網(wǎng)絡(luò)安全技術(shù)的研究

摘要:該文系統(tǒng)地介紹了網(wǎng)絡(luò)安全的概念。對安全協(xié)議的基本原理，主要特點(diǎn)進(jìn)行了較為深入的研究，并就網(wǎng)絡(luò)的安全性問題剖析了三種安全協(xié)議:IPsec協(xié)議、SLL協(xié)議和SET協(xié)議。并討論了計(jì)算機(jī)網(wǎng)絡(luò)面臨的各種安全威脅;內(nèi)部網(wǎng)絡(luò)的安全問題是每個(gè)建網(wǎng)單位面臨的最大問題，可以認(rèn)為防火墻技術(shù)是解決網(wǎng)絡(luò)安全的一個(gè)主要手段，該文研究了防火墻的原理及其實(shí)現(xiàn)手段;作為一種主動的防御措施，入侵檢測系統(tǒng)(IDS)作為網(wǎng)絡(luò)系統(tǒng)安全的重要組成部分，得到了廣泛的重視，IDS對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)，不僅檢測來自外部的入侵行為，也監(jiān)督內(nèi)部用戶的未授權(quán)活動:虛擬專用網(wǎng)(CVPN)技術(shù)的出現(xiàn)，為實(shí)現(xiàn)網(wǎng)絡(luò)間的連接提供了快速安全但又相對便宜的手段，較深入地探討了實(shí)現(xiàn)VPN的隧道技術(shù)，并對VPN的概念、功能、實(shí)現(xiàn)途徑、基本構(gòu)成、關(guān)鍵技術(shù)及發(fā)展前景等問題進(jìn)行了全面論述。

關(guān)鍵詞:網(wǎng)絡(luò)入侵;入侵檢測系統(tǒng);信息安全

中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)35-9947-05

Network Safety Technology Research

ZHENG Xiao-xia

(The Basis of Teaching and Research， Dezhou Vocational and Technical College， Dezhou 253000， China)

Abstract: With the rapid development of networks， network information security problems are exposed. In this paper， the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis， the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words: network intrusion; intrusion detection systems; information security

1 前言

1.1 因特網(wǎng)的發(fā)展及其安全問題

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入，網(wǎng)絡(luò)安全問題變得日益復(fù)雜和突出。網(wǎng)絡(luò)的資源共享、信息交換和分布處理提供了良好的環(huán)境，使得網(wǎng)絡(luò)深入到社會生活的各個(gè)方面，逐步成為國家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會生活的支柱。這一方面提高了工作效率，另一方面卻由于自身的復(fù)雜性和脆弱性，使其受到威脅和攻擊的可能性大大增加。眾所周知，因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò)，它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時(shí)因特網(wǎng)也是世界上最開放的系統(tǒng)，任何地方的電腦，只要遵守共同的協(xié)議即可加入其中。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣，資源共享程度高。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性，系統(tǒng)的通用性，無政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時(shí)，也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越發(fā)展，對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙，越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展，另一方面也正是這種開放性以及計(jì)算機(jī)本身安全的脆弱性，導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞。可以說，網(wǎng)絡(luò)安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以，網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起，成為組建、運(yùn)行網(wǎng)絡(luò)不可忽視的問題。

1.2 我國網(wǎng)絡(luò)安全現(xiàn)狀及其相關(guān)法律與制度

1.2.1 我國網(wǎng)絡(luò)安全現(xiàn)狀

2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑，說明了政府高度重視網(wǎng)絡(luò)安全問題。目前，國家依據(jù)信息化建設(shè)的實(shí)際情況，制訂了一系列法律文件和行政法規(guī)、規(guī)章，為我國信息化建設(shè)的發(fā)展與管理起到了有利的促進(jìn)和規(guī)范作用，為依法規(guī)范和保護(hù)我國信息化建設(shè)健康有序發(fā)展提供了有利的法律依據(jù)。

1.2.2 我國網(wǎng)絡(luò)安全相關(guān)法律與原則

2003年中辦下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》是目前我國信息安全保障方面的一個(gè)綱領(lǐng)性文件。

我國網(wǎng)絡(luò)信息安全立法的原則

1)國家利益原則。當(dāng)今天信息已成為社會發(fā)展的重要戰(zhàn)略資源，信息安全成為維護(hù)國家安全和社會穩(wěn)定的一個(gè)焦點(diǎn)。信息安全首先要體現(xiàn)國家利益原則。

