網(wǎng)絡(luò)安全新技術(shù)論文篇二

　　網(wǎng)絡(luò)安全技術(shù)探討

　　摘要：文中詳細(xì)介紹了網(wǎng)絡(luò)安全領(lǐng)域中的兩個(gè)重要技術(shù)：防火墻技術(shù)和入侵檢測(cè)技術(shù)，并討論了防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)實(shí)現(xiàn)，提出了一個(gè)基于防火墻和入侵檢測(cè)的互動(dòng)理論模型。

　　關(guān)鍵字：防火墻;網(wǎng)絡(luò)安全;入侵檢測(cè)

　　引言

　　計(jì)算機(jī)網(wǎng)絡(luò)是隨著現(xiàn)代社會(huì)對(duì)資源共享和信息交換與及時(shí)傳遞的迫切需要而不斷發(fā)展起來(lái)的，人們?cè)谙硎苤W(wǎng)絡(luò)所帶來(lái)的巨大便利的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也變得越來(lái)越突出，成為人們?nèi)找骊P(guān)注的重點(diǎn)。一些常用的網(wǎng)絡(luò)安全解決方案有防火墻技術(shù)、(Virttml Private Network)、加密技術(shù)、入侵檢測(cè)技術(shù)等，防火墻技術(shù)作為網(wǎng)絡(luò)安全的重要組成部分格外受到關(guān)注，入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)處理研究也是網(wǎng)絡(luò)安全體系研究的一個(gè)熱點(diǎn)問(wèn)題。本文重點(diǎn)分析了網(wǎng)絡(luò)安全技術(shù)中的防火墻技術(shù)和入侵檢測(cè)技術(shù)，提出了一個(gè)入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)的框架，探討如何提高網(wǎng)絡(luò)安全問(wèn)題。

　　1、網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真實(shí)性(Authenticity)。網(wǎng)絡(luò)安全通常分為5個(gè)層次，如表1-1所示。

　　網(wǎng)絡(luò)安全技術(shù)體現(xiàn)為保障以上某個(gè)或某幾個(gè)層次的安全。現(xiàn)有的安全組件有訪問(wèn)控制、加密、鑒別與認(rèn)證等，在Internet的時(shí)代，人們又采用了防火墻、入侵檢測(cè)系統(tǒng)、數(shù)字簽名、虛擬專網(wǎng)等來(lái)加強(qiáng)網(wǎng)絡(luò)、系統(tǒng)的安全性。

　　2、防火墻技術(shù)

　　防火墻是網(wǎng)絡(luò)安全技術(shù)中最常用的也是最成熟的技術(shù)，目前保護(hù)網(wǎng)絡(luò)安全最主要的手段之一就是構(gòu)建防火墻。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可以是硬件和軟件的結(jié)合體。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻配置的訪問(wèn)控制策略進(jìn)行過(guò)濾或做出其他操作。防火墻系統(tǒng)不僅能保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送的有價(jià)值的信息。

　　2、1　包過(guò)濾技術(shù)

　　數(shù)據(jù)包過(guò)濾技術(shù)是防火墻最常用的技術(shù)，是一種基于網(wǎng)絡(luò)層的安全防護(hù)技術(shù)。包過(guò)濾防火墻主要通過(guò)IP數(shù)據(jù)包過(guò)濾模塊來(lái)實(shí)現(xiàn)。包過(guò)濾防火墻即可以由過(guò)濾路由器或普通路由器加包過(guò)濾軟件來(lái)實(shí)現(xiàn)，也可以在一個(gè)雙宿網(wǎng)關(guān)上安裝包過(guò)濾軟件來(lái)實(shí)現(xiàn)，還可以在一臺(tái)服務(wù)器上來(lái)實(shí)現(xiàn)。根據(jù)用戶事先定義好的過(guò)濾規(guī)則(訪問(wèn)控制表――AccessControl List)，禁止或允許數(shù)據(jù)包的通過(guò)，從而達(dá)到對(duì)站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問(wèn)控制。包過(guò)濾的最大優(yōu)點(diǎn)是邏輯簡(jiǎn)單、價(jià)格便宜、對(duì)用戶透明、傳輸性能高，但是不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)，不是包過(guò)濾系統(tǒng)所能辨認(rèn)的。

　　包過(guò)濾一般檢查網(wǎng)絡(luò)層的IP頭和傳輸層的TCP頭，包括下面幾項(xiàng)：IP源地址、IP目標(biāo)地址、協(xié)議類型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目標(biāo)端口、ICMP的消息類型、TCP報(bào)頭中的ACK位和FIN位。此外，TCP的序列號(hào)、確認(rèn)號(hào)、IP校驗(yàn)和分段偏移也往往是要檢查的選項(xiàng)。

　　2.2　代理技術(shù)

　　代理技術(shù)也稱為應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理是工作在應(yīng)用層上特殊的應(yīng)用服務(wù)程序。它是作為內(nèi)外網(wǎng)之間的一個(gè)網(wǎng)關(guān)，在客戶和服務(wù)器之間充當(dāng)中繼，通信雙方不存在直接的網(wǎng)絡(luò)連接，由代理服務(wù)器來(lái)維持兩個(gè)連接：客戶方一代理服務(wù)器與代理服務(wù)器一服務(wù)器方。實(shí)質(zhì)上代理服務(wù)器分為兩部分：一個(gè)是客戶代理，完成與客戶方的連接與通信;另一個(gè)是服務(wù)器代理，完成與服務(wù)器方的連接與通信。工作過(guò)程如圖1-1所示。

　　2.3　地址翻譯技術(shù)

