資源描述:
《網(wǎng)絡(luò)安全問題的探討與展望new》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、2001年第4期湖南電力第21卷計算機與網(wǎng)絡(luò)網(wǎng)絡(luò)安全問題的探討與展望劉俊峰李雪玲曹順安武漢大學(xué)(湖北武漢430072)摘要隨著Internet的日益發(fā)展,網(wǎng)絡(luò)安全問題也日漸突出。圍繞計算機網(wǎng)絡(luò)安全問題系統(tǒng)介紹了網(wǎng)絡(luò)安全策略,分析了主要的網(wǎng)絡(luò)安全技術(shù),包括防火墻和數(shù)據(jù)加密等。關(guān)鍵詞網(wǎng)絡(luò)安全防火墻私用密鑰公用密鑰隨著Internet的日益發(fā)展,每個上網(wǎng)用戶都可過濾型(PacketFilter)、代理服務(wù)型(Proxy以通過www、FIP和Telnet實現(xiàn)網(wǎng)絡(luò)資源的共享,Server)和復(fù)合型等。但由于計算機
2、系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱路由器之間通過諸如RIP和OSPF的路由發(fā)性,構(gòu)成了對計算機網(wǎng)絡(luò)系統(tǒng)潛在的威脅,所以安現(xiàn)協(xié)議相互通信并在內(nèi)存中建立路由表。當路由器全問題也就自然成了當今網(wǎng)絡(luò)發(fā)展中的熱門話題。接收和發(fā)送數(shù)據(jù)包時,它將數(shù)據(jù)包的目的地址與路在網(wǎng)絡(luò)安全的實現(xiàn)技術(shù)中,包括修補網(wǎng)絡(luò)漏洞、由表的入口地址相比較,并依據(jù)路由表來發(fā)送此包。認證、加密、防火墻、安全協(xié)議及法律手段。下面代理服務(wù)等效于一個網(wǎng)絡(luò)傳輸層的數(shù)據(jù)轉(zhuǎn)發(fā)器,將以防火墻和數(shù)據(jù)加密為例詳細介紹網(wǎng)絡(luò)安全體系的被保護的網(wǎng)絡(luò)內(nèi)部拓撲結(jié)構(gòu)和主機資源隱藏
3、起來,實現(xiàn)。它充當應(yīng)用程序的網(wǎng)關(guān)。包過濾是一種保安機制,由于包過濾是基于IP實現(xiàn)的,因而不能在網(wǎng)絡(luò)高層1防火墻(如應(yīng)用層)進行過濾,即不能鑒別用戶身份的真?zhèn)文壳皯?yīng)用較廣。它是一種被動式防御訪問控制和對通信進行監(jiān)視統(tǒng)計,同時,過濾規(guī)則的合理性技術(shù)。是通過在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)檢驗很難正確實施,安全性能較差。來實現(xiàn)其功能的。防火墻通常位于內(nèi)部網(wǎng)和外部網(wǎng)防火墻的典型結(jié)構(gòu)有3種:雙址主機型(Dual2之間。它用來防止外部非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源homedHost)、主機過濾型(Screened2Hos
4、t)和子網(wǎng)和內(nèi)部網(wǎng)絡(luò)用戶非法向外部網(wǎng)傳遞信息。在網(wǎng)絡(luò)數(shù)過濾型(Screened2Subnet)。雙址主機位于內(nèi)部網(wǎng)和據(jù)通信中起著“海關(guān)屏障”的作用。防火墻系統(tǒng)本外部網(wǎng)之間。是內(nèi)外數(shù)據(jù)通信的唯一屏障,故存在身具有很強的防御各種進攻和滲透的能力。路由器單點失效的問題。系統(tǒng)可以通過冗余措施來解決。主具有優(yōu)化選路功能,它可以為數(shù)據(jù)報選擇安全通路,機過濾結(jié)構(gòu)是由一個屏蔽路由器和一個堡壘主機構(gòu)起到防火墻的作用,但廣義防火墻決不僅僅是路由成。任何對內(nèi)部網(wǎng)資源的訪問都必須通過堡壘主機器、堡壘主機等網(wǎng)絡(luò)安全的簡單疊加,它
5、還是安全才能完成。子網(wǎng)過濾是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建策略和安全行為的一個部分。離開安全策略談防火一隔離網(wǎng),它的結(jié)構(gòu)由2個屏蔽路由器和一個堡壘墻將毫無意義。主機構(gòu)成。它們的結(jié)構(gòu)原理分別如圖1~圖3。防火墻技術(shù)一般分為2類:網(wǎng)絡(luò)級和應(yīng)用級。網(wǎng)絡(luò)級主要是用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。通過檢查IP數(shù)據(jù)包頭信息(如源IP地址、目的IP地址等標志參數(shù)),根據(jù)一定的過濾規(guī)則來決定是否允許IP數(shù)據(jù)包通過。應(yīng)用級是從應(yīng)用程序來進行存取控制。如代理服務(wù)器允許訪問Http應(yīng)用,而禁止訪問E2mail應(yīng)用。比較成熟的防火
6、墻技術(shù)有包·20·?1994-2010ChinaAcademicJournalElectronicPublishingHouse.Allrightsreserved.http://www.cnki.net第21卷劉俊峰等:網(wǎng)絡(luò)安全問題的探討與展望2001年第4期2數(shù)據(jù)加密同,端到端加密超出了通信子網(wǎng)的范圍,因此要在與防火墻的被動防御相反,數(shù)據(jù)加密則是一種傳輸層或其以上各層來實現(xiàn)。這樣就使端到端加密主動安全防御策略,用很小的代價可以為信息提供的層次選擇有一定的靈活性。在端到端加密的情況相當大的安全防護。加
7、密,即將網(wǎng)絡(luò)中傳輸?shù)男畔⑾?PDU的控制信息部分(如源節(jié)點地址、目的節(jié)用一定的加密算法使之由明文(PlainText)變成密點地址、路由信息等)不能被加密,否則中間節(jié)點文(CipherText),然后通過網(wǎng)絡(luò)傳輸,到達目的網(wǎng)就不能正確選擇路由。這就容易受到通信量分析的點后,再將密文還原成明文,此過程稱為解密。數(shù)攻擊。有時采用報文填充(發(fā)送假的PDU來掩蓋有據(jù)加密是實現(xiàn)分布式系統(tǒng)和網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全的意義的報文流動)的方法進行防范,但是,這將使重要手段之一。在OSI7層結(jié)構(gòu)中,除了會話層以網(wǎng)絡(luò)的性能大大降
8、低。端到端加密實現(xiàn)的難點在于外,均可以進行一定程度的加密,但習(xí)慣上是在最密鑰的管理復(fù)雜,主要應(yīng)用于大型網(wǎng)絡(luò)系統(tǒng)中。高層上進行。根據(jù)加密技術(shù)應(yīng)用的邏輯位置可以將3加密技術(shù)及其算法加密分為2種方式:2.1鏈路加密3.1私用(Private)密鑰加密通常將網(wǎng)絡(luò)層以下的加密稱為鏈路加密。它可發(fā)送方和接收方用統(tǒng)一的密鑰分別進行加密和以有效地保護通信鏈路上節(jié)點間的數(shù)據(jù)不被非法破解密工作。這種加密技術(shù)的優(yōu)點是加密速度快、數(shù)壞。加密過程是由置于節(jié)點間的加密