2)一致性原則。要與在我國現(xiàn)行法律和國際法框架下制定的法律法規(guī)相一致，避免重復(fù)立法和分散立法，增強(qiáng)立法的協(xié)調(diào)性，避免立法的盲目性、隨意性和相互沖突。

3)發(fā)展的原則。信息安全立法既要考慮規(guī)范行為，又要考慮促進(jìn)我國國民經(jīng)濟(jì)和社會信息化的發(fā)展。

4)可操作性原則。要對現(xiàn)實(shí)有針對性，對實(shí)踐有指導(dǎo)性。

5)優(yōu)先原則。急需的先立法、先實(shí)施，如信息安全等級保護(hù)、信息安全風(fēng)險(xiǎn)評估、網(wǎng)絡(luò)信任、信息安全監(jiān)控、信息安全應(yīng)急處理等方面要加緊立法。

2 網(wǎng)絡(luò)安全協(xié)議

2.1 網(wǎng)絡(luò)安全協(xié)議對維護(hù)網(wǎng)絡(luò)安全的作用

Internet的開放式信息交換方式使其網(wǎng)絡(luò)安全具有脆弱性，而實(shí)現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。目前幾乎網(wǎng)絡(luò)的各個(gè)層次都指定了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，網(wǎng)絡(luò)安全協(xié)議可很好的保護(hù)信息在網(wǎng)絡(luò)中傳播。在安全領(lǐng)域，一種“安全協(xié)議”被定義為“一種控制計(jì)算機(jī)間數(shù)據(jù)傳輸?shù)陌踩^程。

2.1.1 第二層隧道協(xié)議(L2TP)

第2層隧道協(xié)議(L2TP)是點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)的一個(gè)擴(kuò)展，L2TP數(shù)據(jù)包在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口1701進(jìn)行交換。ISP使用L2TP來建立VPN解決方案，使用該方案，用戶可以在載波網(wǎng)絡(luò)中更多地利用VPN的優(yōu)點(diǎn)。由于L2TP符合國際標(biāo)準(zhǔn)，因此不同開發(fā)商所開發(fā)的L2TP設(shè)備的協(xié)同能力大大增強(qiáng)。L2TP VPN已經(jīng)成為提供商使用的產(chǎn)品。在裝有Cisco的網(wǎng)絡(luò)中，端到端的服務(wù)質(zhì)量(QoS)可以通過QoS技術(shù)的使用來保證IPSec負(fù)責(zé)數(shù)據(jù)加密，它同樣也是一種國際標(biāo)準(zhǔn)。IPSec對每個(gè)數(shù)據(jù)包的數(shù)據(jù)進(jìn)行初始認(rèn)證、數(shù)據(jù)完整性檢測、數(shù)據(jù)回放保護(hù)以及數(shù)據(jù)的機(jī)密性保護(hù)。從設(shè)計(jì)上來看，L2TP支持多協(xié)議傳輸環(huán)境，它能夠使用任何路由協(xié)議進(jìn)行傳輸，包括IP、IPX以及AppleTalk。同時(shí)，L2TP也支持任何廣域網(wǎng)傳送技術(shù)，包括幀中繼、ATM、X.25或SONET，它還能夠支持各種局域網(wǎng)媒質(zhì)，如以太網(wǎng)、快帶以太網(wǎng)、令牌環(huán)以及FDDI。L2TP使用因特網(wǎng)及其網(wǎng)絡(luò)連接以使得終端能夠頒布在各個(gè)不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec，IPSec可以為連接提供機(jī)密性、數(shù)據(jù)包的認(rèn)，以及保護(hù)控制信息和數(shù)據(jù)包不被重新發(fā)送。

2.1.2 IPSec的技術(shù)優(yōu)勢:

為數(shù)據(jù)的安全傳輸提供了身份驗(yàn)證、完整性、機(jī)密性等措施，另外它的查驗(yàn)和安全性功能與它的密鑰管理系統(tǒng)相連。因此，如果未來的密鑰管理系統(tǒng)發(fā)生變化時(shí)，IPSec的安全機(jī)制不需要進(jìn)行修改。當(dāng)IPSec用于VPN網(wǎng)關(guān)時(shí)，就可以建立虛擬專用網(wǎng)。在VPN網(wǎng)關(guān)的連內(nèi)部網(wǎng)的一端是一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，另一端則是不安全的外部公共網(wǎng)絡(luò)。兩個(gè)這樣的VPN網(wǎng)關(guān)建立起一個(gè)安全通道，數(shù)據(jù)就可以通過這個(gè)通道從一個(gè)本地的保護(hù)子網(wǎng)發(fā)送到一個(gè)遠(yuǎn)程的保護(hù)子網(wǎng)，這就形成了一條VPN。在這個(gè)VPN中，每一個(gè)具有IPSec的VPN網(wǎng)關(guān)都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn)，試圖對VPN進(jìn)行通信分析將會失敗。

