网络安全技术探讨

PAGEPAGE1网络安全技术探讨内容摘要：文中具体介绍了网络安全领域中的两个主要技术：防火墙技术和入侵检测技术，并讨论了防火墙与入侵检测系统的联动实现，提出了一个基于防火墙和入侵检测的互动理论模型。关键字：防火墙；网络安全；入侵检测引言计算机网络是随着现代社会对资源分享和信息交换与及时传递的迫切需要而不断发展起来的，人们在享受着网络所带来的宏大方便的同时，网络安全问题也变得越来越突出，成为人们日益关注的重点。一些常用的网络安全解决方案有防火墙技术、VPN(VirttmlPrivateNetwork)、加密技术、入侵检测技术等，防火墙技术作为网络安全的主要构成部分格外遭到关注，入侵检测系统与防火墙联动处理研究也是网络安全体系研究的一个热门问题。本文重点分析了网络安全技术中的防火墙技术和入侵检测技术，提出了一个入侵检测系统与防火墙联动的框架，讨论怎样提升网络安全问题。1、网络安全网络安全是一门牵涉计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多种学科的综合性学科。网络信息安全一般是指网络信息的机密性(confideniSality)、完好性(Integrity)、可用性(Availability)、真实性(Authenticity)。网络安全通常分为5个条理，如表1－1所示。网络安全技术具体表现出为保障以上某个或某几个条理的安全。现有的安全组件有访问控制、加密、鉴别与认证等，在Internet的时代，人们又采取了防火墙、入侵检测系统、数字签名、虚拟专网等来加强网络、系统的安全性。2、防火墙技术防火墙是网络安全技术中最常用的也是最成熟的技术，当前保卫网络安全最重要的手段之一就是构建防火墙。防火墙系统是一种网络安全部件，它能够是硬件，可以以是软件，可以以是硬件和软件的结合体。这种安全部件处于被保卫网络和其他网络的界限，接收进出被保卫网络的数据流，并根据防火墙配置的访问控制策略进行过滤或做出其他操作。防火墙系统不仅能保卫网络资源不受外部的侵入，而且还能够拦截从被保卫网络向外传送的有价值的信息。2、1包过滤技术数据包过滤技术是防火墙最常用的技术，是一种基于网络层的安全防护技术。包过滤防火墙重要通过IP数据包过滤模块来实现。包过滤防火墙即能够由过滤路由器或普通路由器加包过滤软件来实现，可以以在一个双宿网关上安装包过滤软件来实现，还能够在一台效劳器上来实现。根据用户事先定义好的过滤规则(访问控制表――AccessControlList)，禁止或允许数据包的通过，进而到达对站点与站点、站点与网络、网络与网络之间的互相访问控制。包过滤的最大优点是逻辑简单、价格便宜、对用户透明、传输性能高，但是不能控制传输的数据内容，由于内容是应用层数据，不是包过滤系统所能分辨体认的。包过滤一般检查网络层的IP头和传输层的TCP头，包含下面几项：IP源地址、IP目的地址、协议类型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目的端口、ICMP的消息类型、TCP报头中的ACK位和FIN位。除此之外，TCP的序列号、确认号、IP校验和分段偏移也往往是要检查的选项。2.2代理技术代理技术也称为应用网关(ApplicationGateway)技术。包过滤技术是在网络层拦截所有的信息流，代理是工作在应用层上特殊的应用效劳程序。它是作为内外网之间的一个网关，在客户和效劳器之间充任中继，通信双方不存在直接的网络连接，由代理效劳器来维持两个连接：客户方一代理效劳器与代理效劳器一效劳器方。本质上代理效劳器分为两部分：一个是客户代理，完成与客户方的连接与通信；另一个是效劳器代理，完成与效劳器方的连接与通信。工作经过如此图1－1所示。2.3地址翻译技术NAT(NetworkAddressTranslation)技术能够将局域网中节点的地址转换成(映射到)一个外部公用地址，反之亦然。它应用到防火墙技术中，进而实现一个机构内部局域网内多个主机以一个地址出如今Interact上，把内部IP地址隐藏起来不被外界发现，使外界无法直接访问内部设备。NAT有三种类型：静态NAT、动态NAT和端口映射NAT。3、入侵检测技术入侵检测系统(IDSIntrusionDetectionSystem)是当今动态安全技术中最成熟且最具有代表性的技术，它能自动检测网络的易受攻击点和安全漏洞，其目的是尽可能实时的提供对内部或外部的未受权的使用或滥用计算机系统的行为进行鉴别和阻拦。入侵检测技术是网络安全技术中不可缺少的构成部分，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。它从计算机网络系统中的若干关键点采集信息，并分析这些信息，看看网络中能否有违背安全策略的行为和遭到袭击的迹象。入侵检测被以为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，进而提供对内部攻击、外部攻击和误操作的实时保卫。3.1分布式入侵检测分布式入侵检测是当前入侵检测乃至整个网络安全领域的研究热门之一，研究人员已经提出并实现了多种原型系统。通常采取的方法中，一种是对现有的IDS进行规模上的扩展，另一种则通过IDS之间的信息分享来实现。详细的处理方法上也分为两种：分布式信息采集、集中处理；分布式信息采集、分布式处理。前者以DIDS、NADIR、ASAX为代表。后者则采取了分布式计算的方法，降低了对中心计算能力的依靠，同时也减少了对网络带宽带来的压力，因而具有更好的发展前景。3.2智能化入侵检测所谓的智能化入侵检测，即便用智能化的方法与手段来进行入侵检测。现前阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来构建入侵检测系统也是常用的方法之一。十分是具有自学习能力的专家系统，实现了知识库的不断升级与扩展，使设计的入侵检测系统防备能力不断加强。较为一致的解决方案应为高效惯例意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。3.3全面的安全防御方案使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络构造、加密通道、防火墙、病毒防护、入侵检测等多方位对所关注的网络进行评估，然后提出可行的全面解决方案。4、防火墙与入侵检测系统的联动实现4.1联动的方式入侵检测系统和防火墙之间的联动包含下面三种方式：*系统嵌入方式：把入侵检测系统嵌入防火墙中，入侵检测系统的数据不再来源于网络的直接抓包，而是流经防火墙的数据流。所有通过的包既要承受防火墙的验证，还要判定能否有攻击，以到达真正的实时阻断。*端口映像方式：防火墙将网络中指定的一部分流量镜像到入侵检测系统中，入侵检测系统再将处理后的结果通知防火墙，要求其相应的修改安全策略。*专用响应方式：当入侵检测系统发现网络中的数据存在攻击企图时，通过一个开放接口实现与防火墙的通信，双方根据固定的协议进行网络安全事件的传输，更改防火墙安全策略，对攻击的源头进行封堵。4.2联动的实现本文提出的联动框架基于客户端／效劳器(Client／Server)形式，通过扩展检测系统和防火墙的功能，在防火墙中驻留一个Server程序，在／DS端驻留一个Client端程序，Client端一旦发现需要防火墙阻断的攻击行为后，产生控制信息，将控制信息传送给Server端，Server端接收到Client端的控制信息-后，动态生成防火墙的过滤规则拦截攻击，最终实现联动。入侵检测系统与防火墙联动实现的经过如此图1－2所示。