網(wǎng)絡安全新技術(shù)論文(2)
網(wǎng)絡安全新技術(shù)論文篇二
網(wǎng)絡安全技術(shù)探討
摘要:文中詳細介紹了網(wǎng)絡安全領(lǐng)域中的兩個重要技術(shù):防火墻技術(shù)和入侵檢測技術(shù),并討論了防火墻與入侵檢測系統(tǒng)的聯(lián)動實現(xiàn),提出了一個基于防火墻和入侵檢測的互動理論模型。
關(guān)鍵字:防火墻;網(wǎng)絡安全;入侵檢測
引言
計算機網(wǎng)絡是隨著現(xiàn)代社會對資源共享和信息交換與及時傳遞的迫切需要而不斷發(fā)展起來的,人們在享受著網(wǎng)絡所帶來的巨大便利的同時,網(wǎng)絡安全問題也變得越來越突出,成為人們?nèi)找骊P(guān)注的重點。一些常用的網(wǎng)絡安全解決方案有防火墻技術(shù)、(Virttml Private Network)、加密技術(shù)、入侵檢測技術(shù)等,防火墻技術(shù)作為網(wǎng)絡安全的重要組成部分格外受到關(guān)注,入侵檢測系統(tǒng)與防火墻聯(lián)動處理研究也是網(wǎng)絡安全體系研究的一個熱點問題。本文重點分析了網(wǎng)絡安全技術(shù)中的防火墻技術(shù)和入侵檢測技術(shù),提出了一個入侵檢測系統(tǒng)與防火墻聯(lián)動的框架,探討如何提高網(wǎng)絡安全問題。
1、網(wǎng)絡安全
網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、信息論等多種學科的綜合性學科。網(wǎng)絡信息安全一般是指網(wǎng)絡信息的機密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)。網(wǎng)絡安全通常分為5個層次,如表1-1所示。
網(wǎng)絡安全技術(shù)體現(xiàn)為保障以上某個或某幾個層次的安全?,F(xiàn)有的安全組件有訪問控制、加密、鑒別與認證等,在Internet的時代,人們又采用了防火墻、入侵檢測系統(tǒng)、數(shù)字簽名、虛擬專網(wǎng)等來加強網(wǎng)絡、系統(tǒng)的安全性。
2、防火墻技術(shù)
防火墻是網(wǎng)絡安全技術(shù)中最常用的也是最成熟的技術(shù),目前保護網(wǎng)絡安全最主要的手段之一就是構(gòu)建防火墻。防火墻系統(tǒng)是一種網(wǎng)絡安全部件,它可以是硬件,也可以是軟件,也可以是硬件和軟件的結(jié)合體。這種安全部件處于被保護網(wǎng)絡和其他網(wǎng)絡的邊界,接收進出被保護網(wǎng)絡的數(shù)據(jù)流,并根據(jù)防火墻配置的訪問控制策略進行過濾或做出其他操作。防火墻系統(tǒng)不僅能保護網(wǎng)絡資源不受外部的侵入,而且還能夠攔截從被保護網(wǎng)絡向外傳送的有價值的信息。
2、1 包過濾技術(shù)
數(shù)據(jù)包過濾技術(shù)是防火墻最常用的技術(shù),是一種基于網(wǎng)絡層的安全防護技術(shù)。包過濾防火墻主要通過IP數(shù)據(jù)包過濾模塊來實現(xiàn)。包過濾防火墻即可以由過濾路由器或普通路由器加包過濾軟件來實現(xiàn),也可以在一個雙宿網(wǎng)關(guān)上安裝包過濾軟件來實現(xiàn),還可以在一臺服務器上來實現(xiàn)。根據(jù)用戶事先定義好的過濾規(guī)則(訪問控制表――AccessControl List),禁止或允許數(shù)據(jù)包的通過,從而達到對站點與站點、站點與網(wǎng)絡、網(wǎng)絡與網(wǎng)絡之間的相互訪問控制。包過濾的最大優(yōu)點是邏輯簡單、價格便宜、對用戶透明、傳輸性能高,但是不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容,因為內(nèi)容是應用層數(shù)據(jù),不是包過濾系統(tǒng)所能辨認的。
包過濾一般檢查網(wǎng)絡層的IP頭和傳輸層的TCP頭,包括下面幾項:IP源地址、IP目標地址、協(xié)議類型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目標端口、ICMP的消息類型、TCP報頭中的ACK位和FIN位。此外,TCP的序列號、確認號、IP校驗和分段偏移也往往是要檢查的選項。
2.2 代理技術(shù)
代理技術(shù)也稱為應用網(wǎng)關(guān)(Application Gateway)技術(shù)。包過濾技術(shù)是在網(wǎng)絡層攔截所有的信息流,代理是工作在應用層上特殊的應用服務程序。它是作為內(nèi)外網(wǎng)之間的一個網(wǎng)關(guān),在客戶和服務器之間充當中繼,通信雙方不存在直接的網(wǎng)絡連接,由代理服務器來維持兩個連接:客戶方一代理服務器與代理服務器一服務器方。實質(zhì)上代理服務器分為兩部分:一個是客戶代理,完成與客戶方的連接與通信;另一個是服務器代理,完成與服務器方的連接與通信。工作過程如圖1-1所示。
2.3 地址翻譯技術(shù)