目的是VPN的所有通信都經(jīng)過網(wǎng)關(guān)上的SA來定義加密或認(rèn)證的算法和密鑰等參數(shù)，即從VPN的一個(gè)網(wǎng)關(guān)出來的數(shù)據(jù)包只要符合安全策略，就會用相應(yīng)的SA來加密或認(rèn)證(加上AH或ESP報(bào)頭)。整個(gè)安全傳輸過程由IKE控制，密鑰自動生成，所有的加密和解密可由兩端的網(wǎng)關(guān)代理，對保護(hù)子網(wǎng)內(nèi)的用戶而言整個(gè)過程都是透明的。

2.2 安全Shell(SSH)

安全Shell或者SSJ常用于遠(yuǎn)程登錄系統(tǒng)，和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區(qū)別是:SSH大大加強(qiáng)了其連接的安全性。SSH是一個(gè)應(yīng)用程序，它為不可靠的、存在潛在危險(xiǎn)的網(wǎng)絡(luò)(如因特網(wǎng))上的兩臺主機(jī)提供了一個(gè)加密的通信路徑。因此，SSH防止了用戶口令及其他敏感數(shù)據(jù)以明文方式在網(wǎng)絡(luò)中傳輸。SSH解決了在因特網(wǎng)中最重要的安全問題:黑客竊取或破解口令的問題。

SSH拒絕數(shù)據(jù)IP欺騙攻擊，保證能夠是哪臺主機(jī)發(fā)送了該數(shù)據(jù)。加密數(shù)據(jù)包，用以防止其他中間主機(jī)截取明文口令及其他數(shù)據(jù)。IP源路由選擇，可以防止某臺主機(jī)偽裝它的上IP數(shù)據(jù)包來源于另一臺可信主機(jī)。避免數(shù)據(jù)包傳送路徑上控制其他裝置的人處理數(shù)據(jù)。SSH給安全領(lǐng)域帶來一個(gè)很有趣的功能:即使用隧道的SSH技術(shù)轉(zhuǎn)發(fā)某些數(shù)據(jù)包。FTP協(xié)議和X Windows協(xié)議都采用了這一功能。這中轉(zhuǎn)發(fā)功能使SSH能夠利用其他一些協(xié)議來控制主機(jī)終端與SSH連接的操作。你可能認(rèn)為通過SSH連接的隧道將是一個(gè)很不錯(cuò)的VPN選擇，但事實(shí)并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術(shù)，因?yàn)檫@是一種很安全的連接發(fā)?？傊?，SSH是一個(gè)比較滸、用于加密網(wǎng)絡(luò)TCP會話的工具，它最常用于遠(yuǎn)程登錄以及增加網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)安全技術(shù)

3.1 使用網(wǎng)絡(luò)安全技術(shù)的意義

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地?cái)[在各類用戶的面前。據(jù)統(tǒng)計(jì)資料表明，目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)受過黑客的困擾。盡管黑客如此猖獗，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn)，這一點(diǎn)從大約有40%以上的用戶，特別是企業(yè)級用戶沒有安裝防火墻便可以窺見一斑，而所有的問題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻引發(fā)的。

3.2 防火墻

防火墻(Firewall )技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一，也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，可有效地保證網(wǎng)絡(luò)安全。它是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動，保證內(nèi)部網(wǎng)絡(luò)的安全。

3.2.1 防火墻的種類

第一:從防火墻產(chǎn)品形態(tài)分類，防火墻可分為3種類型:

1)軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說，這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)，俗稱“個(gè)人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

2)硬件防火墻

硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，它們都基于PC架構(gòu)，也就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的UNIX、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS(操作系統(tǒng))本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)(非軍事化區(qū))，現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見的四端防火墻一般將第4個(gè)端口作為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

3)芯片級防火墻

芯片級防火墻基于專門的硬件平臺及專用的操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng))，因此防火墻本身的漏洞比較少，不過價(jià)格相對比較高昂。

