淺析現(xiàn)代網(wǎng)絡(luò)安全技術(shù)

文章出處：http://linbycaravans.com 作者：任智鵬   人氣： 發(fā)表時(shí)間：2011年09月30日

    二十一世紀(jì)是信息化的時(shí)代，由于科學(xué)技術(shù)高速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們生活，工作中不可缺少的東西。網(wǎng)絡(luò)在世界范圍內(nèi)迅速普及，信息傳遞主要通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)，其安全受到了極大的挑戰(zhàn)，如盜取用戶(hù)的帳戶(hù)、密碼和資料，入侵?jǐn)?shù)據(jù)庫(kù)，篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶(hù)身份，制造計(jì)算機(jī)病毒牟取利益，網(wǎng)絡(luò)用戶(hù)的利益受到了嚴(yán)重的威脅和損害．網(wǎng)絡(luò)安全問(wèn)題日益受到世界范圍內(nèi)的關(guān)注。信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)。安全是網(wǎng)絡(luò)賴(lài)以生存的基礎(chǔ)，只有安全得到保障，網(wǎng)絡(luò)的各種功能才能得以不斷發(fā)展和進(jìn)步。影響安全要素很多，有主動(dòng)的也有被動(dòng)的，本文主要介紹網(wǎng)絡(luò)安全的幾種主要常用技術(shù)。

    1 加密技術(shù)

    加密技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部竊取、偵聽(tīng)或破壞所采用的主要技術(shù)手段之一。加密就是通過(guò)一種方式使信息變得混亂。加密類(lèi)型主要有兩種：私鑰加密和公鑰加密。私鑰加密又稱(chēng)對(duì)稱(chēng)密鑰加密，因?yàn)橛脕?lái)加密信息的密鑰就是解密信息所使用的密鑰。私鑰加密為信息提供了進(jìn)一步的緊密性，它不提供認(rèn)證，因?yàn)槭褂迷撁荑€的任何人都可以創(chuàng)建、加密和發(fā)送一條有效的消息。這種加密方法的速度很快，很容易在硬件和軟件件中實(shí)現(xiàn)，DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法，DES算法的弱點(diǎn)是不能提供足夠的安全性，因?yàn)槠涿荑€容量只有56位。由于這個(gè)原因，后來(lái)又提出了三重DES或3DES系統(tǒng)，使用3個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行兩次或)三次加密，該方法比進(jìn)行普通加密的三次塊。其強(qiáng)度大約和l12比特的密鑰強(qiáng)度相當(dāng)；公鑰加密使用兩個(gè)密鑰，一個(gè)用于加密信息，另一個(gè)用于解密信息。

    例如RSA算法既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名，RSA的理論依據(jù)為：尋找兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開(kāi)則異常困難。在RSA算法中，包含兩個(gè)密鑰，加密密鑰PK，和解密密鑰SK，加密密鑰是公開(kāi)的。RSA算法的優(yōu)點(diǎn)是密鑰空間大，缺點(diǎn)是加密速度慢，如果RSA和DES結(jié)合使用，則正好彌補(bǔ)RSA的缺點(diǎn)。即DES用于明文加密，RSA用于DES密鑰的加密。數(shù)據(jù)的加密技術(shù)通常是運(yùn)用密鑰對(duì)數(shù)據(jù)進(jìn)行加密，這就涉及了一個(gè)密鑰的管理方面，因?yàn)橛眉用苘浖M(jìn)行加密時(shí)所用的密鑰通常不是我們平常所用的密碼那么僅幾位，至多十幾位數(shù)字或字母，一般情況這種密鑰達(dá)64bit，有的達(dá)128bit，我們一般不可能完全用腦來(lái)記住這些密鑰，只能保存在一個(gè)安全的地方。密鑰的保存媒體通常有：磁卡、磁帶、磁盤(pán)、半導(dǎo)體存儲(chǔ)器等，但這些都可能有損壞或丟失的危險(xiǎn)，所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證或采用隨機(jī)密鑰來(lái)彌補(bǔ)人們記憶上的不足，還是如PGP加密軟件，不過(guò)現(xiàn)在的WIN2K系統(tǒng)以及其它一些加密軟件都在慢慢地往這個(gè)方向發(fā)展。

    2 防火墻技術(shù)

