今天學(xué)習(xí)啦小編要跟大家分享的是網(wǎng)絡(luò)安全技術(shù)論文三篇，歡迎大家閱讀!!!

　　網(wǎng)絡(luò)安全技術(shù)論文一：

　　計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、加密及數(shù)字簽名技術(shù)、PKI技術(shù)等，以下就此幾項技術(shù)分別進行分析。

　　一、防火墻技術(shù)

　　防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。當一個網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

　　二、加密及數(shù)字簽名技術(shù)

　　加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。

　　不對稱加密，即“公開密鑰密碼體制，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道，分別稱為“公開密鑰”和“秘密密鑰”。

　　目前，廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準(DES)，DES對64位二進制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)，實際密鑰長度為56位(有8位用于奇偶校驗，解密時的過程和加密時相似，但密鑰的順序正好相反)，這個標準由美國國家安全局和國家標準與技術(shù)局來管理。DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中?，F(xiàn)在DES也可由硬件實現(xiàn)，AT&T首先用LSI芯片實現(xiàn)了DES的全部工作模式，該產(chǎn)品稱為數(shù)據(jù)加密處理機DEP。另一個系統(tǒng)是國際數(shù)據(jù)加密算法(IDEA)，它比DES的加密性好，而且計算機功能也不需要那么強。在未來，它的應(yīng)用將被推廣到各個領(lǐng)域。IDEA加密標準由PGP(Pretty Good Privacy)系統(tǒng)使用，PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統(tǒng)。在PGP系統(tǒng)中，使用IDEA(分組長度128bit)、RSA(用于數(shù)字簽名、密鑰管理)、MD5(用于數(shù)據(jù)壓縮)算法，它不但可以對你的郵件保密以防止非授權(quán)者閱讀，還能對你的郵件加以數(shù)字簽名從而使收信人確信郵件是由你發(fā)出。

　　在電腦網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字簽名技術(shù)將是未來最通用的個人安全防范技術(shù)，其中采用公開密鑰算法的數(shù)字簽名會進一步受到網(wǎng)絡(luò)建設(shè)者的青睞。這種數(shù)字簽名的實現(xiàn)過程非常簡單：首先，發(fā)送者用其秘密密鑰對郵件進行加密，建立了一個“數(shù)字簽名”，然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者，接收者在收到郵件后使用發(fā)送者的另一個密匙——公開密鑰對簽名進行解密，如果計算的結(jié)果相同他就通過了驗證。數(shù)字簽名能夠?qū)崿F(xiàn)對原始郵件不可抵賴性的鑒別。另外，多種類型的專用數(shù)字簽名方案也將在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通信中得到應(yīng)用。

　　三、PKI技術(shù)

　　PKI(Public Key Infrastructure，公開密鑰基礎(chǔ)設(shè)施)是一種遵循既定標準的密鑰管理平臺，它是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份。例如，某企業(yè)可以建立公鑰基礎(chǔ)設(shè)施(PKI)體系來控制對其計算機網(wǎng)絡(luò)的訪問。在將來，企業(yè)還可以通過公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)來完成對進入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。

　　PKI讓個人或企業(yè)安全地從事其商業(yè)行為。企業(yè)員工可以在互聯(lián)網(wǎng)上安全地發(fā)送電子郵件而不必擔心其發(fā)送的信息被非法的第三方(競爭對手等)截獲。企業(yè)可以建立其內(nèi)部Web站點，只對其信任的客戶發(fā)送信息。

　　PKI采用各參與方都信任一個同一CA(認證中心)，由該CA來核對和驗證各參與方身份的身份這種信任機制。例如，許多個人和企業(yè)都信任合法的駕駛證或護照。這是因為他們都信任頒發(fā)這些證件的同一機構(gòu)——政府，因而他們也就信任這些證件。然而，一個學(xué)生的學(xué)生證只能被核發(fā)此證的學(xué)校來進行驗證。數(shù)字證書也一樣。

　　在一個典型、完整和有效的PKI系統(tǒng)中，除證書的創(chuàng)建和發(fā)布，特別是證書的撤銷，一個可用的PKI產(chǎn)品還必須提供相應(yīng)的密鑰管理服務(wù)，包括密鑰的備份、恢復(fù)和更新等。沒有一個好的密鑰管理系統(tǒng)，將極大影響一個PKI系統(tǒng)的規(guī)模、可伸縮性和在協(xié)同網(wǎng)絡(luò)中的運行成本。在一個企業(yè)中，PKI系統(tǒng)必須有能力為一個用戶管理多對密鑰和證書;能夠提供安全策略編輯和管理工具，如密鑰周期和密鑰用途。 PKI發(fā)展的一個重要方面就是標準化問題，它也是建立互操作性的基礎(chǔ)。目前，PKI標準化主要有兩個方面：一是RSA公司的公鑰加密標準PKCS(Public Key Cryptography Standards)，它定義了許多基本PKI部件，包括數(shù)字簽名和證書請求格式等;二是由Internet工程任務(wù)組IETF(Internet Engineering Task Force)和PKI工作組PKIX(Public Key Infrastructure Working Group)所定義的一組具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議。在今后很長的一段時間內(nèi)，PKCS和PKIX將會并存，大部分的PKI產(chǎn)品將保持兼容性，這兩種標準都會得到支持。

　　四、結(jié)束語

　　網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強大的安全服務(wù)。

　　網(wǎng)絡(luò)安全技術(shù)論文二：

　　1 引言

　　計算機網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展深刻地改變了傳統(tǒng)的生產(chǎn)、經(jīng)營、管理和生活方式,在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,要想真正解決網(wǎng)絡(luò)安全問題,要從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。網(wǎng)絡(luò)安全是一個系統(tǒng)的概念,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標。通過運用多種網(wǎng)絡(luò)安全技術(shù),如數(shù)據(jù)加密技術(shù)、訪問控制、認證授權(quán)、防火墻、入侵檢測和防病毒等來實現(xiàn)信息安全。計算機網(wǎng)絡(luò)的高速發(fā)展帶給了人類巨大利益的同時,也帶來了許多負面的影響,在網(wǎng)絡(luò)安全體系中,為了彌補TCP/IP協(xié)議等各種安全漏洞,防火墻技術(shù)是很常用、很有效的防御系統(tǒng),是網(wǎng)絡(luò)安全防護的重要組成部分。

　　2 防火墻

　　防火墻是設(shè)置在不同網(wǎng)絡(luò)或者不同網(wǎng)絡(luò)安全域之間的一系列控制裝置的組合。防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,它有效地監(jiān)控了所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動。從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查,用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問,以及內(nèi)部網(wǎng)絡(luò)主機訪問哪些外部服務(wù)等,從而保證了所要保護的內(nèi)部計算機網(wǎng)絡(luò)的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實現(xiàn)的功能的側(cè)重點不同,防火墻實際上代表了一個網(wǎng)絡(luò)的訪問控制原則。

　　2.1 防火墻的種類

　　從技術(shù)上看,防火墻有包過濾型、代理服務(wù)器型等幾種基本類型。它們之間各有所長,具體使用哪一種或是否混合使用,要根據(jù)具體需求確定。

　　2.1.1 包過濾型

　　包過濾型防火墻是建立在路由器上,在服務(wù)器或計算機上也可以安裝包過濾防火墻軟件。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好,對網(wǎng)絡(luò)性能影響不大,可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問,也可以用來禁止訪問某些服務(wù)類型,但是不能識別內(nèi)容有危險的信息包,無法實施對應(yīng)用級協(xié)議的安全處理。發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本相對較低,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。包過濾技術(shù)的缺陷也是明顯的。包過濾在網(wǎng)絡(luò)層上攔截所有的信息流,不保存與傳輸和應(yīng)用相關(guān)的狀態(tài)信息。體現(xiàn)出一種無狀態(tài)性。在包過濾技術(shù)里只要符合過濾規(guī)則的數(shù)據(jù)包就可以穿過防火墻,在內(nèi)網(wǎng)和外網(wǎng)間建立連接,這樣使得外部網(wǎng)可以訪問內(nèi)部網(wǎng),無形中增加了內(nèi)部網(wǎng)的危險性。

