计算机网络安全技术浅析毕业论文.doc

计算机网络安全技术浅析 摘 要：论叙了网络安全的概念及涉及的领域，介绍了确保网络安全的主要技术。关键词：网络安全 技术 防火墙 加密 入侵检测 安全隔离 虚拟专用网一、概述20世纪90年代以来，计算机进入到网络应用阶段，呈现出前所未有的社会化趋势。Internet/Intranet技术日趋成熟，很多政府机构、民间组织和企业都建立了自己的内部网络并将之与Internet联通。上述政府机构、组织和企业网络中的核心机密均成为攻击者的目标。因此网络安全问题越来越受到各级领导、专家、技术开发和应用人员的重视。二、网络安全的概念国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。三、网络安全涉及的领域1、社会经济领域在社会经济领域中，主要是党政机关的网络安全问题，它关系到我国的政治稳定和国计民生。国家经济领域内的网络安全问题，它对国家经济持续稳定发展起着决定作用。国防和军队网络安全问题，关系到国家安全和主权完整。2、技术领域在技术领域中，网络安全包括实体安全，用来保证硬件和软件本身的安全；运行安全，用来保证计算机能在良好的环境里持续工作；信息安全，用来保障信息不会被非法阅读、修改和泄露。3、电子商务领域网络上的电子商务应用已渗透到我国经济生活的各个方面，电子商务交易安全将直接影响到整个国民经济的正常运行，影响到亿万买卖双方的切身利益。所以有效保护银行、企业和个人的各种权益，防止不良行为和恶意侵袭，已经成为计算机网络安全保护的一个新的重点。四、确保网络安全的主要技术 1、防火墙技术防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intranet防火墙。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型：包过滤型、网络地址转换-NAT、代理型和监测型。具体如下：（1）包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。（2）网络地址转化-NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。NAT的工作过程是：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。（3）代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。（4）监测型监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但监测型防火墙技术的实现成本较高，也不易管理。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。2、数据加密技术数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。计算机网络应用特别是电子商务应用的飞速发展，对数据完整性以及身份鉴定技术提出了新的要求，数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。数据传输的完整性通常通过数字签名的方式来实现，即数据的发送方在发送数据的同时利用单向的Hash函数或者其它信息文摘算法计算出所传输数据的消息文摘，并将该消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名，接收方使用相同的算法计算出接收到的数据的数字签名，并将该数字签名和接收到的数字签名进行比较，若二者相同，则说明数据在传输过程中未被修改，数据完整性得到了保证。常用的消息文摘算法包括SHA、MD4和MD5等。根据密钥类型不同可以将现代密码技术分为两类：对称加密算法（私钥密码体系）和非对称加密算法（公钥密码体系）。在对称加密算法中，数据加密和解密采用的都是同一个密钥，因而其安全性依赖于所持有密钥的安全性。对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发困难，在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。在公钥密码体系中，数据加密和解密采用不同的密钥，而且用加密密钥加密的数据只有采用相应的解密密钥才能解密，更重要的是从加密密码来求解解密密钥在十分困难。在实际应用中，用户通常将密钥对中的加密密钥公开（称为公钥），而秘密持有解密密钥（称为私钥）。利用公钥体系可以方便地实现对用户的身份认证，也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密，信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密，如果能够解开，说明信息确实为该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。目前的公钥密码算法都是基于一些复杂的数学难题，例如目前广泛使用的RSA算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解（以RSA为代表）、椭园曲线离散对数和离散对数（以DSA为代表）。公钥密码体系的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES或者IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。3、网络入侵检测技术网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术和防火墙系统结合，可以实现了一个完整的网络安全解决方案。4、安全隔离技术网络的安全威胁和风险主要存在于三个方面：物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁；非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念-"安全隔离技术"应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。隔离概念的出现，是为了保护高安全度网络环境，隔离产品发展至今共经历了五代。第一代隔离技术，完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络，做到了完全的物理隔离，但需要多套网络和系统，建设和维护成本较高。第二代隔离技术，硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问，它仍然存在使用不便、可用性差等问题，有的设计上还存在较大的安全隐患。待添加的隐藏文字内容2第三代隔离技术，数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间较长，甚至需要手工完成，不仅大大降低了访问速度，更不支持常见的网络应用，只能完成特定的基于文件的数据交换。第四代隔离技术，空气开关隔离。该技术是通过使用单刀双掷开关，通过内外部网络分时访问临时缓存器来完成数据交换的，但存在支持网络应用少、传输速度慢和硬件故障率高等问题，往往成为网络的瓶颈。第五代隔离技术，安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制，来实现网络间的隔离和数据交换，不仅解决了以往隔离技术存在的问题，并且在网络隔离的同时实现高效的内外网数据的安全交换，它透明地支持多种网络应用，成为当前隔离技术的发展方向。5、虚拟专用网技术虚拟专用网(Virtual Private Network，VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。VPN的具体实现是采用隧道技术，目前，较为常用的VPN分为第二层隧道协议和第三层隧道协议。其中第二层隧道协议主要是PPTP(点到点隧道协议)和L2TP(第二层隧道协议)；而第三层隧道协议主要是IPSec和GRE协议。随着人们对网络安全要求的进一步提高，IPSec隧道协议正在成为VPN解决方案的主流，在IPSec中，VPN数据可以通过多种加密和认证方式的组合来对数据进行最大程度的保护。IPSec协议下，DES、3DES、AES、MD5、SHA1这些加密和认证方式的结合使用几乎让数据的解密成为不可能完成的任务。在上述网络安全技术中，数据加密是其它一切安全技术的核心和基础。在实际网络系统的安全实施中，可以根据系统的安全需求，配合使用各种安全技术来实现一个完整的网络安全解决方案。例如目前常用的自适应网络安全管理模型，就是通过防火墙、网络入侵检测、虚拟专用网等技术的结合来实现网络系统动态的可适应的网络安全目标。这种网络安全管理模型认为任何网络系统都不可能防范所有的安全风险，因此在利用防火墙系统实现静态安全目标的基础上，必须通过网络安全隔离和实时的网络入侵检测，实现动态的、自适应的网络安全目标。参考文献：1、网络安全体系结构 ISBN：7115131643 （美）Convery . S 人民邮电出版社 2005.62、网络安全概论 ISBN：7505379739 李涛 电子工业出版社 2004.83、VPN与网络安全 ISBN：7505379739 戴宗坤等 清华大学出版社 2002.94、网络安全技术 ISBN：7302091560 张仕斌等 清华大学出版社 2004.85、防火墙核心技术精解 ISBN：7508427491（美）Carasik . Henmi 中国水利水电出版社 2005.46、Current Public-Key Cryptographic Systems http:/www.certicom.ca/ecc 2005.6