防火墙是为防范应用层攻击设计的，它可以筛选保护OIS网络模型中的任意层数据通信。应用型防火墙有以下优点：隐藏内部IP；限制某些协议的传出请求；指定对连接的控制；能够记录连接日志，对追踪攻击和非法访问很有用。

应用防火墙的缺点：用户每次连接都要认证，带来不便；用户系统须定制；速度相对较慢，当网络通信速率较高时，就会影响内外部通信，但通常情况下不会很明显。

4 结束语

防火墙系统只是一种网络安全防护手段，并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击，某些恶意的访问可以通过客户机的软件绕过放过防火墙，传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。

单纯的防火墙技术逐渐不能满足人们对网络安全的需要，防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有：多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。

随着计算机技术的发展，防火墙技术会不断的向前发展，网络安全问题也会不断涌现。只有不断改进安全策略，才能保证网络安全稳定的发展。

参考文献：

[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008，(03).

网络安全技术篇5

1.1可用性

网络系统的可用性是指计算机网络系统要随时随地能够为用户服务，要保障合法用户能够访问到想要浏览的网络信息，不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。

1.2完整性

网络系统的完整性是指网络信息在传输过程中不能因为任何原因，发生网络信掺入、重放、伪造、修改、删除等破坏现象[1]，影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。

1.3保密性

网络系统的保密性是指网络系统要保证用户信息不能发生泄露，主要体现在网络系统的可用性和可靠性，是网络系统安全的重要指标。保密性不同于完整性，完整性强调的是网络信息不能被破坏，保密性是指防止网络信息的发生泄露[2]。

1.4真实性

网络系统的真实性是指网络用户对网络系统操作的不可抵赖性，任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。

1.5可靠性

网络系统的可靠性是指系统的安全稳定运行，网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能，网络系统的可靠性是网络安全最基本的要求。

1.6可控性

网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力，为了保障国家和广大人民的利益，为正常的社会管理秩序，网络系统管理者有必要对网络信息进行适当的监督和控制，避免外地侵犯和社会犯罪，维护网络安全。

2网络安全技术在校园网中的应用

2.1防火墙

防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3]，防火墙处于校园网和外界互联网之间的通道中，能够有效地阻断来自外界的病毒和非法访问，能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务，同时还可以对防火墙进行设置，屏蔽有危害、不健康的网络网站，降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问，记录用户的访问记录，保存到网络数据库中，可以快速统计校园网的使用情况，在分析用户访问记录如果发现用户的操作存在安全问题，防火墙可以及时发出报警信号，提醒用户的这个非法操作，防止校园网内部信息的泄露、另外，防火墙可以和NAT技术高效地结合起来，用于隐藏校园网的网络结构信息，提高校园网的安全系数，同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况，提高了校园网的运行效率。防火墙在校园网中的应用，完善了校园网内部的网络隔断，即使校园网发生安全问题，也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用，能够有效地阻断来自外界互联网的安全侵害，但是防火墙不能阻止校园网内部的安全问题，不能拒绝和控制校园网内部的感染病毒。

2.2VPN技术

VPN技术在校园网的应用，通过VPN设备将校内局域网和外部的互联网连接起来，可以提高校园网的数据安全。VPN服务器经过设置后，只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限，拒绝校园网内用户的危险操作。VPN技术可以实现用户验证，通过验证校内网用户的身份，只有符合条件的授权用户才能连接到VPN服务器，进行相关访问。其次实现校园网数据加密，VPN技术可以将通过互联网通道传输的数据进行加密，只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理，通过生成校园网和互联网的基本协议，提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备，降低了校园网安全管理的成本。通过VPN技术，校园网络管理员可以对校园网内用户的操作进行实时监控，及时发现校园网络故障点，进行远程维护，提高校园网维护管理能力。

2.3入侵检测技术

入侵检测技术在校园网中的应用，可以检测校园网络中一些不安全的网络操作行为，一旦检测到网络系统中的一些异常现象和未授权的网络操作，就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动，检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况，检测出系统安全漏洞，提醒校园网络管理人员及时进行维护。另外，入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用，可以及时发出报警信号，并且拒绝和处理网络攻击入侵行为，结合发现的网络攻击模式，检测校园网系统结构是否存在安全漏洞，提高校园网的数据完整性，进行系统评估。

2.4访问控制技术

访问控制技术主要是用来控制校园网用户的非法访问和非法操作，用户想要进入校园网，首先要通过访问控制，经过验证识别用用户口令、户名、密码等，确定该用户是否具有访问校园网的权限，当用户进入校园网后，就会赋予用户访问操作权限，使校园网络资源不会被未授权用户非法使用和非法访问。

2.5网络数据恢复和备份技术

校园网中的网络数据恢复和备份技术，可以防止校园网信息数据丢失，保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理，对整个校园网系统中的信息资源进行备份管理，可以极大地提高校园网管理员的工作效率，实现网络资源的统一管理，利用网络备份设备实时监控校园网络中的备份作业，结合校园网的运行情况，及时修改网络备份策略[5]，提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术，定时对网络数据库中的数据进行备份，这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时，建立在线网络索引，当用户需要恢复网络信息时，通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理，通过时间定期和项目管理对网络信息数据进行归档管理，在网络环境建立统一的数据备份和储存格式，使所有网络信息数据在统一格式中完成长时间的保存[6]。

2.6灾难恢复技术

校园网中的灾难恢复主要包括两类：个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复，校园网络管理员可以浏览目录或者数据库，触动受损数据文件的恢复功能，系统会自动加载存储软件，恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。

3结语

网络安全技术篇6

关键词：企业；网络安全；对策措施

1 计算机网络自身存在的安全缺陷

计算机网络发展十分迅速，技术也在不断地完善之中，但是由于其是一个极为庞大，且分布范围极广的网络体系结构，因此其自身必然会存在着各种缺陷，因此对于计算机网络安全会造成各种不确定的风险因素。计算机网络安全技术主要是以保护计算机上的数据以及计算机硬件与软件而形成的一种计算机技术，因此探讨网络安全技术必须从网络自身存在的安全隐患出发，网络存在的安全隐患主要可以分为以下两方面：

1.1 网络硬件存在的问题

硬件设备是计算机网络所不可或缺的组成部分，但是其自身存在的安全隐患，直接对计算机网络造成了十分严重的影响。硬件隐患主要可以分为以下几种：第一种是电子辐射隐患，所谓电子辐射隐患是指计算机上的数据一般是以电磁信息的方式存在的，这种信息在传播的过程中存在着泄密的可能性，由于其泄密的途径较为隐蔽，往往难以预防。第二种是通信方面的安全隐患。计算机在进行数据交换和数据交换的过程中，其所采用的主要载体是光缆，电话线，专线以及微波等，这些载体中只有光缆是较为安全的，其他几种传播方式都存在着被窃取和泄漏的可能性。此外，计算机的错误操作以及移动存储介质，例如U盘、移动硬盘等，都可能导致企业内部信息外泄，或是病毒对企业网络造成攻击破坏。

1.2 操作系统存在的安全隐患

操作系统作为计算机系统的主要组件，其是数据处理与数据传输的主要平台。操作系统的发展在某种程度上等同于计算机技术发展，尽管操作系统一直在不断地完善与改进，但是其自身的缺陷往往给计算机网络造成十分严重的影响。例如Windows在远程调用中存在的RPC漏洞，Linux存在的缓冲区溢出等问题。由此可见，操作系统中的某些软件如果存在安全缺陷的话，对整个系统的安全性也会造成不可估量的影响，因此必须引起高度的重视。

1.3 软件方面存在的隐患

软件一般被认为应用程序，其是数据处理的主要工具，软件在开发的过程中，或多或少会存在一些缺陷，也就是所谓的安全漏洞，这些漏洞可能会被黑客利用，成为攻击系统与网络的一个切入点。例如微软公司开发的Office系列，以及Oracle公司开发的数据库软件，近年来都出现过安全事件。因此企业应该高度重视，这些公司所的安全预警。软件缺陷为应用软件致命的缺陷，这些缺陷既对小程序有影响，也对大软件有着影响，因而严重的威胁了生命和财产。

2 计算机网络受攻击的主要形式

开放性、互连性是计算机网络所具有的典型特征，因此其极易受到病毒、黑客、以及其他网络程序的危害。因此，为了确保网络信息的安全性、完整性以及可用性，应该采用必要的安全技术加强网络安全防范，但是不同的问题，应该采用不同的措施，这是一个重要的基本原则，所以有必要认识主要的网络安全隐患有哪些。

