網絡安全新技術論文篇二

　　網絡安全技術探討

　　摘要：文中詳細介紹了網絡安全領域中的兩個重要技術：防火墻技術和入侵檢測技術，并討論了防火墻與入侵檢測系統(tǒng)的聯(lián)動實現(xiàn)，提出了一個基于防火墻和入侵檢測的互動理論模型。

　　關鍵字：防火墻;網絡安全;入侵檢測

　　引言

　　計算機網絡是隨著現(xiàn)代社會對資源共享和信息交換與及時傳遞的迫切需要而不斷發(fā)展起來的，人們在享受著網絡所帶來的巨大便利的同時，網絡安全問題也變得越來越突出，成為人們日益關注的重點。一些常用的網絡安全解決方案有防火墻技術、(Virttml Private Network)、加密技術、入侵檢測技術等，防火墻技術作為網絡安全的重要組成部分格外受到關注，入侵檢測系統(tǒng)與防火墻聯(lián)動處理研究也是網絡安全體系研究的一個熱點問題。本文重點分析了網絡安全技術中的防火墻技術和入侵檢測技術，提出了一個入侵檢測系統(tǒng)與防火墻聯(lián)動的框架，探討如何提高網絡安全問題。

　　1、網絡安全

　　網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、信息論等多種學科的綜合性學科。網絡信息安全一般是指網絡信息的機密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)。網絡安全通常分為5個層次，如表1-1所示。

　　網絡安全技術體現(xiàn)為保障以上某個或某幾個層次的安全。現(xiàn)有的安全組件有訪問控制、加密、鑒別與認證等，在Internet的時代，人們又采用了防火墻、入侵檢測系統(tǒng)、數字簽名、虛擬專網等來加強網絡、系統(tǒng)的安全性。

　　2、防火墻技術

　　防火墻是網絡安全技術中最常用的也是最成熟的技術，目前保護網絡安全最主要的手段之一就是構建防火墻。防火墻系統(tǒng)是一種網絡安全部件，它可以是硬件，也可以是軟件，也可以是硬件和軟件的結合體。這種安全部件處于被保護網絡和其他網絡的邊界，接收進出被保護網絡的數據流，并根據防火墻配置的訪問控制策略進行過濾或做出其他操作。防火墻系統(tǒng)不僅能保護網絡資源不受外部的侵入，而且還能夠攔截從被保護網絡向外傳送的有價值的信息。

　　2、1　包過濾技術

　　數據包過濾技術是防火墻最常用的技術，是一種基于網絡層的安全防護技術。包過濾防火墻主要通過IP數據包過濾模塊來實現(xiàn)。包過濾防火墻即可以由過濾路由器或普通路由器加包過濾軟件來實現(xiàn)，也可以在一個雙宿網關上安裝包過濾軟件來實現(xiàn)，還可以在一臺服務器上來實現(xiàn)。根據用戶事先定義好的過濾規(guī)則(訪問控制表――AccessControl List)，禁止或允許數據包的通過，從而達到對站點與站點、站點與網絡、網絡與網絡之間的相互訪問控制。包過濾的最大優(yōu)點是邏輯簡單、價格便宜、對用戶透明、傳輸性能高，但是不能控制傳輸的數據內容，因為內容是應用層數據，不是包過濾系統(tǒng)所能辨認的。

　　包過濾一般檢查網絡層的IP頭和傳輸層的TCP頭，包括下面幾項：IP源地址、IP目標地址、協(xié)議類型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目標端口、ICMP的消息類型、TCP報頭中的ACK位和FIN位。此外，TCP的序列號、確認號、IP校驗和分段偏移也往往是要檢查的選項。

　　2.2　代理技術

　　代理技術也稱為應用網關(Application Gateway)技術。包過濾技術是在網絡層攔截所有的信息流，代理是工作在應用層上特殊的應用服務程序。它是作為內外網之間的一個網關，在客戶和服務器之間充當中繼，通信雙方不存在直接的網絡連接，由代理服務器來維持兩個連接：客戶方一代理服務器與代理服務器一服務器方。實質上代理服務器分為兩部分：一個是客戶代理，完成與客戶方的連接與通信;另一個是服務器代理，完成與服務器方的連接與通信。工作過程如圖1-1所示。

