摘要:计算机网络的不断发展,加快了信息化的脚步,同时网络安全问题也日渐突出。在网络上使用数据加密、网络存取控制等安全策略,运用防火墙技术,提高网络安全性能。
关键词:网络安全;策略;防火墙技术;包过滤
一、引言
随着计算机应用范围的扩大和计算机网络的飞速发展,计算机信息技术正在不断改变着人们的工作、学习和生活方式,使人们的工作效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息技术的发展而带来的网络安全问题日渐突出,如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。
二、网络安全
(一)网络安全的定义网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
(二)影响网络的安全因素网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。
以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括:
1. 信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
2. 信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
3. 传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。
4. 网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。
5. 非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。
6. 环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。
7. 软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP / IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
8. 人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。这主要表现在管理措施不完善,安全意识淡薄,管理人员的误操作等。
三、目前主要的网络安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。网络系统随时会受到各种攻击,安全策略也在不断的完善,使用单一的安全策略不可能很好地对系统起到保护作用,往往需要多种措施配合使用。
(一)数据加密数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密方式。
链路加密是对网络中两个相邻节点之间传输的数据进行加密保护,所有传输数据均以密码的形式在链路中传送,任意一对节点之间的链路上的加密是独立实现的,可以采用不同的密码。链路加密的算法一般采用序列密码,可以对报文和报头同时进行加密,所以链路加密掩盖了被传输数据源节点和目标节点的信息。链路加密能够防止搭线窃听,但由于在中间节点暴露了信息的内容,在互联网中链路加密是不能实现通信安全的,链路加密通常是用硬件实现,但也可以用软件来实现。
端端加密是对源节点用户到目标节点用户的数据进行保护,允许源节点到目标节点的数据始终以密文的形式存在,所以端端加密方式更加可靠,易于设计和实现。端端加密通常是用软件实现,但也可以用硬件来实现。
节点加密是对源节点到目标节点的链路提供保护,节点加密在加密方式上与链路加密类似,区别是在节点加密方式中,网络节点先把收到的数据进行解密,然后采用另一种不同的密钥进行加密;节点加密要求报头和路由信息用明文的形式传输,因此这种方式很难防止攻击者分析通信业务。
混合加密是采用链路加密和端端加密相结合的混合加密方式,可以有效的保护报头中的敏感数据,获得更高的安全性。
(二)网络存取控制网络的存取控制就是对网络上的用户进行身份识别,防止非法用户进入系统而使数据泄密或破坏网络数据。目前的存取控制方法较多,但常用的技术有:身份识别、数字签名、存取权限控制等。
1. 身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户的身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。
2. 数字签名。数字签名是采用电子形式的签名,可以用密码形式实现,安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签名体制是两个用户登记公开密钥,作为对方验证签名的依据之一,用户双方都有自已的保密密钥,可以对发送的数据保密。
3. 存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。
在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。
4. 灾难恢复策略。备份策略是网络系统最常用的灾难恢复策略,对于服务器上的数据,管理人员应经常备份。备份可以采用本机上备份,也可以采用网络备份。备份要经常进行,尽量远离服务器,在其他房间单独存放,以免由于盗窃、火灾等原因导致备份的数据丢失。
四、防火墙技术
(一)防火墙的定义防火墙是一种将内部网和公开网分开的方法,实质上是一种隔离技术。目前防火墙已成为世界上用得最多的网络产品之一。防火墙是保护网络安全最主要的手段之一,近年来防火墙技术取得了很大的进展,各种防火墙技术应运而生。
(二)防火墙技术分析根据防火墙所采用的技术不同,可以将它分为四种类型:包过滤型、网络地址转换- NAT、应用代理型、状态检测型等。
1. 包过滤型。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流阻挡丢弃。
包过滤的优点是:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明; 过滤路由器速度快、效率高。缺点:只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。
2. 网络地址转换- NAT。网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP地址标准,用户必须要为网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3. 应用代理型防火墙。应用代理型防火墙是工作在OSI的最高层即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
应用代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4. 状态检测型。状态检测型防火墙采用的一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测型防火墙与前几种防火墙技术相比,它具有高安全性、高效性、可伸缩性和扩展性以及应用范围广的优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多种连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
总之,由于网络安全的威胁是多方面的,所以单纯依靠某一种防火墙技术来实现完全保护是很困难的,只有将防火墙技术和其它网络安全技术相结合才能很好地起到保护网络安全的作用。
五、结束语
计算机网络在全球范围内得到了迅速发展,其应用几乎包括了人类生活和工作的全部领域,它在带给我们前所未有的方便的同时,也给我们制造了大量的问题,计算机网络安全是一个综合性的课题,涉及到技术、管理、使用和维护等多方面。为保证计算机网络系统的安全,应混合使用多种安全防护策略。现代防火墙技术已从网络安全的最底层逐步走向网络层之外的其他安全层次,在完成传统防火墙的过滤任务的同时,还能为各种网络就用提供相应的安全服务。
参考文献:
[ 1 ] 朱明. 计算机网络安全[ J ]. 南京:中国科技信息, 2005, (20) .
[ 2 ] 张汉文,等. 计算机网络安全与防范问题初探[ J ]. 信息安全与通信保密, 2005, (10) .
[ 3 ] 张景田,等. 计算机网络安全技浅析[ J ]. 统计与查询, 2005,(4) .
[ 4 ] 陈莉. 计算机网络安全与防火墙技术研究[ J ]. 中国科技信息,2005, (23) .
[ 5 ] 艾钧华,付朝晖. 论计算机网络安全[ J ]. 湖南科技学院学报,2005, (11) .
[ 6 ] 曹建文,柴世红. 防火墙技术在计算机网络安全中的应用[ J ].甘肃科技纵横, 2005, 34 (6) .
人次