《(安全生产)浅析计算机网络安全技术》由会员分享,可在线阅读,更多相关《(安全生产)浅析计算机网络安全技术(5页珍藏版)》请在金锄头文库上搜索。
1、浅析计算机网络安全技术李慧宁福建师范大学 数计学院 350007摘要:随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,安全性已经成为网络安全技术中最关键的问题。本文主要介绍常见的两种网络安全防护技术:防火墙技术和入侵检测技术,并对网络安全可视化这一新技术做了简单介绍。关键词:网络安全;防火墙;入侵检测;安全可视化1 引言随着计算机网络的普及和网络技术的发展,越来越多的企业、个人利用计算机和网络来发布信息。计算机网络虽然扩大了用户的通信范围和资源共享的程度,广泛和深刻地改变了传统的生产、经营、管理和生活方式,但针对计算机网络的攻击也越来越多,增加了网络的复杂性和脆弱性,使网络更
2、易于受到别有用心者的攻击和破坏。由此,计算机信息与网络的安全问题引起了大家的广泛重视。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全是指网络系统的部件、程序、数据的安全性,保护网络程序数据或者设备,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,使系统连续可靠正常的运行,网络服务不中断。目前,人们通过运用多种网络安全技术,如认证授权、数据加密技术、访问控制、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补TCPIP协议等各种安全漏洞,防火墙技术、入侵检测技术是两种
3、很常用、很有效的防御系统,是网络安全防护的重要组成部分,也是本文的研究重点。2 防火墙技术防火墙原来是建筑术语,用于隔离不同的房间和楼层,起到防火作用,但防火墙的门又可以保证人员的正常进出。在计算机网络中,防火墙在内部网络(Intranet,即私用网络)和外部网络(Internet,即公用网络)之间形成一道保护屏障,监控进、出内部网络的数据流和链接方式,保护内部网络操作环境,防止外部非法的网络用户通过非法手段入侵内部网络访问资源和非法向外传递信息,防火墙就是这样一种特殊的网络互联设备。 2.1防火墙的基本内容防火墙通常应包含下列基本内容(1) 分割网络:防火墙在内、外网设置一道分界线,将容易受
4、到攻击的特殊部门内部网分割开,限制外部网的访问。非法用户(如黑客、间谍、信息破坏者)的非法访问可被网管通过中央阻塞的方式拦截在外面。(2) 过滤进、出网络的数据,管理进、出网络的访问行为:代理服务器防火墙可通过检测URL和页面内容来控制信息传输。一般防火墙根据某些IP地址和端口进行允许链接或者拒绝链接的功能,实现HTTP、FTP、WWW和Telnet等的服务。防火墙有时还有必要将数据流转发到另一个端口或主机去来防止基于源路由选择的攻击。(3) 集中安全性:防火墙控制不安全的服务和站点服务;将需要保护的软件集中放在防火墙系统上进行保护。(4) 审计和报警:防火墙的安全日志记录通过防火墙的信息内容
5、和活动,检测网络嗅探和网络攻击,并且通过多种方式报警。安全日志记录了内、外网络的使用情况,包括一般信息、邮件接收、各种服务代理、链接建立情况等等。2.2防火墙的种类及实现技术 实现防火墙的技术分为包过滤技术和代理服务技术。包过滤技术简单便宜,代理服务技术安全可靠,二者互补性很强,因此在网络中经常同时使用二者保护网络安全。2.2.1包过滤技术包过滤技术指把包过滤防火墙放在内部网络的路由器或服务器中,对进出内部网络的所有数据包按指定过滤规则进行检查,仅对符合规则的数据包准予通行。包过滤防火墙在网络层和数据链路层之间工作,对IP数据包进行检查过滤。包过滤防火墙收到IP数据包后,根据过滤规则(通常是访
6、问控制表)检查数据包的有关字段,把符合过滤规则的数据包转发到相应的目标地址端口,否则便将数据包从数据流中除掉,进行报警。 包过滤在网络层上拦截所有的信息流,不保存与传输和应用相关的状态信息。体现出一种无状态性。在包过滤技术里只要符合过滤规则的数据包就可以穿过防火墙,在内网和外网间建立连接,这样使得外部网可以访问内部网,无形中增加了内部网的危险性。针对这个缺陷,引入了代理服务技术。2.2.2应用层网关技术(代理服务技术) 应用层网关技术是一种代理服务技术。代理服务技术是针对每一种特定服务而专门提供的一种应用程序。FTP负责代理FTP协议,Telnet负责代理Telnet协议,HTTP负责代理HT
7、TP协议等等。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能处理和管理信息。包过滤技术在网络层实现防火墙功能,代理服务技术在应用层实现防火墙功能。代理服务防火墙在内部网中设置了一个代理服务器,并将外部网和内部网之间的连接分为两段,一段是从外部网上的客户端主机请求引到代理服务器,另一段由代理服务器连到内部网的某个主机服务器上。代理服务器扮演着一个服务中介的角色,它收到客户端的请求,代表客户端和服务器联络,再把服务器的响应传给客户端。因此,代理服务隐藏了真实的IP地址,提高了网络的安全性。代理服务器往往是一个应用层网关,它有3种类型防火墙,分别是双宿主机型
8、防火墙、屏蔽主机型防火墙和屏蔽子网型防火墙。上述三种类型的防火墙和包过滤路由器防火墙构成了防火墙体系结构的四种基本类型。防火墙体系结构都是过滤路由器和堡垒主机的组合。堡垒主机是网络中保护措施最完善但同时也是最容易受到攻击的主机,它拥有两个网卡,分别连着外网和内网。(1)双宿主机型防火墙双宿主机就是拥有两块网卡可接到两个不同网络的主机,一个接到外网,一个接到内网,双宿主机防火墙是内、外网络的物理隔断。在双宿主机上,运行着许多代理服务器,内、外网的通信靠这些应用层代理服务完成。双宿主机型防火墙可支持许多用户的访问。(2) 屏蔽主机型防火墙屏蔽主机型防火墙由包过滤路由器和堡垒主机组成。堡垒主机属于内
9、网,是外网唯一可以达到的内网主机。包过滤路由器则强制把外网所有到达它的数据发送到被其屏蔽的堡垒主机,并且只允许来自堡垒主机的内网数据出网。屏蔽主机型防火墙实现了网络层的包过滤技术和应用层的代理服务技术,为网络安全上了双重保险。(3)屏蔽子网型防火墙屏蔽子网型防火墙由两个包过滤路由器和堡垒主机组成,支持网络层和应用层安全,是应用层网关防火墙中最安全的一种。它在外网和内网之间建立一个子网,称作边界网络。堡垒主机支持电路级网关和应用级网关。网管把堡垒主机、Modem组、包括信息服务器在内的各式各样的代理服务器放在边界网络中。 过去,防范网络攻击最常用的方法是防火墙,但是仅仅依赖防火墙并不能保证网络的
10、安全。防火墙面临着很多局限,防火墙可以抵御外来攻击,但是它很难预防来自内网的攻击伤害;防火墙无法抵御数据驱动型的攻击,因为防火墙无法阻止所有被病毒感染的文件通过;同时防火墙自身也存在着很多漏洞和后门。如果把防火墙比作门卫,那么,网络还需要主动寻找罪犯的警察。当单纯的防火墙技术显出不足和弱点的时候,就需要一种更强大更积极主动的安全防护技术来增强网络的安全性。入侵检测系统便起到了这个作用。3 入侵检测技术 入侵检测系统它能在不影响网络性能的情况下对网络进行监听,从而提供了对内部攻击、外部攻击和误操作的实时防护,是对防火墙的合理补充。随着网络安全风险的不断提高,防火墙已经不能满足人们对网络安全的需求
11、。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性,IDS被认为是防火墙之后的第二道安全闸门。设置硬件防火墙,可以提高网络的通过能力并阻挡一般性的攻击行为。而采用IDS入侵检测系统,则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。3.1入侵检测的基本内容入侵检测的目标是通过对行为、安全日志、审计数据或网络数据包进行检测,发现对系统的闯入或者对系统的威胁,以此来保证信息系统的资源不受攻击。实行入侵检测的软件和硬件的组合就被人们称为入侵检测系统。入侵检测技术是为保证计算机系
12、统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。一个入侵检测产品通常由两部分组成:传感器与控制台。传感器负责采集数据(如网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用。入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。入侵检测系统的工作过程有收集信息、分析信息、对被检测信息做出响应、记录结果。信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测很大程度上依靠收集信息的可靠性和正确性,入侵检测利用的信息一般来自系统的日志文件或者网络日志文件和非正常的程序执行以及非
13、正常的目录和文件改变。信息分析是对收集到的有关系统、网络、数据及用户活动的状态行为进行统计分析、完整性分析和模式匹配分析。其中统计分析是先给系统对象创建一个在正常使用情况下的一些数据,属性把其做成一个统计描述。把这个描述做为标准用来和网络系统做比较,任何观察值在正常范围之外的都被认为是发生了入侵。完整性分析主要是关注某个文件,文件目录的内容及其属性或者某个对象是否被改动或是否完整。模式匹配分析是对收集到的信息和已知的入侵特征做比较,来发现是否有被入侵的迹象。3.2入侵检测系统的种类及实现技术从系统结构上看,根据目标系统的类型可分为基于主机的入侵检测系统和基于网络的入侵检测系统及混合入侵检测系统
14、。3.2.1基于网络的入侵检测 基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。3.2.2基于主机的入侵检测 基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。 3.2.3混合入侵检测混合入侵检测提供了基于主机和网络的入侵检测设备的管理和警告,混合入侵检测在逻
15、辑上实现了网络和主机的互补。以上列举了入侵检测系统的分类,但它们所采用的方法和技术通常可分为特征检测与异常检测两种。 (1)特征检测 特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达入侵现象又不会将正常的活动包含进来。(2)异常检测 异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的活动简档,将当前主体的活动状况与活动简档相比较,当违反其统计规律时,认为该活动可能是入侵行为。异常检测的难题在于如何建立活动简档以及如何设计统计算法。从而不把正
16、常的操作作为入侵或忽略真正的入侵行为。 传统的防火墙是基于规则的,即它只能防御已知的攻击,对新的未知的攻击就显得无能为力。入侵检测系统也是基于规则的。随着网络数据量的急剧增大,攻击类型和复杂度的提升,防火墙技术、入侵检测技术很难快速直观发现一些新的攻击模式。因此,必须综合防火墙、入侵检测及新的网络安全技术,来寻找网络中的攻击和异常事件,提高网络的安全性。网络安全可视化技术便是一种可行的技术。4 网络安全可视化技术如何帮助网络安全分析人员通过繁杂高维数据信息快速地分析网络状况,发现威胁。且系统在监控过往信息的同时能够对数据进行分析、消化,并以一种更加人性化的方式将网络上存在的安全风险准确地告知用户,使用
