計算機網(wǎng)絡(luò)技術(shù)發(fā)展論文

計算機網(wǎng)絡(luò)論文計算機網(wǎng)絡(luò)安全與防火墻技術(shù)

計算機網(wǎng)絡(luò)安全與防火墻技術(shù)摘要：為保證計算機網(wǎng)絡(luò)系統(tǒng)的安全，應(yīng)混合使用多種安全防護策略?，F(xiàn)代防火墻技術(shù)已從網(wǎng)絡(luò)安全的最底層逐步走向網(wǎng)絡(luò)層之外的其他安全層次，在完成傳統(tǒng)防火墻的過濾任務(wù)的同時，還能為各種網(wǎng)絡(luò)就用提供相應(yīng)的安全服務(wù)。關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防火墻技術(shù)1、前言隨著國內(nèi)外計算機技術(shù)發(fā)展，社會對計算機網(wǎng)絡(luò)的依賴也日益增強，計算機網(wǎng)絡(luò)正在逐步改變?nèi)藗兊墓ぷ鞣绞胶蜕罘绞?。隨著計算機網(wǎng)絡(luò)的開放、共享性擴大，計算機網(wǎng)絡(luò)上出現(xiàn)了電子商務(wù)、網(wǎng)絡(luò)銀行、金融網(wǎng)等，在我國，計算機網(wǎng)絡(luò)的迅速普及短短的幾年中，發(fā)生了多起計算機網(wǎng)絡(luò)進行犯罪的案件，面對危害計算機網(wǎng)絡(luò)的威脅和計算機網(wǎng)絡(luò)安全的重要性，必須采取有力的措施來保證計算機網(wǎng)絡(luò)的安全，這也使得計算機網(wǎng)絡(luò)安全問題越來越重要，網(wǎng)絡(luò)安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策市信息安全保障系統(tǒng)的一個重要部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。因此，本文對計算機網(wǎng)絡(luò)安全技術(shù)進行了初步的探討。2、計算機網(wǎng)絡(luò)安全2.1計算機網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，就是指網(wǎng)絡(luò)系統(tǒng)中流動和保存的數(shù)據(jù)，不受到偶然的或者惡意的破壞、泄露、更改，系統(tǒng)連續(xù)正常的工作，網(wǎng)絡(luò)服務(wù)不中斷。從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。2.2影響計算機網(wǎng)絡(luò)的安全因素網(wǎng)絡(luò)中的主機可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。以上這些影響網(wǎng)絡(luò)安全的隱患都是網(wǎng)絡(luò)系統(tǒng)自身存在的安全弱點和系統(tǒng)在使用管理過程中的失誤或疏漏而導(dǎo)致的。影響網(wǎng)絡(luò)安全的主要因素包括：１）信息泄密。主要表現(xiàn)為網(wǎng)絡(luò)上的信息被竊聽，這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的網(wǎng)絡(luò)侵犯者被稱為消極侵犯者。２）信息被篡改。這是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包，并對之進行更改使之失效，或者故意添加一些有利于自已的信息，起到信息誤導(dǎo)的作用，其破壞作用最大。３）傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信，但禁止其它類型的通信，如允許電子郵件傳輸而禁止文件傳送。４）網(wǎng)絡(luò)資源的錯誤使用。如不合理的資源訪問控制，一些資源有可能被偶然或故意地破壞。５）非法使用網(wǎng)絡(luò)資源。非法用戶登錄進入系統(tǒng)使用網(wǎng)絡(luò)資源，造成資源的消耗，損害了合法用戶的利益。６）環(huán)境影響。自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡(luò)都會產(chǎn)生極大的不良影響。如惡劣的天氣、災(zāi)害、事故會對網(wǎng)絡(luò)造成損害和影響。７）人為安全因素。除了技術(shù)層面上的原因外，人為的因素也構(gòu)成了目前較為突出的安全因素，無論系統(tǒng)的功能是多么強大或者配備了多少安全設(shè)施，如果管理人員不按規(guī)定正確地使用，甚至人為泄露系統(tǒng)的關(guān)鍵信息，則其造成的安全后果是難以估量的。這主要表現(xiàn)在管理措施不完善，安全意識淡薄，管理人員的誤操作等。3、目前主要的網(wǎng)絡(luò)安全策略3.1數(shù)據(jù)加密數(shù)據(jù)加密是網(wǎng)絡(luò)系統(tǒng)中一種比較有效的數(shù)據(jù)保護方式，目的是為了防止網(wǎng)絡(luò)數(shù)據(jù)的篡改、泄露和破壞。通常數(shù)據(jù)加密采用鏈路加密、端端加密、節(jié)點加密和混合加密等方式。鏈路加密是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保密，傳輸數(shù)據(jù)均以密碼的形式在鏈路中傳送，任意一對節(jié)點之間的鏈路上的加密是獨立實現(xiàn)的，可以采用不同的密碼。鏈路加密的算法一般采用序列密碼，可以對報文和報頭同時進行加密，所以鏈路加密掩蓋了被傳輸數(shù)據(jù)源節(jié)點和目標(biāo)節(jié)點的信息。鏈路加密能夠防止搭線竊聽，但由于在中間節(jié)點暴露了信息的內(nèi)容，在互聯(lián)網(wǎng)中鏈路加密是不能實現(xiàn)通信安全的，鏈路加密通常是用硬件實現(xiàn)，但也可以用軟件來實現(xiàn)。端端加密是對源節(jié)點用戶到目標(biāo)節(jié)點用戶的數(shù)據(jù)進行保護，允許源節(jié)點到目標(biāo)節(jié)點的數(shù)據(jù)始終以密文的形式存在，所以端端加密方式更加可靠、易于設(shè)計和實現(xiàn)，端端加密通常是用軟件實現(xiàn)，但也可以用硬件來實現(xiàn)。節(jié)點加密是對源節(jié)點到目標(biāo)節(jié)點的鏈路提供保護，節(jié)點在加密方式上與鏈路加密類似，區(qū)別是在節(jié)點加密方式中，網(wǎng)絡(luò)節(jié)點先把收到的數(shù)據(jù)進行解密，然后采用另一種不同的密鑰進行加密；節(jié)點加密要求報頭和路由信息用明文的形式傳輸，因此這種方式很難防止攻擊者分析通信業(yè)務(wù)。混合加密是采用鏈路加密和端端加密相結(jié)合的混合加密方式，可以有效的保護報頭中的敏感數(shù)據(jù)，獲得更高的安全性。