2.1 针对系统漏洞的攻击

正所谓百密一疏，即便是最为精巧的计算机系统也存在着细微的缺陷，这就给一些不法之徒留下了可乘之机。黑客一般会通过恶意代码的方式，通过系统漏洞，或是所谓的后面侵入到计算机系统中，然后对主机发动攻击或是控制主机，窃取主机上的信息。作为企业应该及时更新系统补丁，采用安全扫描工具，或是购买硬件、软件防火墙等设备加强系统安全。

2.2 欺骗技术攻击

路由条目，IP地址、DNS解析地址等通常都会成为黑客攻击系统的重要目标，黑客一般会采用欺骗技术，例如虚构IP地址，冲入网关，然后对服务器发动攻击，造成服务器瘫痪，导致缓冲区的资源阻塞或，严重情况下，造成系统死机。有些攻击是将网络中的某台计算机的IP地址转换成网关地址，从而造成数据包的发送障碍，或是在局域网中发起ARP攻击等等。

2.3 “黑客”的侵犯

“黑客”是指利用系统漏洞等方式，非法植入对方计算机系统，它具有非常强的破坏性、隐蔽性和非授权性，黑客一定植入计算机，就可以完全掌控用户的主机。黑客攻击主要的目有窃取用户的账号、密码，或是阻碍用户正常使用系统，黑客往往会采取篡改主页，破坏程序等方式，对网络造成破话。由于黑客攻击是动态性的，且攻击模式无法确定，因此其给网络造成的危害，比计算机病毒更为可怕。

2.4 计算机病毒攻击

计算机病毒对网络安全的影响具有一定的特殊性，首先其具有高度的隐蔽性，用户往往无法主动察觉系统已经感染了计算机病毒，其次是其潜伏性，例如木马病毒一般长期潜伏在系统中，并不会对系统的正常运作造成影响，但是会窃取系统信息，造成破坏。因此企业应该对网络病毒引起高度重视，预防可以从硬件与软件两方面入手，在最大程度上避免和减轻病毒给个人和计算机造成危害。

3 加强计算机网络安全的对策措施

3.1 网络安全的审计和跟踪技术

网络安全审计技术与跟踪技术对于主业务流程不产生直接的影响，它主要是通过记录、检查、监控主业务，并且针对其完整性以及安全性进行审计评估。目前主要的审计与跟踪技术有入侵检测技术，漏洞扫描技术，以及安全审计技术等。入侵检测是最为基本，也是最为有效的审计与跟踪技术，一般可以分为针对主机的入侵检测以及针对网络的入侵检测。入侵检测通过采集，分析系统以及网络中的数据，从而发现其中是否存在违反安全策略或是是否收到过攻击，并且自动采取相应的安全措施，从而保护系统以及网络的安全。此外，它还可以保护内部攻击、外部攻击和误操作。

3.2 运用防火墙技术

防火墙技术是当前应用最为广泛的网络安全技术，其通过在计算机内部，或是在网络中的某个位置上设置一个相对安全的子网环境，从而阻挡针对系统或是网络的攻击，从而维护网络的安全。防火墙的主要优点在于，一是可以控制两个网络之间的访问策略，二是保护网络与互联网络之间的限制。防火墙的体系结构有下列三种：1）双重宿主主机体系结构。此结构为最基本的防火墙结构，其主机具有双重宿主功能。主机充当路由器，可连接内外网络，可将IP数据包从一个网络发送到另一个网络。此防火墙离不开主机，所以其主机需承载在较大的负担，其重要性也是不可忽略的。若只需进行IP层过滤，就只要将IP包的ACL控制插在两块网卡之间转发的模块。但是如果要控制应用层，就需要在这台双宿主主机上设置，所有的应用不需先连接后主机才能进行。2）屏蔽主机体系结构，也被称为主机过滤结构，其内部网络主机之间的服务，主要有由一个单独的路由器来提供。此体系结构中，数据包过滤系统为其提供主要的安全机制。相比双重宿主主机体系结构，此结构允许数据包从Internet上进入内部网络，所以要求其路由器的配置也比较高。

3.3 数据加密技术

数据加密技术是一种古老的数据安全技术，其主要是通过对信息重新编码与解码，从而将真是的信息内容隐蔽起来，从而不让非法用户获得真实的信息。数据加密技术对于防止非法用户获取数据具有十分明显的作用，并且其使用的范围十分广泛，例如可以应用于数据存储，数据传输中。此外，数据加密技术还可分为密文存储和存取。而数据传输加密技术的主要目的是为了加密传输中的数据流。