    防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵人，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi)的屏障。防火墻如果從實(shí)現(xiàn)方式上來(lái)分，又分為硬件防火墻和軟件防火墻兩類(lèi)，硬件防火墻，它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好；軟件防火墻它是通過(guò)純軟件的方式來(lái)達(dá)到，價(jià)格很便宜，但這類(lèi)防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶(hù)訪問(wèn)內(nèi)部網(wǎng)的目的。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類(lèi)型：包過(guò)濾型、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)、應(yīng)用程序代理型和狀態(tài)，動(dòng)態(tài)檢測(cè)防火墻。包過(guò)濾防火墻。

    第一代防火墻和最基本形式防火墻檢查每一個(gè)通過(guò)的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。本質(zhì)上，包過(guò)濾防火墻是多址的，表明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。包過(guò)濾防火墻檢查每一個(gè)傳人包，查看包中可用的基本信息(源地址和目的地址、端口號(hào)、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會(huì)被丟棄。如果允許傳人Web連接，而目的端口為80，則包就會(huì)被放行。多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過(guò)。應(yīng)用程序代理防火墻。應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來(lái)自?xún)?nèi)部網(wǎng)絡(luò)特定用戶(hù)應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶(hù)不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問(wèn)內(nèi)部網(wǎng)的任何一部分。另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。這種建立方式拒絕任何沒(méi)有明確配置的連接，從而提供了額外的安全性和控制性。代理防火墻通常支持的一些常見(jiàn)的應(yīng)用程序有：HTTP、HTTPS／SSL、SMTP、POP3、IMAP、NNTP、TELNET、FrP、IRC等。NAT．網(wǎng)絡(luò)地址轉(zhuǎn)換。討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。

    網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè) 地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到Intemet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶(hù)分享單一的IP地址，并為Intenet連接提供一些安全機(jī)制。當(dāng)內(nèi)部用戶(hù)與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶(hù)作的請(qǐng)求，修改傳出的包，這樣包就像是來(lái)自單一的公共IP地址，然后再打開(kāi)連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和web站點(diǎn)之間來(lái)回流動(dòng)的通信就都是透明的了。當(dāng)從公共網(wǎng)絡(luò)傳來(lái)一個(gè)未經(jīng)請(qǐng)求的傳人連接時(shí)，NAT有一套規(guī)則來(lái)決定如何處理它。如果沒(méi)有事先定義好的規(guī)則，NAT只是簡(jiǎn)單的丟棄所有未經(jīng)請(qǐng)求的傳人連接，就像包過(guò)濾防火墻所做的那樣。狀態(tài)，動(dòng)態(tài)檢測(cè)防火墻。狀態(tài)，動(dòng)態(tài)檢測(cè)防火墻是新一代的產(chǎn)品，它能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)地、實(shí)時(shí)的檢測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，它能夠有效的判斷出各層中的非法侵入。同時(shí)，這種防火墻還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠監(jiān)測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。

    3 智能卡技術(shù)

    智能卡技術(shù)就是與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶(hù)所持有并由該用戶(hù)賦予它一個(gè)口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的。這種技術(shù)比較常見(jiàn)，也用得較為廣泛，如我們常用的IC卡、銀行取款卡、智能門(mén)鎖卡等等。

    4 結(jié)論

    現(xiàn)有的安全技術(shù)都所提供的安全保護(hù)都是相對(duì)的，我們不可能寄希望有了這種種安全措施之后就能保證網(wǎng)絡(luò)萬(wàn)無(wú)一失，任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施是有一定的限度。一個(gè)內(nèi)部網(wǎng)是否安全，不僅要考察其手段，更重要的是要看對(duì)該網(wǎng)絡(luò)所采取的各種措施的綜合性，這就是在所采取的手段中所包含的不僅是物理防范，還有人員的素質(zhì)等其它“軟”因素，進(jìn)行綜合評(píng)估，從而得出是否安全的結(jié)論。在了解了網(wǎng)絡(luò)的安全隱患后，我們必須提高安全意識(shí)。主動(dòng)防御是安全領(lǐng)域技術(shù)發(fā)展的趨勢(shì)。網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)就是在增強(qiáng)和保本地網(wǎng)絡(luò)安全性的同時(shí)，及時(shí)發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊，預(yù)測(cè)和識(shí)別未知攻擊。
 
    (文/陜西城市經(jīng)濟(jì)學(xué)校，任智鵬)