1、安全技术论文安全技术论文在了解网络面临来自哪些方面的威逼后,更应该了解针对不同网络威逼的一些应对技术和措施,把握它们的工作原理以及对应的安全产品的使用方法,并能结合不同的网络环境和网络安全需求,制定一套科学合理的网络系统安全解决方案。 本章将结合目前常见的网络安全技术,较为详细地分别介绍这些安全技术的工作原理,并结合一些实际网络安全产品的配置过程实例,更为直观地介绍安全产品的使用方法。 7.1防火墙 7.1.1防火墙的概念 7.1.2防火墙的要紧功能 7.1.3 防火墙技术 7.1.4 防火墙的选购 7.1.1防火墙的概念 现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它是指
2、隔离在内部本地网络与外界网络之间的一道防备系统,是这一类防范措施的总称。 通过它能够隔离风险区域如Internet或有一定风险的网络与安全区域如局域网,也确实是内部网络的连接,同时可不能阻碍人们对风险区域的访问。 它是一种设置在不同网络如可信任的企业内部网和不可信的公共网或网络安全域之间的一系列部件的组合。一样由运算机硬件和软件组成的一个或一组系统,用于增强内部网络和外部网之间的访问操纵。 7.1.3 防火墙的要紧功能 1防火墙是网络安全的屏障 2防火墙能操纵对专门站点的访问 3对网络存取访问进行记录和统计 4防止内部网络信息的外泄 5地址转换(NAT) 7.1.4 防火墙技术 目前在实际应用
3、中所使用的防火墙产品有专门多,但从其采纳的技术来看要紧包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。 具体来说要紧包括:简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。 1简单包过滤防火墙 包过滤防火墙工作在网络层,对数据包的源及目的 IP 具有识别和操纵作用,关于传输层,只能识别数据包是 TCP 依旧 UDP 及所用的端口信息。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络治理员预先设置的访问操纵表进行比较,确定是否符合预定义的安全策
4、略,并决定数据包的通过或丢弃。 比如:假如防火墙已设置拒绝telnet连接,这时当数据包的目的端口是23时,那么该数据包就会被丢弃;假如承诺进行Web访问,这时目的端口为80时那么数据包就会被放行。由于这类防火墙只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,因此它的处理速度较快,同时易于配置。 简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供如此的功能,因此假如内部网络差不多配有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。 由于这类技术不能跟踪TCP的状态,因此对TCP层的操纵是有漏洞的。 单纯简单包过滤的产品由于其爱护的不完善,在1999年往常国外的
5、网络防火墙市场上就差不多不存在了。 2应用代理防火墙 应用代理防火墙,也叫应用代理网关防火墙。 所谓网关是指在两个设备之间提供转发服务的系统。 这种防火墙能完全隔断内网与外网的直截了当通信,内网用户对外网的访问变成防火墙对外网的访问,外网的访问应答先由防火墙处理,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直截了当的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 由于针对各种应用协议的代理防火墙提供了丰富的应用层的操纵能力,使应用代理型防火墙具有了极高的安全性。然而代理型防火墙是利用操作系统本身的socket接口传递数据,
6、从而导致性能比较差,不能支持大规模的并发连接; 另外关于代理型防火墙要求防火墙核心预先内置一些应用程序的代理后防火墙才能正常工作,如此的后果是一些新显现的应用在代理型防火墙上往往不能使用,显现了防火墙不支持专门多新型应用的局面。在IT领域中,新的应用和新的技术不断显现,甚至每一天都有新的应用方式和新的协议显现,代理型防火墙专门难适应这种局面,使得在一些重要的领域和行业的核心业务应用中,代理型防火墙被慢慢地被抛弃。 3状态检测包过滤防火墙 状态检测包过滤防火墙是在简单包过滤上的功能扩展,最早是Check Point公司提出的,现在差不多成为防火墙的主流技术。 状态检测的包过滤利用状态表跟踪每一个
