網(wǎng)絡(luò)安全技術(shù)解析

盧方興

綏化學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系，黑龍江 綏化 152061

傳統(tǒng)上以防火墻作為第一道安全屏障的防范方式隨著攻擊技術(shù)的日趨成熟和手法的日趨多樣已經(jīng)不能很好的完成安全防護(hù)工作。防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的，首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。其次，防火墻對(duì)來(lái)自內(nèi)部的攻擊無(wú)能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò)，而這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。

網(wǎng)絡(luò)安全問(wèn)題自從其出現(xiàn)就受到了廣泛的重視，目前，如何采用相關(guān)技術(shù)確保網(wǎng)絡(luò)安全？希望個(gè)人、企業(yè)以及政府部門(mén)應(yīng)采取以下幾種技術(shù)。

1 加密機(jī)制技術(shù)

加密是一種最基本的安全機(jī)制，它能防止信息被非法讀取。加密是一種在網(wǎng)絡(luò)環(huán)境中對(duì)抗被動(dòng)攻擊行之有效的安全機(jī)制。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)最基本的方法。但是這種方法只能防止第三者獲取真實(shí)數(shù)據(jù)，僅僅解決了安全問(wèn)題的一個(gè)方面。而且加密技術(shù)也并不是牢不可破的。

2 數(shù)據(jù)簽名機(jī)制技術(shù)

數(shù)據(jù)簽名與加密機(jī)制有點(diǎn)相似，一般是簽名者利用秘密密鑰（私鑰）對(duì)需要簽名的數(shù)據(jù)進(jìn)行加密，驗(yàn)證方利用簽名者的公開(kāi)密鑰（公鑰）對(duì)簽名數(shù)據(jù)進(jìn)行解密運(yùn)算。此法對(duì)于密鑰的設(shè)計(jì)和加密算法有極高的要求。

訪問(wèn)控制機(jī)制技術(shù)。訪問(wèn)控制機(jī)制就是按照事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法。訪問(wèn)控制一般以下面的機(jī)制為基礎(chǔ)：1）訪問(wèn)控制數(shù)據(jù)庫(kù)；2）口令機(jī)制；3）安全標(biāo)志，當(dāng)它與實(shí)體（程序、數(shù)據(jù)等）有關(guān)時(shí)，可用來(lái)允許或拒絕與安全有關(guān)的訪問(wèn)；4）能力表，決定主體對(duì)客體訪問(wèn)的權(quán)利的憑證。

3 數(shù)據(jù)完整性機(jī)制技術(shù)

數(shù)據(jù)完整性技術(shù)可以發(fā)現(xiàn)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是否已經(jīng)被非法修改，從而使用戶預(yù)防不會(huì)被非法數(shù)據(jù)所欺騙。

4 認(rèn)證機(jī)制技術(shù)

認(rèn)證是以交換信息的方式來(lái)確定實(shí)體身份的一種機(jī)制，是進(jìn)行存取控制所必不可少的條件，因?yàn)椴恢烙脩羰钦l(shuí)，就無(wú)法判斷其存取是否合法。用于認(rèn)證機(jī)制的技術(shù)如下：1）口令機(jī)制：口令一般由發(fā)送方實(shí)體提供，由接收方實(shí)體檢驗(yàn)；2）安全協(xié)議機(jī)制：收發(fā)雙方事先經(jīng)過(guò)約定，按照約定的協(xié)議進(jìn)行鑒定交換；3）使用密碼技術(shù)：將交換的數(shù)據(jù)進(jìn)行加密，只有合法用戶方能解密，得到有意義的明文（數(shù)據(jù)）；4）使用實(shí)體的特征或?qū)嶓w所有的物件：這時(shí)常采用的技術(shù)就是指紋識(shí)別技術(shù)、視角膜識(shí)別技術(shù)和DNA識(shí)別技術(shù)等。

5 系統(tǒng)漏洞檢測(cè)技術(shù)

系統(tǒng)中漏洞的存在是系統(tǒng)受到各種安全危險(xiǎn)的主要原因。外部黑客對(duì)系統(tǒng)的攻擊主要利用了系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)中的漏洞；內(nèi)部人員作案則也是利用了系統(tǒng)內(nèi)部服務(wù)及其資源配置中所存在的漏洞；如著名的攻擊方法之一“拒絕服務(wù)攻擊”主要就是利用了系統(tǒng)中資源分配上的漏洞，長(zhǎng)期占用有限的資源不釋放，使得其它用戶得不到系統(tǒng)應(yīng)該進(jìn)行的服務(wù)；或者利用服務(wù)處理上的弱點(diǎn)，使該服務(wù)器崩潰。因此，要保護(hù)系統(tǒng)的安全，就非常有必要消除系統(tǒng)中所存在的各種安全漏洞，而消除系統(tǒng)中的安全漏洞的第一步就是應(yīng)該檢測(cè)出系統(tǒng)中是否存在各種安全漏洞，在此基礎(chǔ)上才能進(jìn)一步考慮怎樣消除和修補(bǔ)那些存在的漏洞。