　　NAT(Network Address Translation)技術(shù)可以將局域網(wǎng)中節(jié)點(diǎn)的地址轉(zhuǎn)換成(映射到)一個(gè)外部公用地址，反之亦然。它應(yīng)用到防火墻技術(shù)中，從而實(shí)現(xiàn)一個(gè)機(jī)構(gòu)內(nèi)部局域網(wǎng)內(nèi)多個(gè)主機(jī)以一個(gè)地址出現(xiàn)在Interact上，把內(nèi)部IP地址隱藏起來(lái)不被外界發(fā)現(xiàn)，使外界無(wú)法直接訪問(wèn)內(nèi)部設(shè)備。NAT有三種類型：靜態(tài)NAT、動(dòng)態(tài)NAT和端口映射NAT。

　　3、入侵檢測(cè)技術(shù)

　　入侵檢測(cè)系統(tǒng)(IDS Intrusion Detection System)是當(dāng)今動(dòng)態(tài)安全技術(shù)中最成熟且最具有代表性的技術(shù)，它能主動(dòng)檢測(cè)網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，其目的是盡可能實(shí)時(shí)的提供對(duì)內(nèi)部或外部的未授權(quán)的使用或?yàn)E用計(jì)算機(jī)系統(tǒng)的行為進(jìn)行鑒別和阻止。入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可缺少的組成部分，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

　　3.1　分布式入侵檢測(cè)

　　分布式入侵檢測(cè)是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)之一，研究人員已經(jīng)提出并實(shí)現(xiàn)了多種原型系統(tǒng)。通常采用的方法中，一種是對(duì)現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種則通過(guò)IDS之間的信息共享來(lái)實(shí)現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中處理;分布式信息收集、分布式處理。前者以DIDS、NADIR、ASAX為代表。后者則采用了分布式計(jì)算的方法，降低了對(duì)中心計(jì)算能力的依賴，同時(shí)也減少了對(duì)網(wǎng)絡(luò)帶寬帶來(lái)的壓力，因此具有更好的發(fā)展前景。

　　3.2　智能化入侵檢測(cè)

　　所謂的智能化入侵檢測(cè)，即使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)?，F(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化。利用專家系統(tǒng)的地思想來(lái)構(gòu)建入侵檢測(cè)系統(tǒng)也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實(shí)現(xiàn)了知識(shí)庫(kù)的不斷升級(jí)與擴(kuò)展，使設(shè)計(jì)的入侵檢測(cè)系統(tǒng)防范能力不斷增強(qiáng)。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測(cè)系統(tǒng)與具有智能檢測(cè)功能的檢測(cè)軟件或模塊的結(jié)合使用。

　　3.3　全面的安全防御方案

　　使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)等多方位對(duì)所關(guān)注的網(wǎng)絡(luò)進(jìn)行評(píng)估，然后提出可行的全面解決方案。

　　4、防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)實(shí)現(xiàn)

　　4.1　聯(lián)動(dòng)的方式

　　入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)包括以下三種方式：

　　*系統(tǒng)嵌入方式：把入侵檢測(cè)系統(tǒng)嵌入防火墻中，入侵檢測(cè)系統(tǒng)的數(shù)據(jù)不再來(lái)源于網(wǎng)絡(luò)的直接抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過(guò)的包既要接受防火墻的驗(yàn)證，還要判斷是否有攻擊，以達(dá)到真正的實(shí)時(shí)阻斷。

　　*端口映像方式：防火墻將網(wǎng)絡(luò)中指定的一部分流量鏡像到入侵檢測(cè)系統(tǒng)中，入侵檢測(cè)系統(tǒng)再將處理后的結(jié)果通知防火墻，要求其相應(yīng)的修改安全策略。

　　*專用響應(yīng)方式：當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)存在攻擊企圖時(shí)，通過(guò)一個(gè)開放接口實(shí)現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進(jìn)行網(wǎng)絡(luò)安全事件的傳輸，更改防火墻安全策略，對(duì)攻擊的源頭進(jìn)行封堵。

　　4.2　聯(lián)動(dòng)的實(shí)現(xiàn)

　　本文提出的聯(lián)動(dòng)框架基于客戶端/服務(wù)器(Client/Server)模式，通過(guò)擴(kuò)展檢測(cè)系統(tǒng)和防火墻的功能，在防火墻中駐留一個(gè)Server程序，在/DS端駐留一個(gè)Client端程序，Client端一旦發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后，產(chǎn)生控制信息，將控制信息傳送給Server端，Server端接收到Client端的控制信息-后，動(dòng)態(tài)生成防火墻的過(guò)濾規(guī)則攔截攻擊，最終實(shí)現(xiàn)聯(lián)動(dòng)。入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)實(shí)現(xiàn)的過(guò)程如圖1-2所示。

　　結(jié)束語(yǔ)

　　如何不斷提高網(wǎng)絡(luò)安全水平，是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。網(wǎng)絡(luò)安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一種平衡，并沒(méi)有一種技術(shù)可以完全消除網(wǎng)絡(luò)安全中的漏洞，網(wǎng)絡(luò)安全的目標(biāo)就是盡可能的增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。在眾多的安全策略中，采用入侵檢測(cè)系統(tǒng)和防火墻互助互補(bǔ)的聯(lián)動(dòng)體系將會(huì)使網(wǎng)絡(luò)更加安全。

　　
看了“網(wǎng)絡(luò)安全新技術(shù)論文”的人還看：

1.網(wǎng)絡(luò)安全技術(shù)論文1000字

2.計(jì)算機(jī)網(wǎng)絡(luò)安全方面的論文

3.網(wǎng)絡(luò)安全問(wèn)題論文

4.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)論文范文

5.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)論文賞析