7、网络会话的状态,对每一个包的检查不仅依照规那么表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的操纵能力。同时由于一系列优化技术的采纳,状态检测包过滤的性能也明显优于简单包过滤产品,专门是在一些规那么复杂的大型网络上。 前面介绍的简单包过滤只是一种静态包过滤,静态包过滤将每个数据包单独分析,固定依照其包头信息如源地址、目的地址、端口号等进行匹配,这种方法在遇到利用动态端口应用协议时会发生困难。 能够如此说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙那么是规范了特定的应用协议上的行为。 目前业界专门多优秀的防火墙产品采纳了状态检测型的体系结构,比如Che
8、ck Point的Firewall-1,Cisco的PIX防火墙,NetScreen防火墙等等。 4复合型防火墙 复合型防火墙是指综合了状态检测与透亮代理的新一代防火墙,它基于专用集成电路ASIC,Application Specific Integrated Circuit架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。 常规的防火墙并不能防止隐藏在网络流量里的攻击。复合型防火墙在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施,表达出网络与信息安全的新思路。 7.1.6 防火墙的选购 目前国内
9、外防火墙产品品种繁多、特点各异,有硬件的防火墙,也有软件防火墙。硬件防火墙采纳专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,治理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,差不多上能够达到线性。而软件防火墙一样是基于某个操作系统平台开发的,直截了当在运算机上进行软件的安装和配置。由于用户平台的多样性,使得软件防火墙需支持多操作系统,如:Unix、Linux、SCO-Unix、Windows等,代码庞大、安装爱护成本高、效率低,同时还受到操作系统平台稳固性的阻碍。明显,硬件防火墙总体性能上
10、来说是优于软件防火墙的,但其价格也要高些。 1关系到防火墙性能的几个指标和概念 1防火墙端口数 2防火墙吞吐量 3防火墙会话数 4防火墙策略 5DMZ区 6防火墙的通信模式 2防火墙的选购 下面从几个方面探讨选购防火墙时应该注意的问题。 1防火墙自身是否安全 2系统是否稳固 3是否高效 4是否可靠 5功能是否灵活 6配置是否方便 7治理是否简便 8是否能够抗击拒绝服务攻击 9是否能够针对用户身份进行过滤 10是否具有可扩展、可升级性 7.2 入侵检测系统 7.2.1 入侵检测系统概述 7.2.2 入侵检测系统技术 7.2.3入侵检测系统的工作流程 7.2.4 IDS与防火墙对比 入侵检测系统:
11、Intrusion Detection System, 简称IDS。 入侵检测是指:通过对行为、安全日志或审计数据或其他网络上能够获得的信息进行操作,检测到对系统的闯入或闯入的妄图 。 入侵检测系统是一个典型的窥探设备。 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情形下,能够与防火墙联动,能够记录和禁止网络活动,因此入侵监测系统是防火墙的连续。它们能够和防火墙和路由器配合工作。 7.2.2 入侵检测系统技术 入侵检测技术通过对入侵行为的过程与特点的研究,使安全系统对入侵事件和入侵过程能做出实时响应。 入侵检测系统从分析方式上要紧可分为两种: 1模式发觉技术模式匹配 2专门发觉技术专
12、门检测 模式发觉技术的核心是爱护一个知识库。关于的攻击,它能够详细、准确的报告出攻击类型,而且知识库必须不断更新。对所有入侵行为和手段及其变种都能够表达为一种模式或特点,所有的入侵方法都能够用匹配的方法发觉,把真正的入侵与正常行为区分开来。模式发觉的优点是误报少,局限是它只能发觉的攻击,对未知的攻击无能为力。 专门发觉技术先定义一组系统正常情形的数值,如CPU利用率、内存利用率、文件校验和等这类数据能够人为定义,也能够通过观看系统、并用统计的方法得出,然后将系统运行时的数值与所定义的正常情形比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情形。 专门发觉技术的局限是并非所