第二:從防火墻所采用的技術(shù)不同，可分為包過濾型、代理型和監(jiān)測型三大類型。

1)包過濾型

是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的他包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。優(yōu)點(diǎn)是:簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境簡單的情況下能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。缺點(diǎn)是:只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入。

2)代理型

“代理型”防火墻也可以稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始實(shí)行向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機(jī)。監(jiān)測型

3)監(jiān)測型

“監(jiān)測型”防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻對各層的數(shù)據(jù)進(jìn)行主動、實(shí)時(shí)的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，臨測型防火墻有效地判斷出各層中的非法侵入。同時(shí)，這種檢測型防火墻產(chǎn)品一般還帶有分布式探器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)之中，不僅檢測來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用

第三:從網(wǎng)絡(luò)體系結(jié)構(gòu)來進(jìn)行分類，可以將防火墻分為以下4種類型:

1)網(wǎng)絡(luò)級防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議，以及每個(gè)IP包的端口來做出通過與否的判斷。網(wǎng)絡(luò)級防火墻簡潔、速度快、費(fèi)用低，并且對用戶透明，但是對網(wǎng)絡(luò)的保護(hù)有限，因?yàn)樗粰z查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。

2)應(yīng)用級網(wǎng)關(guān)

也稱“代理型”防火墻，它檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級防火墻。

3)電路級網(wǎng)關(guān)

用來監(jiān)近代受信任的客戶機(jī)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來決定該會話是否合法，電路級網(wǎng)關(guān)在OSI模型中會話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。另外，電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)換功能，將所有內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的。但是，作為電路級網(wǎng)關(guān)也存在著一睦缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會話層工作的，它就無法檢查應(yīng)用層級的數(shù)據(jù)包。

4)規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查聞訊火墻大OSI網(wǎng)絡(luò)層上通過IP地址和端口號，過濾進(jìn)出的數(shù)據(jù)包?？梢栽贠SI應(yīng)用層下檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級網(wǎng)關(guān)的是，它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與旅游區(qū)在用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。

第四:從防火墻的應(yīng)用部署位置來分，可將防火墻分為3種類型

1)邊界防火墻

這是最為傳統(tǒng)的那種，它們位于內(nèi)、外部網(wǎng)絡(luò)的邊蜀，所起的作用是對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價(jià)格較貴，性能較好。

2)個(gè)人防火墻

安裝于單臺主機(jī)中，防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)于廣大的個(gè)人用戶，價(jià)格最便宜，性能也最差。

3)混合式防火墻

也可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

3.2.2 防火墻中的關(guān)鍵技術(shù)

在實(shí)現(xiàn)防火墻的眾多技術(shù)中，如下技術(shù)是其實(shí)現(xiàn)的關(guān)鍵技術(shù):

3.2.2.1 包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢蒙蠈?shù)據(jù)包實(shí)施有選擇的過濾。采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾，根據(jù)所檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。

優(yōu)點(diǎn):采用包過濾技術(shù)的包過濾防火墻具有明顯的優(yōu)點(diǎn)，

1)一個(gè)過濾由器協(xié)助防護(hù)整個(gè)網(wǎng)絡(luò)

2)數(shù)據(jù)包過濾對用戶透明

3)包過濾路由器速度快、效率高

缺點(diǎn):通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個(gè)缺點(diǎn)。沒有一定的經(jīng)驗(yàn)，是不可能將過濾規(guī)則配置得完美的。

3.2.2.2 應(yīng)用代理技術(shù)

代理技術(shù)是針對每一個(gè)特定應(yīng)用服務(wù)的控制。它作用于應(yīng)用層。其具有狀態(tài)性的特點(diǎn)，能提供部分與傳輸有關(guān)的狀態(tài)，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。提供代理服務(wù)的可以是一臺雙宿網(wǎng)關(guān)，也可以是一臺保壘主機(jī)。

3.2.2.3 狀態(tài)檢查技術(shù)

狀態(tài)檢查技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，是一種在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能的技術(shù)。它是在應(yīng)用層實(shí)現(xiàn)防火墻的功能，針對每一個(gè)特定應(yīng)用進(jìn)行檢驗(yàn)。代理服務(wù)不允許直接與真正的服務(wù)通信，而是與代理服務(wù)器通信(用戶的默認(rèn)網(wǎng)關(guān)指向代理服務(wù)器)。各個(gè)應(yīng)用代理在用戶和服務(wù)之間處理所有的通信。

優(yōu)點(diǎn):1)代理易于配置。2)代理能生成各項(xiàng)記錄。3)代理能靈活、完全地控制進(jìn)出信息。4)代理能過濾數(shù)據(jù)內(nèi)容。