3.2網(wǎng)絡(luò)存取控制網(wǎng)絡(luò)的存取控制就是對網(wǎng)絡(luò)上的用戶進行身份識別，防止非法用戶進入系統(tǒng)，使數(shù)據(jù)泄密或破壞網(wǎng)絡(luò)數(shù)據(jù)。常用的一是身份識別。身份識別是安全系統(tǒng)應(yīng)具備的最基本功能。這是驗證通信雙方身份的有效手段，用戶向其系統(tǒng)請求服務(wù)時，要出示自己的身份證明。而系統(tǒng)應(yīng)具備查驗用戶身份證明的能力，對于用戶的輸入，能夠明確判別該輸入是否來自合法用戶；二是數(shù)字簽名。數(shù)字簽名是采用電子形式的簽名，可以用密碼形式實現(xiàn)，安全性更高。數(shù)字簽名方式可以用單密鑰和雙密鑰體制。單密鑰數(shù)字簽名體制加密和解密使用的密碼密鑰不能公開。雙密鑰數(shù)字簽名體制是兩個用戶登記公開密鑰，作為對方驗證簽名的依據(jù)之一，用戶雙方都有自己的保密密鑰，可以對發(fā)送的數(shù)據(jù)保密。三是存取權(quán)限控制。其基本任務(wù)是防止非法用戶進入系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法使用。四是災(zāi)難恢復(fù)策略。備份策略是網(wǎng)絡(luò)系統(tǒng)最常用的災(zāi)難恢復(fù)策略，對于服務(wù)器上的數(shù)據(jù)，管理人員應(yīng)經(jīng)常備份。備份可以采用本機上備份，也可以采用網(wǎng)絡(luò)備份。備份要經(jīng)常進行，盡量遠離服務(wù)器，在其他房間單獨存放，以免由于盜竊、火災(zāi)等原因?qū)е聜浞莸臄?shù)據(jù)丟失。4、防火墻技術(shù)分析網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。目前的防火墻產(chǎn)品只要有堡壘主機、包過濾路由器、應(yīng)用層關(guān)網(wǎng)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻目前保護網(wǎng)絡(luò)免費遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其他途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。自從1986年美國Digital公司在internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到飛速發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)安全技術(shù)范疇。在這一層上，基業(yè)對安全系統(tǒng)提出的問題是：所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)？如果答案是“是”，則說明企業(yè)內(nèi)部網(wǎng)還沒與偶在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然那個理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻茶農(nóng)正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。根據(jù)防火墻所采用不同技術(shù)，可以將它分為四種類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換－NAT、應(yīng)用代理型、狀態(tài)檢測型。4.1包過濾型包過濾型防火墻工作在ＯＳＩ參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過，只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地，其余數(shù)據(jù)包則被數(shù)據(jù)流阻擋丟棄。包過濾的優(yōu)點是：一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高。缺點：只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；不能防范黑客攻擊，不支持應(yīng)用層協(xié)議，不能處理新的安全威脅。4.2網(wǎng)絡(luò)地址轉(zhuǎn)換－ＮＡＴ網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ＩＰ地址轉(zhuǎn)換成臨時的外部的、注冊的ＩＰ地址標(biāo)準(zhǔn)，用戶必須要為網(wǎng)絡(luò)中每一臺機器取得注冊的ＩＰ地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的ＩＰ地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。4.3應(yīng)用代理型防火墻應(yīng)用代理型防火墻是工作在ＯＳＩ的最高層即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。應(yīng)用代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。4.4狀態(tài)檢測型狀態(tài)檢測型防火墻采用的一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這種動態(tài)連接表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。狀態(tài)檢測型防火墻與前幾種防火墻技術(shù)相比，它具有高安全性、高效性、可伸縮性和擴展性以及應(yīng)用范圍廣的優(yōu)點。缺點是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多種連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。5、結(jié)束語計算機網(wǎng)絡(luò)安全是關(guān)系國家安全和社會的穩(wěn)定的重要問題，也是一個涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)等多種學(xué)科的科學(xué)問題。隨著信息電子化的發(fā)展、網(wǎng)絡(luò)的快速、普及，電子商務(wù)、金融電子化也得到了很快的發(fā)展，與此同時給人們帶來了許多安全上的新課題，大量事實表明確保計算機網(wǎng)絡(luò)安全刻不容緩，因此本文對計算機網(wǎng)絡(luò)安全技術(shù)發(fā)展的初步探討和對防火墻技術(shù)的闡述，對于計算機網(wǎng)絡(luò)安全具有一定參考意義?？傊?，由于網(wǎng)絡(luò)安全的威脅是多方面的，所以單純依靠某一種防火墻技術(shù)來實現(xiàn)完全保護是很困難的，只有將防火墻技術(shù)和其它網(wǎng)絡(luò)