3.4 网络病毒的防范

网络中的病毒传播扩散速度非常快，单机防病毒产品，不能对网络病毒进行彻底清除，因此对于学校、政府机关，以及企事业单位等采用局域网的单位组织，应该采用专门的网络病毒防范工具。企业用户的防毒一般应该从硬件与软件两方面入手，在硬件方面安装硬件杀毒工具，软件方面要采用正版的杀毒程序。此外，由于系统是与互联网相连接的，有些病毒一旦与网络连接就会与远程服务器连接，从而传输大量病毒文件，因此在网关上必须要设置防病毒软件。此外，电子邮件也是极容易传播病毒的，因此必须在电子邮件系统中增加病毒过滤软件。这样可辨别电子邮件中和附近中隐藏的病毒。因此，只有使用全方位、多层次的防病毒系统的配置，且此系统可以进行定期或不定期自动升级，及时修复计算中的漏洞和补丁，彻底保障计算机免受病毒的危害。

4 结语

企业的发展离不开企业的信息的保密及安全的办公，只有建立保密、安全的企业办公软件，才能促进企业的飞速发展。所以，企业领导阶层和使用者必须重视计算机存在的各种安全隐患，并针对这些安全隐患采取相应的解决措施。由于信息数据的安全隐患既表现在局域网又表现在因特网上，而面对人为和技术的干扰，怎样实现信息数据安全的最大化，已经成为计算机网络安全技术发展的一重要问题。

参考文献：

[1]吴钰锋、刘泉、李方敏，网络安全中的密码技术研究及其应用[J].真空电子技术，2004：34-36.

网络安全技术篇7

【关键词】网络安全；计算机

【Abstract】Tomodernsocietybutspeech,calculatornetworkofuniversalityofdevelopment,willtosocietyproduceandlifeofeachaspectallcreationveryhugeofinfluence,especiallynetworkconductandactionsakindofproduceandlifetooldrivepeopleextensiveacceptwithusageafter,thefunctionofcalculatornetworkwillbecomemorehuge.

【Keywords】Networksafety；Calculator

对现代社会而言，计算机网络的普及的发展，将会对社会生产和生活的各个方面都产生十分巨大的影响，特别是网络作为一种生产和生活工具被人民广泛接纳和使用之后，计算机网络的作用将会变得更为巨大。

随着Internet的发展，网络安全技术也在与网络攻击的对抗中不断发展。从总体上看，网络安全经历了从静态到动态、从被动防范到主动防范的发展过程，下面就网络安全中的主要技术作一简介，希望能为网民和企业在网络安全方面提供一个网络安全方案参考。

1．数据加密技术

与防火墙配合使用的安全技术还有数据加密技术是提高安全所采用的主要技术手段之一，随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术的不断发展。按作用不同，数据加密技术，主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

1．1数据存储加密技术

目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种，前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制，防止非法用户存取或合法用户超权存取数据。

1．2数据完整性鉴别技术

目的是对介入信息的传送、存取、处理的人的的身份和相关数据内容进行验证，达到保密的要求。一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征是否符合预先设定的参数，实现对数据的安全保护。

1．3数据传输加密技术

目的是对传输中的数据流加密，常用的方法有线路加密和端——端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP/IP数据包加封后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。

1．4密钥管理技术

为了数据使用的方便，数据加密在许多场合集中表现在为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各个环节上的保密措施。

2．防火墙技术

所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有二类，标准防火墙和双家网关。标准防火墙系统包括一个Unix工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公开网;另一个则联接内部网。

标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有定的延迟。双家网关（Dualhomegateway）则是标准防火墙的扩充，又称堡垒主机（Bastionhost）或应用层网关（Applicationslayergateway），能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的联系，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。

随着防火墙技术的进步，双家网关的基础上演化出两种防火墙配置，一种是隐蔽的主机网关，另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关是当前一种常见的防火墙配置，顾名思义，这种配置一方面将路由器进行隐蔽，另五方面在互联网之间安装保垒主机，堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行能通信的惟一系统。目前技术是为复杂而安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接的攻击。隐蔽智能网关提供了对互联网服务器进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。一般来说，这种防火墙最不容易被破坏的。

3．智能卡技术

一数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器处注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。