13、有的入侵都表现为专门,而且系统的正常标准难于运算和更新,并无法准确判别出攻击的手法,但它能够至少在理论上能够判别更广范、甚至未发觉的攻击。 目前,国际顶尖的入侵检测系统IDS要紧以模式发觉技术为主,并结合专门发觉技术。 IDS一样从实现方式上分为两种: 1基于主机的IDS 2基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一样利用网络适配器探测器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。 基于网络的入侵检测系统的要紧优点有: 1成本低。 2攻击者排除证据专门困难。 3实时检测和
14、应答一旦发生恶意访问或攻击,基于网络的IDS检测能够随时发觉它们,因此能够更快地做出反应。从而将入侵活动对系统的破坏减到最低。 4能够检测未成功的攻击妄图。 5操作系统独立。基于网络的IDS并不依靠主机的操作系统作为检测资源,而基于主机的系统需要特定的操作系统才能发挥作用。 基于主机的IDS一样监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发觉这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发觉它们是否匹配。假如匹配的话,检测系统就向治理员发出入侵报警同时发出采取相应的行动。 基于主机的IDS的要紧优势有: 1专门适用于加密和交换环境。 2
15、近实时的检测和应答。 3不需要额外的硬件。 4确定攻击是否成功。 5监测特定主机系统活动。 以上两种实现方式的集成化是IDS的进展趋势。基于网络和基于主机的IDS都有各自的优势,两者能够相互补充。这两种方式都能发觉对方无法检测到的一些入侵行为。 基于网络的IDS能够研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击能够被实时检查包序列的IDS迅速识别。 而基于主机的IDS无法看到负载,因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测成效。 7.2.3入侵检测系统的工作流程 1信息收集 2信号分析 3实时记录、报警或有限度反击 7.3 虚拟专用网VPN
16、技术 VPN的英文全称是Virtual Private Network,翻译过来确实是虚拟专用网络。顾名思义,我们能够把它明白得成是虚拟出来的企业内部专线。它能够通过专门的加密通信协议为连接在Internet上位于不同地点的两个或多个企业内部网之间建立一条专有的通信线路,就好比是架设了一条专线一样,然而它并不需要真正的去铺设光缆之类的物理线路,如下图。这就好比去电信局申请专线,然而不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一, 目前在交换机,防火墙设备或WINDOWS 2000等软件里也都支持VPN功能,VPN的核心确实是在利用公共网络建立虚拟私有网
17、。 7.3.1 VPN的特点 7.3.2 VPN安全技术 7.3.3 VPN技术的实际应用 7.3.1 VPN应具备的特点 1安全保证 2服务质量保证QoS 3可扩充性和灵活性 4可治理性 7.3.2 VPN安全技术 由于传输的是私有信息,VPN用户对数据的安全性都比较关怀。 目前VPN要紧采纳四项技术来保证安全,这四项技术分别是: 1隧道技术Tunneling、 2加解密技术Encryption & Decryption、 3密钥治理技术Key Management、 4使用者与设备身份认证技术Authentication。 7.3.3 VPN技术的实际应用 在实际应用中VPN技术针对不同的
18、用户有不同的解决方案,用户能够依照自己的情形进行选择。这些解决方案要紧分为三种:远程访问虚拟网Access VPN、企业内部虚拟网Intranet VPN和企业扩展虚拟网Extranet VPN。 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。 7.4 网络病毒与防范 7.4.1 概述 7.4.2 网络病毒的传播途径与网络防毒 7.4.3 防病毒技术的进展趋势 7.4.1 概述 1什么是网络病毒 网络病毒是一个新兴的概念,在传统的病毒分类里差不多上没有网络病毒那个概念的,随着网络的广泛应用,运算机病毒种类越