　　2.1.2 代理服務(wù)器型

　　代理服務(wù)器型防火墻是在計算機或服務(wù)器上運行代理的服務(wù)程序,直接對特定的應(yīng)用層進行服務(wù),因此也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)防火墻在內(nèi)部網(wǎng)中設(shè)置了一個代理服務(wù)器,并將外部網(wǎng)和內(nèi)部網(wǎng)之間的連接分為兩段,一段是從外部網(wǎng)上的客戶端主機請求引到代理服務(wù)器,另一段由代理服務(wù)器連到內(nèi)部網(wǎng)的某個主機服務(wù)器上。代理服務(wù)器型防火墻的核心,是運行于防火墻主機上的代理服務(wù)器進程,實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。代理服務(wù)器型防火墻的缺點是可能影響網(wǎng)絡(luò)的性能,對用戶不透明,且對每一種TCP/IP服務(wù)都要設(shè)計一個代理模塊,建立對應(yīng)的網(wǎng)關(guān),實現(xiàn)起來比較復(fù)雜。代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。

　　2.1.3 網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT

　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅解決了IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,提供一定的網(wǎng)絡(luò)安全保障。內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。

　　2.1.4 監(jiān)測型

　　監(jiān)測型防火墻技術(shù)超越了最初的防火墻的網(wǎng)絡(luò)層定義以及只位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間接口的位置定義。監(jiān)測型防火墻產(chǎn)品帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。

　　3 結(jié)束語

　　隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)中的惡意軟件越來越猖狂。為了盡最大可能地防范它們對網(wǎng)絡(luò)和系統(tǒng)的破壞,需要采用防火墻等網(wǎng)絡(luò)安全工具,在網(wǎng)絡(luò)邊界保護內(nèi)部網(wǎng)絡(luò)的安全。從以上分析來看各種網(wǎng)絡(luò)安全技術(shù)都有各自的側(cè)重點和優(yōu)缺點,只有在網(wǎng)絡(luò)系統(tǒng)中將各種安全防護技術(shù)結(jié)合起來使用,才能使網(wǎng)絡(luò)安全得到最大限度的保護。

　　網(wǎng)絡(luò)安全技術(shù)論文三：

　　1　引言

　　21世紀全世界的計算機大部分都將通過互聯(lián)網(wǎng)連到一起，在信息社會中，隨著國民經(jīng)濟的信息化程度的提高，有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機中，隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網(wǎng)絡(luò)的安全性問題就越來越重要。

　　2　網(wǎng)絡(luò)威脅

　　2.1網(wǎng)絡(luò)威脅的來源

　　(1)網(wǎng)絡(luò)操作系統(tǒng)的不安全性：目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。

　　(2)來自外部的安全威脅：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒等。

　　(3)網(wǎng)絡(luò)通信協(xié)議本身缺乏安全性(如：TCP/IP協(xié)議)：協(xié)議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。

　　(4)木馬及病毒感染。

　　(5)應(yīng)用服務(wù)的安全：許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮的不周全。

　　2.2網(wǎng)絡(luò)攻擊的發(fā)展趨勢

　　目前新發(fā)現(xiàn)的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標，而且現(xiàn)在攻擊工具越來越復(fù)雜，與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測，具有反偵察的動態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術(shù)。攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術(shù)可以繞過防火墻。在許多的網(wǎng)站上都有大量的穿過防火墻的技術(shù)和資料。由此可見管理人員應(yīng)對組成網(wǎng)絡(luò)的各種軟硬件設(shè)施進行綜合管理，以達到充分利用這些資源的目的，并保證網(wǎng)絡(luò)向用戶提供可靠的通信服務(wù)。

　　3　網(wǎng)絡(luò)安全技術(shù)

　　3.1網(wǎng)絡(luò)安全管理措施

　　安全管理是指按照本地的指導(dǎo)來控制對網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被侵害，并保證重要信息不被未授權(quán)的用戶訪問。網(wǎng)絡(luò)安全管理主要包括：安全設(shè)備的管理、安全策略管理、安全風(fēng)險控制、安全審計等幾個方面。安全設(shè)備管理：指對網(wǎng)絡(luò)中所有的安全產(chǎn)品。如防火墻、、防病毒、入侵檢測(網(wǎng)絡(luò)、主機)、漏洞掃描等產(chǎn)品實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控。