NAT(Network Address Translation)技術(shù)可以將局域網(wǎng)中節(jié)點的地址轉(zhuǎn)換成(映射到)一個外部公用地址,反之亦然。它應用到防火墻技術(shù)中,從而實現(xiàn)一個機構(gòu)內(nèi)部局域網(wǎng)內(nèi)多個主機以一個地址出現(xiàn)在Interact上,把內(nèi)部IP地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問內(nèi)部設備。NAT有三種類型:靜態(tài)NAT、動態(tài)NAT和端口映射NAT。
3、入侵檢測技術(shù)
入侵檢測系統(tǒng)(IDS Intrusion Detection System)是當今動態(tài)安全技術(shù)中最成熟且最具有代表性的技術(shù),它能主動檢測網(wǎng)絡的易受攻擊點和安全漏洞,其目的是盡可能實時的提供對內(nèi)部或外部的未授權(quán)的使用或濫用計算機系統(tǒng)的行為進行鑒別和阻止。入侵檢測技術(shù)是網(wǎng)絡安全技術(shù)中不可缺少的組成部分,是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
3.1 分布式入侵檢測
分布式入侵檢測是目前入侵檢測乃至整個網(wǎng)絡安全領(lǐng)域的研究熱點之一,研究人員已經(jīng)提出并實現(xiàn)了多種原型系統(tǒng)。通常采用的方法中,一種是對現(xiàn)有的IDS進行規(guī)模上的擴展,另一種則通過IDS之間的信息共享來實現(xiàn)。具體的處理方法上也分為兩種:分布式信息收集、集中處理;分布式信息收集、分布式處理。前者以DIDS、NADIR、ASAX為代表。后者則采用了分布式計算的方法,降低了對中心計算能力的依賴,同時也減少了對網(wǎng)絡帶寬帶來的壓力,因此具有更好的發(fā)展前景。
3.2 智能化入侵檢測
所謂的智能化入侵檢測,即使用智能化的方法與手段來進行入侵檢測?,F(xiàn)階段常用的有神經(jīng)網(wǎng)絡、遺傳算法、模糊技術(shù)、免疫原理等方法,這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的地思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學習能力的專家系統(tǒng),實現(xiàn)了知識庫的不斷升級與擴展,使設計的入侵檢測系統(tǒng)防范能力不斷增強。較為一致的解決方案應為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。
3.3 全面的安全防御方案
使用安全工程風險管理的思想與方法來處理網(wǎng)絡安全問題,將網(wǎng)絡安全作為一個整體工程來處理。從管理、網(wǎng)絡結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測等多方位對所關(guān)注的網(wǎng)絡進行評估,然后提出可行的全面解決方案。
4、防火墻與入侵檢測系統(tǒng)的聯(lián)動實現(xiàn)
4.1 聯(lián)動的方式
入侵檢測系統(tǒng)和防火墻之間的聯(lián)動包括以下三種方式:
*系統(tǒng)嵌入方式:把入侵檢測系統(tǒng)嵌入防火墻中,入侵檢測系統(tǒng)的數(shù)據(jù)不再來源于網(wǎng)絡的直接抓包,而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包既要接受防火墻的驗證,還要判斷是否有攻擊,以達到真正的實時阻斷。
*端口映像方式:防火墻將網(wǎng)絡中指定的一部分流量鏡像到入侵檢測系統(tǒng)中,入侵檢測系統(tǒng)再將處理后的結(jié)果通知防火墻,要求其相應的修改安全策略。
*專用響應方式:當入侵檢測系統(tǒng)發(fā)現(xiàn)網(wǎng)絡中的數(shù)據(jù)存在攻擊企圖時,通過一個開放接口實現(xiàn)與防火墻的通信,雙方按照固定的協(xié)議進行網(wǎng)絡安全事件的傳輸,更改防火墻安全策略,對攻擊的源頭進行封堵。
4.2 聯(lián)動的實現(xiàn)
本文提出的聯(lián)動框架基于客戶端/服務器(Client/Server)模式,通過擴展檢測系統(tǒng)和防火墻的功能,在防火墻中駐留一個Server程序,在/DS端駐留一個Client端程序,Client端一旦發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后,產(chǎn)生控制信息,將控制信息傳送給Server端,Server端接收到Client端的控制信息-后,動態(tài)生成防火墻的過濾規(guī)則攔截攻擊,最終實現(xiàn)聯(lián)動。入侵檢測系統(tǒng)與防火墻聯(lián)動實現(xiàn)的過程如圖1-2所示。
結(jié)束語
如何不斷提高網(wǎng)絡安全水平,是一個隨著網(wǎng)絡技術(shù)的發(fā)展而不斷研究的課題。網(wǎng)絡安全實際上是理想中的安全策略和實際的執(zhí)行之間的一種平衡,并沒有一種技術(shù)可以完全消除網(wǎng)絡安全中的漏洞,網(wǎng)絡安全的目標就是盡可能的增大保護時間,盡量減少檢測時間和響應時間。在眾多的安全策略中,采用入侵檢測系統(tǒng)和防火墻互助互補的聯(lián)動體系將會使網(wǎng)絡更加安全。
看了“網(wǎng)絡安全新技術(shù)論文”的人還看: