淺析網(wǎng)絡(luò)安全技術(shù)

李國(guó)賓

提要網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域,越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊提出預(yù)防措施。

關(guān)鍵詞:網(wǎng)絡(luò)安全;技術(shù)

中圖分類號(hào):TP31文獻(xiàn)標(biāo)識(shí)碼:A

互聯(lián)網(wǎng)的飛速發(fā)展給人們的生產(chǎn)生活帶來(lái)了巨大變化,然而網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊及預(yù)防措施進(jìn)行論述。

一、常見(jiàn)的網(wǎng)絡(luò)攻擊

(一)入侵系統(tǒng)攻擊。此類攻擊如果成功,將使你的系統(tǒng)上的資源被對(duì)方一覽無(wú)遺,對(duì)方可以直接控制你的機(jī)器,可任意修改或盜取被控機(jī)器中的各種信息。

(二)欺騙類攻擊。網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。

(三)利用病毒攻擊。病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見(jiàn)性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種,可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

(四)木馬程序攻擊。特洛伊木馬是一種直接由一個(gè)黑客,或是通過(guò)一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

(五)網(wǎng)絡(luò)偵聽(tīng)。網(wǎng)絡(luò)偵聽(tīng)為主機(jī)工作模式,主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽(tīng)工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和賬號(hào)等有用的信息資料。

(六)對(duì)防火墻的攻擊。防火墻也是由軟件和硬件組成的,在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷,對(duì)防火墻的攻擊方法也是多種多樣的,如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

二、防御措施主要有以下幾種

(一)防火墻。防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換——NAT、代理型和監(jiān)測(cè)型。

1、包過(guò)濾型。包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外,系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。

2、網(wǎng)絡(luò)地址轉(zhuǎn)化——NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn),它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng),它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址,在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄,系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)OLM防火墻,根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全;當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問(wèn)是安全的,可以接受訪問(wèn)請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問(wèn)是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

3、代理型。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)。

4、監(jiān)測(cè)型。監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。

(二)虛擬專用網(wǎng)。虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道,利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

(三)虛擬局域網(wǎng)。選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)。

(四)漏洞檢測(cè)。漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略基于主機(jī)檢測(cè),對(duì)系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查;主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè),通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估,它指出了哪些攻擊是可能的,因此成為安全方案的一個(gè)重要組成部分。漏洞檢測(cè)系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

(五)入侵檢測(cè)。入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái),檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生,系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

(六)密碼保護(hù)。加密措施是保護(hù)信息的最后防線,被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無(wú)論是對(duì)等還是不對(duì)等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用,但隨著計(jì)算機(jī)性能的飛速發(fā)展,破解部分公開(kāi)算法的加密方法已變得越來(lái)越可能。

(七)安全策略。安全策略可以認(rèn)為是一系列政策的集合,用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配,以達(dá)到最終安全的目的,安全策略的制定需要基于一些安全模型。

總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

(作者單位:中國(guó)鐵通南陽(yáng)分公司)

主要參考文獻(xiàn):

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004.

[2]郭軍.網(wǎng)絡(luò)管理[M].北京:北京郵電大學(xué)出版社,2001.