缺點(diǎn):1)代理速度比路由器慢。2)代理對用戶不透明。3)對于每項(xiàng)服務(wù)，代理可能要求不同的服務(wù)器。4)代理服務(wù)通常要求對客戶或過程進(jìn)行限制。5)代理服務(wù)受協(xié)議弱點(diǎn)的限制。6)代理不能改進(jìn)底層協(xié)義的安全性。

3.2.2.4 地址轉(zhuǎn)換技術(shù)

地址轉(zhuǎn)換技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替。它主要應(yīng)用于兩個(gè)方面，其一是網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)的IP地址。其二是內(nèi)部網(wǎng)的IP地址是無效的。在此情況下，外部網(wǎng)不能訪問內(nèi)部網(wǎng)，而內(nèi)部網(wǎng)之間主機(jī)可以互助訪問。

3.2.2.5 內(nèi)容檢查技術(shù)

內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控，以確保數(shù)據(jù)流的安全。它是一個(gè)利用智能方式來分析數(shù)據(jù)，使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組合。

3.3 網(wǎng)絡(luò)入侵檢測

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜，網(wǎng)絡(luò)攻擊方式的不斷翻新。網(wǎng)絡(luò)系統(tǒng)的安全管理，是一個(gè)非常復(fù)檢錄煩瑣的事情。入侵檢測技術(shù)和漏洞掃描技術(shù)通過從目標(biāo)系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞，甚至實(shí)時(shí)地對攻擊做了反應(yīng)。入侵檢測系統(tǒng)和入侵保護(hù)系統(tǒng)是防火墻極其有益的補(bǔ)充，它能對非法入侵行為進(jìn)行全面的臨測和防護(hù)。在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。入侵檢測技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供針對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，大大提高了網(wǎng)絡(luò)的安全性。

3.3.1 入侵檢測系統(tǒng)技術(shù)

入侵檢測系統(tǒng)技術(shù)可以采用概率統(tǒng)計(jì)方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、模式匹配、行為分析等來實(shí)現(xiàn)入侵檢測系統(tǒng)的檢測機(jī)制，以分析事件的審計(jì)記錄、識別特定的模式、生成檢測報(bào)告和最終的分析結(jié)果。

3.3.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的核心就是通過對系統(tǒng)數(shù)據(jù)的分析，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進(jìn)行組合便是入侵檢測系統(tǒng)。與其他安全產(chǎn)品不同的是入侵檢測系統(tǒng)需要更多的智能必須可以對得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果，一個(gè)合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。其實(shí)，入侵檢測系統(tǒng)是一個(gè)曲型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口，無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動地、無聲無息地收集它所關(guān)心的報(bào)文即可。

3.4 虛擬專用網(wǎng)(VPN)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)之一。所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)絡(luò)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公有網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)絡(luò)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。IETF草案理解基于IP的VPN為:“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”，通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。

一個(gè)典型VPN的組成部分如圖1所示。

圖1各個(gè)組件作用如下:VPN服務(wù)器:接受來自VPN客戶機(jī)的連接請求。VPN客戶機(jī):可以是終端計(jì)算機(jī)也可以是路由器。隧道:數(shù)據(jù)傳輸通道，在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。VPN連接:在VPN連接中，數(shù)據(jù)必須經(jīng)過加密。隧道協(xié)議:封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。傳輸數(shù)據(jù):經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò):如Internet，也可以是其他共享網(wǎng)絡(luò)。

3.5 訪問控制的概念

訪部控制是通過一個(gè)參考監(jiān)視器，在每一次用戶對系統(tǒng)目標(biāo)進(jìn)行訪問時(shí)，都由它來調(diào)節(jié)，包括限制合法用戶的行為。訪問控制是信息安全保障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體(或稱為發(fā)起者，是一個(gè)主動的實(shí)體;如用戶、進(jìn)程、服務(wù)等)，對訪問客體(需要保護(hù)的資源)的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么，及做到什么程度。所有的操作系統(tǒng)都支持訪問控制。

訪問控制的兩個(gè)重要過程:1)通過鑒別(authentication)來檢驗(yàn)主體的合法身份:2)通過授權(quán)(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數(shù)據(jù)，更改數(shù)據(jù)，運(yùn)行程序，發(fā)起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數(shù)據(jù);2)運(yùn)行可執(zhí)行文件;3)發(fā)起網(wǎng)絡(luò)連接等。