　　2.3　地址翻譯技術

　　NAT(Network Address Translation)技術可以將局域網中節(jié)點的地址轉換成(映射到)一個外部公用地址，反之亦然。它應用到防火墻技術中，從而實現(xiàn)一個機構內部局域網內多個主機以一個地址出現(xiàn)在Interact上，把內部IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內部設備。NAT有三種類型：靜態(tài)NAT、動態(tài)NAT和端口映射NAT。

　　3、入侵檢測技術

　　入侵檢測系統(tǒng)(IDS Intrusion Detection System)是當今動態(tài)安全技術中最成熟且最具有代表性的技術，它能主動檢測網絡的易受攻擊點和安全漏洞，其目的是盡可能實時的提供對內部或外部的未授權的使用或濫用計算機系統(tǒng)的行為進行鑒別和阻止。入侵檢測技術是網絡安全技術中不可缺少的組成部分，是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

　　3.1　分布式入侵檢測

　　分布式入侵檢測是目前入侵檢測乃至整個網絡安全領域的研究熱點之一，研究人員已經提出并實現(xiàn)了多種原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的IDS進行規(guī)模上的擴展，另一種則通過IDS之間的信息共享來實現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中處理;分布式信息收集、分布式處理。前者以DIDS、NADIR、ASAX為代表。后者則采用了分布式計算的方法，降低了對中心計算能力的依賴，同時也減少了對網絡帶寬帶來的壓力，因此具有更好的發(fā)展前景。

　　3.2　智能化入侵檢測

　　所謂的智能化入侵檢測，即使用智能化的方法與手段來進行入侵檢測?，F(xiàn)階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的地思想來構建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學習能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷升級與擴展，使設計的入侵檢測系統(tǒng)防范能力不斷增強。較為一致的解決方案應為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結合使用。

　　3.3　全面的安全防御方案

　　使用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測等多方位對所關注的網絡進行評估，然后提出可行的全面解決方案。

　　4、防火墻與入侵檢測系統(tǒng)的聯(lián)動實現(xiàn)

　　4.1　聯(lián)動的方式

　　入侵檢測系統(tǒng)和防火墻之間的聯(lián)動包括以下三種方式：

　　*系統(tǒng)嵌入方式：把入侵檢測系統(tǒng)嵌入防火墻中，入侵檢測系統(tǒng)的數據不再來源于網絡的直接抓包，而是流經防火墻的數據流。所有通過的包既要接受防火墻的驗證，還要判斷是否有攻擊，以達到真正的實時阻斷。

　　*端口映像方式：防火墻將網絡中指定的一部分流量鏡像到入侵檢測系統(tǒng)中，入侵檢測系統(tǒng)再將處理后的結果通知防火墻，要求其相應的修改安全策略。

　　*專用響應方式：當入侵檢測系統(tǒng)發(fā)現(xiàn)網絡中的數據存在攻擊企圖時，通過一個開放接口實現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進行網絡安全事件的傳輸，更改防火墻安全策略，對攻擊的源頭進行封堵。

　　4.2　聯(lián)動的實現(xiàn)

　　本文提出的聯(lián)動框架基于客戶端/服務器(Client/Server)模式，通過擴展檢測系統(tǒng)和防火墻的功能，在防火墻中駐留一個Server程序，在/DS端駐留一個Client端程序，Client端一旦發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后，產生控制信息，將控制信息傳送給Server端，Server端接收到Client端的控制信息-后，動態(tài)生成防火墻的過濾規(guī)則攔截攻擊，最終實現(xiàn)聯(lián)動。入侵檢測系統(tǒng)與防火墻聯(lián)動實現(xiàn)的過程如圖1-2所示。

　　結束語

　　如何不斷提高網絡安全水平，是一個隨著網絡技術的發(fā)展而不斷研究的課題。網絡安全實際上是理想中的安全策略和實際的執(zhí)行之間的一種平衡，并沒有一種技術可以完全消除網絡安全中的漏洞，網絡安全的目標就是盡可能的增大保護時間，盡量減少檢測時間和響應時間。在眾多的安全策略中，采用入侵檢測系統(tǒng)和防火墻互助互補的聯(lián)動體系將會使網絡更加安全。

　　
看了“網絡安全新技術論文”的人還看：

1.網絡安全技術論文1000字

2.計算機網絡安全方面的論文

3.網絡安全問題論文

4.計算機網絡安全技術論文范文

5.計算機網絡安全技術論文賞析