19、来越多、传染速度也越来越快、危害更是越来越大。病毒也有了一些网络的特性。现在网络病毒是一个广义的概念,一样只要是利用网络来进行传染、破坏的都能够被称为网络病毒。 2 网络病毒具有以下特点: 1自动传播和主动攻击,如:蠕虫病毒; 2攻击系统后门,如:特洛伊木马; 3多种传播方式多样化,如:通过邮件、网络共享,利用IIS、IE、SQL的漏洞进行传播等; 4爆发速度快、阻碍面广,如:以邮件为载体进行传播的病毒危害十分庞大; 5来自Internet网页的威逼,如:网页中包含恶意有毒编码。 3网络病毒的危害 运算机病毒的要紧危害有: 1病毒激发对运算机数据信息有直截了当破坏作用,数据的安全性得不到保证;
20、 2占用磁盘空间和对信息的破坏; 3抢占系统资源,降低系统运行性能; 4严峻阻碍运算机和网络运行速度,甚至导致运算机系统和网络系统的瘫痪; 5由于网络病毒可能存在多种变种,从而造成许多不可预见的危害; 6网络病毒造成庞大的经济缺失。 4网络病毒的类型 随着网络越来更加达,网络病毒的种类也就越来越多,迄今为止运算机病毒已有近9万种,运算机病毒大体上可归纳为以下几类: 1按照病毒存在的载体分类,一样可分为4类: 导区病毒、文件型病毒、蠕虫病毒、混合类的病毒: 2按照病毒传染的方法分类可分为4类: 入侵型病毒、嵌入式病毒、加壳型病毒、病毒生产机 3按照病毒自身特点分类能够分为2类: 相伴型病毒、变型
21、病毒。 7.4.2 网络病毒的传播途径与网络防毒 网络病毒的传播要紧有以下五种途径:邮件传播、点击网页、用户下载、其它人植入、通过运算机漏洞植入,因此我们只要守住了这五个要道,就能较好地防住网络病毒。 网络防毒的要紧方法: 1. 建立好的安全适应 2. 对运算机应该经常打补丁 3. 把握一些病毒知识 4.安装专业的防毒软件进行全面操纵 5利用可网管交换机进行操纵 7.4.3 防病毒技术的进展趋势 1防范未知病毒技术期待突破 2反病毒体系趋向于立体化 7.5 信息加密技术 随着网络技术的进展,网络安全也就成为当今网络社会的焦点中的焦点。由于信息的传输通过的是脆弱的公共信道,信息储存于不设防的运算
22、机系统中,如何爱护信息的安全使之不被窃取、篡改或破坏,也确实是信息内容的保密性问题,已成为当今被普遍关注的重大问题。 加密技术是有效而且可行的方法。在运算机网络广泛应用的阻碍下,近代密码学在一些算法理论的基础上建立起来,专门在利用网络进行文件传输、电子邮件往来和进行合同文本的签署中得到广泛应用,为我们的网络活动提供了安全保证,是网络安全技术中的核心技术。 7.5.1加密技术的差不多概念 7.5.2数据加密的差不多原理 7.5.3对称密钥体制和非对称密钥体制 7.5.4 数据加密算法 7.5.5数据传输过程中的加密方式 7.5.6基于加密技术的安全认证 7.5.7加密技术的应用实例 7.5.1加
23、密技术的差不多概念 密码学是以研究数据保密为目的,对储备或传输的信息采取隐秘的交换以防止第三者对信息的窃取。 密码是实现隐秘通讯的要紧元素手段,是隐藏语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把数据明文的原形隐藏起来,不为第三者所识别的通讯方式称为密码通讯。 在运算机通讯中,采纳密码技术将信息隐藏起来,再将隐藏后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。 加密过程中的几个名词概念:密码学中的几个名词 1明文:被变换的信息,其能够是一段有意义的文字或数据; 2密文:信息变换后的一串杂乱排列的数据,从字面上无任何含
24、义; 3加密:从明文到密文的变换过程为加密; 4解密:将密文还原为明文的变换过程; 5密钥:对加密与解密过程进行操纵的参数。 6Ekm:以加密密钥k为参数的函数,是一个加密变换。其中,参数k称之为密钥。关于明文m,加密算法将明文变成密文的一种编码E确定之后,由于密钥k不同,密文也不同。 7DkC:以解密密钥k为参数的函数。是一个解密变换。其中,C密文。 7.5.2数据加密的差不多原理 在保证信息安全的多种技术中,密码技术是信息安全的核心和关键技术。通过数据加密技术,能够在一定程度上提高数据传输的安全性,保证传输数据的完整性。 在数据加密系统中,密钥操纵加密和解密过程,一个加密系统的全部安全性是
25、基于密钥的,而不是基于算法,因此加密系统的密钥治理是一个专门重要的问题。 7.5.3对称密钥体制和非对称密钥体制 对称密钥体制是指加密密钥Pk和解密密钥Sk是相同的,也确实是说数据在加密和解密过程中使用相同的密钥。对称密钥体制也可称为单钥体制。 非对称密钥体制是指在对数据进行加密和解密过程中使用不同的密钥,这两个密钥分别称为公钥和私钥,它们两个必需配对使用,否那么不能打开加密文件。那个地点的公钥是指能够对外公布的,私钥那么不能,只能由持有人一个人明白。因此这种密钥体制有时也称为公布密钥体制公钥体制或双钥体制。 对称加密的特点:对称加密速度快,但密钥不便于治理。 非对称加密的特点:能够适应网络开