6 防火墻技術(shù)

在保護(hù)網(wǎng)絡(luò)安全的各種技術(shù)中，防火墻技術(shù)是目前比較好的技術(shù)，也是一種技術(shù)比較成熟的網(wǎng)絡(luò)安全技術(shù)。利用防火墻技術(shù)實(shí)現(xiàn)的軟件將定義好的安全策略轉(zhuǎn)換成具體的安全控制操作，它使得內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)（主要是因特網(wǎng)）之間相互隔離、限制網(wǎng)絡(luò)互訪。按照一定的安全策略規(guī)則對(duì)其檢查網(wǎng)絡(luò)包或服務(wù)請(qǐng)求，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，而與內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)相連的網(wǎng)絡(luò)則被稱為外部網(wǎng)絡(luò)或共用網(wǎng)絡(luò)。防火墻技術(shù)能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的互訪和數(shù)據(jù)傳送，從而實(shí)現(xiàn)了保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非法授權(quán)用戶的訪問(wèn)或者過(guò)濾信息的目的。防火墻的實(shí)現(xiàn)從層次上大概可以分為兩種:報(bào)文過(guò)濾和應(yīng)用層網(wǎng)關(guān)。

7 IP隧 道(IP Tunnel)或VPN(Virtual Private Network)技術(shù)

經(jīng)常會(huì)出現(xiàn)這種情況，一個(gè)大公司的兩個(gè)子公司相隔很遠(yuǎn)，需要通過(guò)Internel通信。在這種情況下，就可以采用IP Tunnel或VPN來(lái)防止Internet上的黑客獲取信息，從而在Internet上形成了一個(gè)虛擬的專用網(wǎng)。

8 隔離域名服務(wù)器(Split Domain Name Server)

這種技術(shù)是通過(guò)防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)絡(luò)的域名服務(wù)器隔離，使得外部網(wǎng)絡(luò)的域名服務(wù)器只能看到防火墻的IP地址，無(wú)法了解受保護(hù)網(wǎng)絡(luò)的具體情況，這樣可以保護(hù)受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)所獲悉。

而在當(dāng)前實(shí)際應(yīng)用中，建立防火墻系統(tǒng)是解決網(wǎng)絡(luò)安全問(wèn)題的主要方法，基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要有如下的3種基本結(jié)構(gòu)：

1）雙宿主主機(jī)結(jié)構(gòu)：這是最基本的防火墻系統(tǒng)結(jié)構(gòu)。這種系統(tǒng)實(shí)質(zhì)上就是至少具有兩個(gè)網(wǎng)絡(luò)接口卡（NIC）的主機(jī)系統(tǒng)；這樣的主機(jī)還可以充當(dāng)與這些網(wǎng)絡(luò)接口卡相連的若干網(wǎng)絡(luò)中間的路由器。這種結(jié)構(gòu)雖然能提供很高程度的網(wǎng)絡(luò)控制，但是由于進(jìn)出服務(wù)器的信息量太大，造成主機(jī)的負(fù)載較大，容易成為網(wǎng)絡(luò)瓶頸；

2）主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)就是在堡壘主機(jī)對(duì)外通過(guò)過(guò)濾路由器連接到外部網(wǎng)絡(luò)，對(duì)內(nèi)直接連接內(nèi)部網(wǎng)絡(luò)。但入侵者一旦攻破堡壘主機(jī)，整個(gè)內(nèi)部網(wǎng)絡(luò)就危險(xiǎn)了；

3）子網(wǎng)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)就是在主機(jī)過(guò)濾結(jié)構(gòu)中增加一層周邊網(wǎng)絡(luò)的安全機(jī)制，也就是堡壘主機(jī)對(duì)外、對(duì)內(nèi)連接都要通過(guò)過(guò)濾路由器。所以相對(duì)上一種結(jié)構(gòu)它又算比較完全的一種。

基于防火墻的3種基本結(jié)構(gòu)可以產(chǎn)生多種變形，通過(guò)基本的結(jié)構(gòu)結(jié)合起來(lái)以增強(qiáng)網(wǎng)絡(luò)安全。

9 結(jié)論

由于目前網(wǎng)絡(luò)安全技術(shù)還存在著這樣或那樣的安全缺陷，不能完善地保護(hù)網(wǎng)絡(luò)安全，所以有必要對(duì)網(wǎng)絡(luò)安全技術(shù)作進(jìn)一步的研究。