淺析現(xiàn)代網(wǎng)絡(luò)安全技術(shù)
文章出處:http://www.luckydriving.com 作者:任智鵬 人氣: 發(fā)表時間:2011年09月30日
二十一世紀是信息化的時代,由于科學技術(shù)高速發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為人們生活,工作中不可缺少的東西。網(wǎng)絡(luò)在世界范圍內(nèi)迅速普及,信息傳遞主要通過網(wǎng)絡(luò)來實現(xiàn),其安全受到了極大的挑戰(zhàn),如盜取用戶的帳戶、密碼和資料,入侵數(shù)據(jù)庫,篡改數(shù)據(jù)庫內(nèi)容,偽造用戶身份,制造計算機病毒牟取利益,網(wǎng)絡(luò)用戶的利益受到了嚴重的威脅和損害.網(wǎng)絡(luò)安全問題日益受到世界范圍內(nèi)的關(guān)注。信息安全,是指對信息的保密性、完整性和可用性的保護。安全是網(wǎng)絡(luò)賴以生存的基礎(chǔ),只有安全得到保障,網(wǎng)絡(luò)的各種功能才能得以不斷發(fā)展和進步。影響安全要素很多,有主動的也有被動的,本文主要介紹網(wǎng)絡(luò)安全的幾種主要常用技術(shù)。
1 加密技術(shù)
加密技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。加密就是通過一種方式使信息變得混亂。加密類型主要有兩種:私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密,因為用來加密信息的密鑰就是解密信息所使用的密鑰。私鑰加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密鑰的任何人都可以創(chuàng)建、加密和發(fā)送一條有效的消息。這種加密方法的速度很快,很容易在硬件和軟件件中實現(xiàn),DES是一種對二元數(shù)據(jù)進行加密的算法,DES算法的弱點是不能提供足夠的安全性,因為其密鑰容量只有56位。由于這個原因,后來又提出了三重DES或3DES系統(tǒng),使用3個不同的密鑰對數(shù)據(jù)塊進行兩次或)三次加密,該方法比進行普通加密的三次塊。其強度大約和l12比特的密鑰強度相當;公鑰加密使用兩個密鑰,一個用于加密信息,另一個用于解密信息。
例如RSA算法既能用于數(shù)據(jù)加密,也能用于數(shù)字簽名,RSA的理論依據(jù)為:尋找兩個大素數(shù)比較簡單,而將它們的乘積分解開則異常困難。在RSA算法中,包含兩個密鑰,加密密鑰PK,和解密密鑰SK,加密密鑰是公開的。RSA算法的優(yōu)點是密鑰空間大,缺點是加密速度慢,如果RSA和DES結(jié)合使用,則正好彌補RSA的缺點。即DES用于明文加密,RSA用于DES密鑰的加密。數(shù)據(jù)的加密技術(shù)通常是運用密鑰對數(shù)據(jù)進行加密,這就涉及了一個密鑰的管理方面,因為用加密軟件進行加密時所用的密鑰通常不是我們平常所用的密碼那么僅幾位,至多十幾位數(shù)字或字母,一般情況這種密鑰達64bit,有的達128bit,我們一般不可能完全用腦來記住這些密鑰,只能保存在一個安全的地方。密鑰的保存媒體通常有:磁卡、磁帶、磁盤、半導體存儲器等,但這些都可能有損壞或丟失的危險,所以現(xiàn)在的主流加密軟件都采取第三方認證或采用隨機密鑰來彌補人們記憶上的不足,還是如PGP加密軟件,不過現(xiàn)在的WIN2K系統(tǒng)以及其它一些加密軟件都在慢慢地往這個方向發(fā)展。
2 防火墻技術(shù)
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵人,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻如果從實現(xiàn)方式上來分,又分為硬件防火墻和軟件防火墻兩類,硬件防火墻,它是通過硬件和軟件的結(jié)合來達到隔離內(nèi)、外部網(wǎng)絡(luò)的目的,價格較貴,但效果較好;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)、應用程序代理型和狀態(tài),動態(tài)檢測防火墻。包過濾防火墻。
第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包,或者丟棄,或者放行,取決于所建立的一套規(guī)則。本質(zhì)上,包過濾防火墻是多址的,表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。包過濾防火墻檢查每一個傳人包,查看包中可用的基本信息(源地址和目的地址、端口號、協(xié)議等)。然后,將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接,而包的目的端口是23的話,那么該包就會被丟棄。如果允許傳人Web連接,而目的端口為80,則包就會被放行。多個復雜規(guī)則的組合也是可行的。如果允許web連接,但只針對特定的服務器,目的端口和目的地址二者必須與規(guī)則相匹配,才可以讓該包通過。應用程序代理防火墻。應用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反,它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應用程序的通信,然后建立于公共網(wǎng)絡(luò)服務器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務器通信,所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。另外,如果不為特定的應用程序安裝代理程序代碼,這種服務是不會被支持的,不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接,從而提供了額外的安全性和控制性。代理防火墻通常支持的一些常見的應用程序有:HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FrP、IRC等。NAT.網(wǎng)絡(luò)地址轉(zhuǎn)換。討論到防火墻的主題,就一定要提到有一種路由器,盡管從技術(shù)上講它根本不是防火墻。
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個 地址轉(zhuǎn)換到一個公共地址發(fā)到Intemet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò),多個用戶分享單一的IP地址,并為Intenet連接提供一些安全機制。當內(nèi)部用戶與一個公共主機通信時,NAT追蹤是哪一個用戶作的請求,修改傳出的包,這樣包就像是來自單一的公共IP地址,然后再打開連接。一旦建立了連接,在內(nèi)部計算機和web站點之間來回流動的通信就都是透明的了。當從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的傳人連接時,NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則,NAT只是簡單的丟棄所有未經(jīng)請求的傳人連接,就像包過濾防火墻所做的那樣。狀態(tài),動態(tài)檢測防火墻。狀態(tài),動態(tài)檢測防火墻是新一代的產(chǎn)品,它能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動地、實時的檢測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,它能夠有效的判斷出各層中的非法侵入。同時,這種防火墻還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。
3 智能卡技術(shù)
智能卡技術(shù)就是與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務器上注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能還是相當有效的。這種技術(shù)比較常見,也用得較為廣泛,如我們常用的IC卡、銀行取款卡、智能門鎖卡等等。
4 結(jié)論
現(xiàn)有的安全技術(shù)都所提供的安全保護都是相對的,我們不可能寄希望有了這種種安全措施之后就能保證網(wǎng)絡(luò)萬無一失,任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護的防范措施是有一定的限度。一個內(nèi)部網(wǎng)是否安全,不僅要考察其手段,更重要的是要看對該網(wǎng)絡(luò)所采取的各種措施的綜合性,這就是在所采取的手段中所包含的不僅是物理防范,還有人員的素質(zhì)等其它“軟”因素,進行綜合評估,從而得出是否安全的結(jié)論。在了解了網(wǎng)絡(luò)的安全隱患后,我們必須提高安全意識。主動防御是安全領(lǐng)域技術(shù)發(fā)展的趨勢。網(wǎng)絡(luò)安全主動防御技術(shù)就是在增強和保本地網(wǎng)絡(luò)安全性的同時,及時發(fā)現(xiàn)正在進行的網(wǎng)絡(luò)攻擊,預測和識別未知攻擊。
(文/陜西城市經(jīng)濟學校,任智鵬)