　　安全策略管理：指管理、保護及自動分發(fā)全局性的安全策略，包括對安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的安全策略的管理。

　　安全分析控制：確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程，包括風(fēng)險分析、選擇、實現(xiàn)與測試、安全評估及所有的安全檢查(含系統(tǒng)補丁程序檢查)。

　　安全審計：對網(wǎng)絡(luò)中的安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的日志信息收集匯總。實現(xiàn)對這些信息的查詢和統(tǒng)計;并通過對這些集中的信息的進一步分析，可以得出更深層次的安全分析結(jié)果。

　　3.2網(wǎng)絡(luò)安全防護措施

　　3.2.1防火墻技術(shù)

　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，主要方法有：堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。

　　根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、代理型和監(jiān)測型。

　　(1)包過濾型

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，這種技術(shù)由路由器和Filter共同完成，路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數(shù)據(jù)包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險站點，防火墻便會將這些數(shù)據(jù)拒絕。包過濾的優(yōu)點是處理速度快易于維護。其缺點是包過濾技術(shù)完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷，無法告知何人進入系統(tǒng)，無法識別基于應(yīng)用層的惡意入侵，如木馬程序，另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。

　　(2)網(wǎng)絡(luò)地址轉(zhuǎn)換

　　網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時。將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，而隱藏真實的內(nèi)部網(wǎng)絡(luò)地址。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。

　　(3)代理型

　　代理型的特點是將所有跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為二段。防火墻內(nèi)外計算機系統(tǒng)間的應(yīng)用層的“連接”由二個終止于代理服務(wù)器上的“連接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，由此實現(xiàn)了“防火墻”內(nèi)外計算機系統(tǒng)的隔離，代理服務(wù)器在此等效于一個網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能，外部的惡意侵害也就很難破壞內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可對應(yīng)用層進行偵測和掃描，對基于應(yīng)用層的入侵和病毒十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，系統(tǒng)管理復(fù)雜。

　　(4)監(jiān)測型

　　監(jiān)測型防火墻是新一代的產(chǎn)品，監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測。在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中。不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品，但其缺點是實現(xiàn)成本較高，管理復(fù)雜。所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面已開始使用監(jiān)測型防火墻。

　　3.2.2物理隔離

　　所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。雖然能夠利用防火墻、代理服務(wù)器、入侵監(jiān)測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵。但是這些技術(shù)手段都還存在許多不足，使得內(nèi)網(wǎng)信息的絕對安全無法實現(xiàn)。“物理隔離”一般采用網(wǎng)絡(luò)隔離卡的方法。它由三部分組成：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站，分別有自己獨立的硬盤分區(qū)和操作系統(tǒng)，并能通過各自的專用接口與網(wǎng)絡(luò)連接。它通過有效而全面地控制計算機的硬盤數(shù)據(jù)線，使得計算機一次只能訪問及使用其中的一個硬盤分區(qū)，從而最大限度地保證了安全(內(nèi)網(wǎng))與非安全(外網(wǎng))之間的物理隔離。隔離島在外網(wǎng)區(qū)域時可以讀/寫文件，而在內(nèi)網(wǎng)區(qū)域時只可以讀取文件，這樣就創(chuàng)建了一個只能從外網(wǎng)到內(nèi)網(wǎng)、操作簡便且非常安全的單向數(shù)據(jù)通道。

　　4　結(jié)論

　　隨著網(wǎng)絡(luò)的發(fā)展會有更多新的計算機的攻擊方式和手段出現(xiàn)，也會有更多更新的防護技術(shù)手段出現(xiàn)，做好網(wǎng)絡(luò)安全防護工作是計算機管理和應(yīng)用的重要內(nèi)容，做好計算機的安全管理，配合高效的防火墻，能夠很好地保障網(wǎng)絡(luò)的安全，極大提高網(wǎng)絡(luò)的運行效率。