淺析現代網絡安全技術

文章出處：http://5052h112.com 作者：任智鵬   人氣： 發表時間：2011年09月30日

    二十一世紀是信息化的時代，由于科學技術高速發展，互聯網已經成為人們生活，工作中不可缺少的東西。網絡在世界范圍內迅速普及，信息傳遞主要通過網絡來實現，其安全受到了極大的挑戰，如盜取用戶的帳戶、密碼和資料，入侵數據庫，篡改數據庫內容，偽造用戶身份，制造計算機病毒牟取利益，網絡用戶的利益受到了嚴重的威脅和損害．網絡安全問題日益受到世界范圍內的關注。信息安全，是指對信息的保密性、完整性和可用性的保護。安全是網絡賴以生存的基礎，只有安全得到保障，網絡的各種功能才能得以不斷發展和進步。影響安全要素很多，有主動的也有被動的，本文主要介紹網絡安全的幾種主要常用技術。

    1 加密技術

    加密技術，它是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部竊取、偵聽或破壞所采用的主要技術手段之一。加密就是通過一種方式使信息變得混亂。加密類型主要有兩種：私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，因為用來加密信息的密鑰就是解密信息所使用的密鑰。私鑰加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密鑰的任何人都可以創建、加密和發送一條有效的消息。這種加密方法的速度很快，很容易在硬件和軟件件中實現，DES是一種對二元數據進行加密的算法，DES算法的弱點是不能提供足夠的安全性，因為其密鑰容量只有56位。由于這個原因，后來又提出了三重DES或3DES系統，使用3個不同的密鑰對數據塊進行兩次或)三次加密，該方法比進行普通加密的三次塊。其強度大約和l12比特的密鑰強度相當；公鑰加密使用兩個密鑰，一個用于加密信息，另一個用于解密信息。

    例如RSA算法既能用于數據加密，也能用于數字簽名，RSA的理論依據為：尋找兩個大素數比較簡單，而將它們的乘積分解開則異常困難。在RSA算法中，包含兩個密鑰，加密密鑰PK，和解密密鑰SK，加密密鑰是公開的。RSA算法的優點是密鑰空間大，缺點是加密速度慢，如果RSA和DES結合使用，則正好彌補RSA的缺點。即DES用于明文加密，RSA用于DES密鑰的加密。數據的加密技術通常是運用密鑰對數據進行加密，這就涉及了一個密鑰的管理方面，因為用加密軟件進行加密時所用的密鑰通常不是我們平常所用的密碼那么僅幾位，至多十幾位數字或字母，一般情況這種密鑰達64bit，有的達128bit，我們一般不可能完全用腦來記住這些密鑰，只能保存在一個安全的地方。密鑰的保存媒體通常有：磁卡、磁帶、磁盤、半導體存儲器等，但這些都可能有損壞或丟失的危險，所以現在的主流加密軟件都采取第三方認證或采用隨機密鑰來彌補人們記憶上的不足，還是如PGP加密軟件，不過現在的WIN2K系統以及其它一些加密軟件都在慢慢地往這個方向發展。

    2 防火墻技術

    防火墻是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關，從而保護內部網免受非法用戶的侵人，它其實就是一個把互聯網與內部網隔開的屏障。防火墻如果從實現方式上來分，又分為硬件防火墻和軟件防火墻兩類，硬件防火墻，它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的，價格較貴，但效果較好；軟件防火墻它是通過純軟件的方式來達到，價格很便宜，但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、NAT(網絡地址轉換)、應用程序代理型和狀態，動態檢測防火墻。包過濾防火墻。

    第一代防火墻和最基本形式防火墻檢查每一個通過的網絡包，或者丟棄，或者放行，取決于所建立的一套規則。本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接口。包過濾防火墻檢查每一個傳人包，查看包中可用的基本信息(源地址和目的地址、端口號、協議等)。然后，將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳人Web連接，而目的端口為80，則包就會被放行。多個復雜規則的組合也是可行的。如果允許web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規則相匹配，才可以讓該包通過。應用程序代理防火墻。應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。代理防火墻通常支持的一些常見的應用程序有：HTTP、HTTPS／SSL、SMTP、POP3、IMAP、NNTP、TELNET、FrP、IRC等。NAT．網絡地址轉換。討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。

    網絡地址轉換(NAT)協議將內部網絡的多個 地址轉換到一個公共地址發到Intemet上。NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并為Intenet連接提供一些安全機制。當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內部計算機和web站點之間來回流動的通信就都是透明的了。當從公共網絡傳來一個未經請求的傳人連接時，NAT有一套規則來決定如何處理它。如果沒有事先定義好的規則，NAT只是簡單的丟棄所有未經請求的傳人連接，就像包過濾防火墻所做的那樣。狀態，動態檢測防火墻。狀態，動態檢測防火墻是新一代的產品，它能夠對各層的數據進行主動地、實時的檢測，在對這些數據加以分析的基礎上，它能夠有效的判斷出各層中的非法侵入。同時，這種防火墻還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠監測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。

    3 智能卡技術

    智能卡技術就是與數據加密技術緊密相關的另一項技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。這種技術比較常見，也用得較為廣泛，如我們常用的IC卡、銀行取款卡、智能門鎖卡等等。

    4 結論

    現有的安全技術都所提供的安全保護都是相對的，我們不可能寄希望有了這種種安全措施之后就能保證網絡萬無一失，任何網絡安全和數據保護的防范措施是有一定的限度。一個內部網是否安全，不僅要考察其手段，更重要的是要看對該網絡所采取的各種措施的綜合性，這就是在所采取的手段中所包含的不僅是物理防范，還有人員的素質等其它“軟”因素，進行綜合評估，從而得出是否安全的結論。在了解了網絡的安全隱患后，我們必須提高安全意識。主動防御是安全領域技術發展的趨勢。網絡安全主動防御技術就是在增強和保本地網絡安全性的同時，及時發現正在進行的網絡攻擊，預測和識別未知攻擊。
 
    (文/陜西城市經濟學校，任智鵬)