网络安全技术篇8

关键词网络安全、防火墙、入侵检测系统

近年来，计算机网络技术不断发展，网络应用逐渐普及。网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源，经济、文化、军事和社会活动也强烈依赖于网络，一个网络化的社会已呈现在我们面前。

然而，随着网络应用的不断增多，网络安全问题也越来越突出，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通，研究计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验，谈一谈网络安全与防范技术。

1 网络不安全因素

网络的安全因素主要有：

（1）网络资源的共享性。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

（2）网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

（3）网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

（4）网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

（5）恶意攻击。就是人们常见的黑客攻击及网络病毒．是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

2 网络安全防御方式

网络安全技术的主要代表是防火墙和入侵检测技术。下面简要介绍一下这两种技术。

2.1 防火墙技术

网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。

2.1.1 防火墙的主要功能

防火墙的主要功能包括：

（1）防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。

（2）防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。

（3）防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。

（4）防火墙可以控制网络内部人员对Internet上特殊站点的访问。

（5）防火墙提供了监视Internet安全和预警的方便端点。

2.1.2 防火墙的主要优点

防火墙的主要优点包括：

1）可作为网络安全策略的焦点

防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。

2）可以有效记录网络活动

由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。

3）为解决IP地址危机提供了可行方案

由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。

2.1.3 防火墙的主要缺陷

由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：

（1）防火墙对绕过它的攻击行为无能为力。

（2）防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。

（3）防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。

2.1.4 防火墙的分类

防火墙的实现从层次上大体可分为三类：包过滤防火墙，防火墙和复合型防火墙。

1）包过滤防火墙

包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。

包过滤路由器的最大优点是：对用户来说是透明的，即不需要用户名和密码来登陆。

包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户级别上进行过滤，即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址，则很容易地通过包过滤防火墙。

2）防火墙

防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用防火墙是更好的选择。

服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程序或者特定服务，一般情况下可应用于特定的互联网服务，如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。

应用层网关包括应用服务器、回路级服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。

3）复合型防火墙

复合型防火墙是将数据包过滤和服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。

随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种：状态监视技术、安全操作系统、自适应技术、实时侵入检测系统等。混合使用数据包过滤技术、服务技术和一些新技术是未来防火墙的趋势。

2.1.5 防火墙的部署

防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。

（1）防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。

（2）如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。

（3）通过公网连接的总部与各分支机构之间应该设置防火墙。

（4）主干交换机至服务器区域工作组交换机的骨干链路上。

（5）远程拨号服务器与骨干交换机或路由器之间。

总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。

2.2 入侵检测技术

入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。

典型的IDS系统模型包括4个功能部件：

(1) 事件产生器，提供事件记录流的信息源。

(2) 事件分析器，这是发现入侵迹象的分析引擎。

(3) 响应单元，这是基于分析引擎的分析结果产生反应的响应部件

(4) 事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

2.2.1入侵检测系统的分类

入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。

网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。

主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。

入侵检测系统根据检测的方法不同可分为两大类：异常和误用。

异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。

误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解入侵。例如，著名的Internet蠕虫事件是利用fingerd(FreeBSD)上的守护进程，允许用户远程读取文件系统，因而存在可以查看文件内容的漏洞和Sendmail(Linux上的守护进程，利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。

2.2.2 目前入侵检测系统的缺陷

入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。

1) 高误报率

误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。

2) 缺乏主动防御功能

入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。

2.2.3 防火墙与入侵检测系统的相互联动

综合所述：防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。

当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。

综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场和空间。

3 结语

网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。

参考文献

网络安全技术篇9

关键词：网络信息安全；技术管理；计算机应用

在这个网络信息发达的时代，只有确保信息资源的安全，才能让这个计算机网络时代有条不紊的进行。首先要正确认识到网络信息的安全隐患以及表现形式，还要分析网络信息安全处理方面的计算机应用。除此之外，要正确认识到计算机与网络信息的关系，让他们有机结合起来。

一、简读网络信息安全隐患的具体表现形式

（一）肆意地窃取信息

正是因为网络信息资源在传输的过程中没有进行加密保护，这给入侵者提供了很好的窃取机会。数据包在传输的过程中会经过网关或者路由器，入侵者会选择在经过这些地方的时候窃取信息资源。由于数据在网络通道上是自由传输的，所以入侵者会根据传输的资源的模式和格局，进行数据分析和计算，从而得到精确的信息内容。如果入侵者可以随心所欲地得到自己想要的资源，实现自己利益的最大化，那么这会严重扰乱网络信息的安全传输。如果被不法分子利用，后果是不堪设想的。

