浅析网络安全技术
来源:用户上传
作者: 李国宾
提要网络安全技术作为一个独特的领域,越来越受到全球网络建设者及使用者的关注,本文主要就网络中经常受到的网络攻击提出预防措施。
关键词:网络安全;技术
中图分类号:TP31文献标识码:A
互联网的飞速发展给人们的生产生活带来了巨大变化,然而网络安全技术作为一个独特的领域越来越受到全球网络建设者及使用者的关注,本文主要就网络中经常受到的网络攻击及预防措施进行论述。
一、常见的网络攻击
(一)入侵系统攻击。此类攻击如果成功,将使你的系统上的资源被对方一览无遗,对方可以直接控制你的机器,可任意修改或盗取被控机器中的各种信息。
(二)欺骗类攻击。网络协议本身的一些缺陷可以被利用,使黑客可以对网络进行攻击,主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗;地址欺骗等。
(三)利用病毒攻击。病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
(四)木马程序攻击。特洛伊木马是一种直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
(五)网络侦听。网络侦听为主机工作模式,主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具,就可以轻易地截取所在网段的所有用户口令和账号等有用的信息资料。
(六)对防火墙的攻击。防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷,对防火墙的攻击方法也是多种多样的,如探测攻击技术、认证的攻击技术等。
二、防御措施主要有以下几种
(一)防火墙。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换――NAT、代理型和监测型。
1、包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外,系统管理员也可以根据实际情况灵活制定判断规则。
2、网络地址转化――NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准,它允许具有私有IP地址的内部网络访问因特网,它还意味着用户不需要为其网络中每一台机器取得注册的IP地址,在内部网络通过安全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问OLM防火墙,根据预先定义好的映射规则来判断这个访问是否安全;当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3、代理型。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部的网络系统。
4、监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。
(二)虚拟专用网。虚拟专用网(VPN)的实现技术和方式有很多,但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。此外,还需要防止非法用户对网络资源或私有信息的访问。
(三)虚拟局域网。选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴,但VLAN技术的局限在新的VLAN机制较好的解决了,这一新的VLAN就是专用虚拟局域网(PVLAN)技术。
(四)漏洞检测。漏洞检测就是对重要计算机系统或网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略,即被动式策略和主动式策略。被动式策略基于主机检测,对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸,并能有效地结合其他网络安全产品的性能,保证计算机系统或网络系统的安全性和可靠性。
(五)入侵检测。入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵或可疑活动的发生,一旦发现有黑客入侵或可疑活动的发生,系统将做出实时报警响应。
(六)密码保护。加密措施是保护信息的最后防线,被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用,但随着计算机性能的飞速发展,破解部分公开算法的加密方法已变得越来越可能。
(七)安全策略。安全策略可以认为是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,以达到最终安全的目的,安全策略的制定需要基于一些安全模型。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,为网络提供强大的安全服务――这也是网络安全领域的迫切需要。
(作者单位:中国铁通南阳分公司)
主要参考文献:
[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2004.
[2]郭军.网络管理[M].北京:北京邮电大学出版社,2001.
转载注明来源:https://www.xzbu.com/2/view-409009.htm