26、放性要求,且密钥治理问题也较为简单,专门可方便实现数字签名和验证。但由于其需要专门复杂的数学算法,故其加密速度较低。 7.5.4 数据加密算法 数据加密算法有专门多种,密码算法标准化是信息化社会进展的必定趋势,是世界各国保密通信领域的一个重要课题。按照进展进程来看,密码经历了古典密码算法、对称密钥密码算法和公布密钥密码算法三个时期。 古典密码算法有替代加密、置换加密、凯撒密码; 对称加密算法包括DES和AES; 公布密钥密码算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线等。 目前在数据通信中使用最普遍的算法有DES算法、RSA算法等。 1DESData Encryptio
27、n Standard,数据加密标准加密算法 数据加密标准DES是美国经长时刻征集和选择后,于1977年由美国国家标准局颁布的一种加密算法。它要紧用于民用敏锐信息的加密,后来被国际标准化组织同意作为国际标准。 DES要紧采纳替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。 DES算法仅使用最大为64位的标准算术和逻辑运算,运算速度快,密钥生产容易,适合于在当前大多数运算机上用软件方法实现,同时也适合于在专用芯片上实现。 DES算法的弱点是不能提供足够的安全性,因
28、为其密钥容量只有56位。由于那个缘故,后来又提出了三重DES或3DES系统,使用3个不同的密钥对数据块进行两次或三次加密,该方法比进行一般加密的三次快。其强度大约和112比特的密钥强度相当。 2RSA算法 RSA算法以它的三位发明者的名字命名Ron Rivest、Adi Shamir和 Leonard Adleman。适用于数字签名和密钥交换。RSA加密算法是目前应用最广泛的公钥加密算法,专门适用于通过Internet传送的数据。 RSA的理论依据为:查找两个大素数比较简单,而将它们的乘积分解开那么专门困难。 RSA算法既能用于数据加密,也能用于数字签名,在RSA算法中,包含两个密钥,加密密钥
29、和解密密钥,加密密钥是公布的。 RSA算法的优点是密钥空间大500位,一样举荐使用1024位,缺点是加密速度慢,假如RSA和DES结合使用,那么正好补偿RSA的缺点。即DES用于明文加密,RSA用于DES密钥的加密。由于DES加密速度快,适合加密较长的报文,而RSA可解决DES密钥分配的问题。 7.5.5数据传输过程中的加密方式 数据加密技术要紧分为数据储备加密和数据传输加密。 采纳数据储备加密技术的目的是防止在储备环节上的数据失密,可分为密文储备和存取操纵两种。前者一样是通过加密算法转换、附加密码、加密模块等方法实现;后者那么是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越
30、权存取数据。 数据传输加密技术要紧是对传输中的数据流进行加密,常用的有:链路加密、节点加密和端到端加密三种方式。一样常用的是链路加密和端到端加密这两种方式。 7.5.6基于加密技术的安全认证 随着Internet上各类应用的进展,专门是电子商务应用的进展,为保证商务、交易及支付活动的真实可靠,需要有一种机制来验证活动中各方的真实身份。 安全认证是坚持电子商务活动正常进行的保证。要紧有两种基于加密技术的安全认证机制:Kerberos系统和PKI公布密钥体系。 数字签名在ISO7497-2标准中定义为:附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换承诺数据单元的接收者用以
31、确认数据单元来源和数据单元的完整性,并爱护数据,防止被人例如接收者进行伪造。 美国电子签名标准DSS,FIPS186-2对数字签名作了如下说明:利用一套规那么和一个参数对数据运算所得的结果,用此结果能够确认签名者的身份和数据的完整性。 数字签名的产生通过两个步骤: 第一,将被发送文件采纳摘要函数Hash函数对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要Message Digest,不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是唯独的。 然后,发送方用自己的私钥对摘要进行加密从而形成发送方的数字签名。 数字证书 数字证书又称为数字标识 Digital Certificate