（二）随意地篡改信息

当入侵者熟练地掌握了从中途获取信息的方法，那么就说明入侵者已经掌握了数据的格式，一旦掌握了数据的格式，就可以篡改从中途截取到的信息。不法分子可以利用这一点，从中截取信息后并进行篡改，然后再发送给远端用户，由于信息是在中途截取的，发送方并没有改变，所以收到信息的远端用户很难辨识出来。我们都知道计算机网络有四大特性:联结形式多样性，终端分布不均匀性，网络开放性以及互联性。虽然这些特性有利于用户的使用，但这也容易使网络遭到黑客或其他不法分子的攻击。

二、探求网络信息资源与计算机运用的结合

（一）准确地参与信息和采集

网络信息具有时效性，人们利用计算机上的网络资源比如天气预报，可以随时更新，保证信息的时效性以及利用率。计算机可以同时收集网络信息的外部和内部资源，收集方法也并不复杂，可以通过网络上的留言板和调查问卷等技术来实现，这样可以保证信息的采全率、及时率。

（二）全面的参与信息传输和管理

要想实现计算机与网络资源的有机结合，还要注重信息的安全管理。特别是在一些政府、企业机构等涉及到机密文件传输方面，必须要加强信息的安全管理，避免被不法分子利用，从中窃取信息，造成人财损失。要想更有效率的管理信息，就需要及时与用户进行交流，可以通过发送邮件的方式，也可以通过聊天或者网上答疑的方式及时掌握动态。

三、浅论网络信息处理与安全方面的计算机应用

（一）信息加密技术的全面运用

要想保证网络信息的安全，就必须建立有效的安全加密技术，安全的有效性也成为人们最关注的问题。在此过程中，采取安全认证等一些措施实现了信息的安全性、机密性、完整性、不可否认性以及交易者的身份认证性。如今的加密技术可以分为两类:对称加密和非对称加密。不管哪种加密技术都需要密钥，密钥也有很多种，如果选用pkezip，这种密钥不仅可以加密文件还可以压缩文件；如果选用dbms的软件包，这种加密技术是更高效的，因为这个软件包对于一些数据是无效的，只针对于需要保护的信息。在提取文件的时候需要用户输入密码，这样就更能保证计算机网络信息的安全性。

（二）身份认证技术的全速加强

目前的身份认证已经不局限于公钥密码算法，之前一般都是使用公钥密码进行身份认证。现在还可以用人的生理特征参数进行安全认证，这种认证的安全性很高，因为每个人的指纹和虹膜都是独一无二的。身份认证是一个验证用户是否拥有这个信息数据的过程，可以有效地保护信息安全，防止被其他不怀好意的用户利用，窃取信息。

（三）防火墙技术的提升应用能力

计算机一般都会使用防火墙技术，这种技术的安全防护主要有过滤、状态检测、服务。防火墙是一种相对成熟的安全防护技术，但是防火墙还会有一些缺点，比如:不能防范不经过防火墙的攻击，不能防止数据驱动式的攻击。但是防火墙会经常更新，会根据最近的数据更新成比较先进的技术，防火墙对所有的信息流进行过滤，然后从数据链路层到应用层进行全方位的安全防护。为了提高系统的防护能力，也可以集成一些其他安全技术，比如NAT、VPN以及病毒防护。

网络安全技术篇10

关键词：网络安全防火墙 PKI技术

1.概述

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先，应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵;其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙;第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

2.防火墙的选择

选择防火墙的标准有很多，但最重要的是以下几条:

2.1.总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。

2.2.防火墙本身是安全的

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

通常，防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理，这类问题一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说，保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。

2.3.管理与培训

管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到，在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

2.4.可扩充性

在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大了产品覆盖面。

2.5.防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

3.加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

3.1.对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

3.2.非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)

e与（p-1）(q-1)互素

私有密钥：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n)，其中m为明文，c为密文。

解密：m=cd(mod n)

利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

4.PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

4.1.认证机构

CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

4.2.注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

4.3.策略管理

在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

4.4.密钥备份和恢复

为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4.5.证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

5.安全技术的研究现状和动向