3.5.1 訪問控制應(yīng)用類型

根據(jù)應(yīng)用環(huán)境的不同，訪問控制主要有以下三種:1)網(wǎng)絡(luò)訪問控制;2)主機(jī)、操作系統(tǒng)訪問控制;3)應(yīng)用程序訪問控制。由于本文討論的主要為網(wǎng)絡(luò)中的訪問控制。所以主機(jī)、操作系統(tǒng)的訪問控制

及應(yīng)用程序的訪問控制在這里就不做討論。網(wǎng)絡(luò)訪問控制機(jī)制應(yīng)用在網(wǎng)絡(luò)安全環(huán)境中，主要是限制用戶可以建立什么樣的連接以及通過網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù)，這就是傳統(tǒng)的網(wǎng)絡(luò)防火墻。此外，加密的方法也常被用來提供實(shí)現(xiàn)訪問控制。

3.5.2 強(qiáng)制訪問控制(MAC)

強(qiáng)制訪問控制與自主訪問控制因?qū)崿F(xiàn)的基本理念不同，訪問控制可分為強(qiáng)制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護(hù)系統(tǒng)確定的對象，對此對象用戶不能進(jìn)行更改。也就是說，系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制，用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?。這樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標(biāo)簽，訪問控制機(jī)制通過比較安全標(biāo)簽來確定的授予還是拒絕用戶對資源的訪問。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級劃分，所以經(jīng)常用于軍事用途。在強(qiáng)制訪問控制系統(tǒng)中，所有主體(用戶，進(jìn)程)和客體(文件，數(shù)據(jù))都被分配了安全標(biāo)簽，安全標(biāo)簽標(biāo)識一個(gè)安全等級。主體(用戶，進(jìn)程)被分配一個(gè)安全等級，客體(文件，數(shù)據(jù))也被分配一個(gè)安全等級。訪問控制執(zhí)行時(shí)對主體和客體的安全級別進(jìn)行比較。

用一個(gè)例子來說明強(qiáng)制訪問控制規(guī)則的應(yīng)用，如WEB服務(wù)以“秘密”的安全級別運(yùn)行。例如WEB服務(wù)器被攻擊，攻擊者在目標(biāo)系統(tǒng)中以“秘密”的安全級別進(jìn)行操作，他將不能訪問系統(tǒng)中安全級為“機(jī)密”及“高密”的數(shù)據(jù)。

4 網(wǎng)絡(luò)安全策略

4.1 網(wǎng)絡(luò)安全系統(tǒng)策略

從根本意義上講，絕對安全的網(wǎng)絡(luò)是不可能有的。只要使用，就或多或少地存在安全問題。我們在探討安全問題的時(shí)候，實(shí)際上是指一定程度的網(wǎng)絡(luò)安全。一般說來，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)的開放性、便利性和靈活性為代價(jià)的。計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，國際上普遍認(rèn)為:它不僅涉及到技術(shù)、設(shè)備、人員管理等范疇，還應(yīng)該依法律規(guī)范作保證，只有各方面結(jié)合起來，相互彌補(bǔ)，不斷完善，才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息安全。這里僅從技術(shù)的角度探討網(wǎng)絡(luò)信息安全的對策。

4.2 網(wǎng)絡(luò)安全系統(tǒng)策略的制定

4.2.1 物理安全策略

物理安全的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊;防止用戶越權(quán)操作;確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度，防止非法進(jìn)入控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題。

4.2.2 數(shù)據(jù)鏈層路安全策略

數(shù)據(jù)鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽，主要采用劃分VLAN(虛擬局域網(wǎng))、加密通信(遠(yuǎn)程網(wǎng))等手段。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。

4.2.3 網(wǎng)絡(luò)層安全策略

網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免攔截或監(jiān)聽。用于解決網(wǎng)絡(luò)層安全性問題的主要有防火墻和VPN(虛擬專用網(wǎng))。防火墻是在網(wǎng)絡(luò)邊界上通過建立起惡報(bào)相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。

4.2.4 遵循“最小授權(quán)”策略

“最小授權(quán)”原則指網(wǎng)絡(luò)中帳號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的帳號等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。

4.2.5 建立并嚴(yán)格執(zhí)行規(guī)章制度的策略

在網(wǎng)絡(luò)安全中，除了采用技術(shù)措施之外，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。一般來說，安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往會作出讓步，或許正是由于一個(gè)細(xì)微的讓步，最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。因此，嚴(yán)格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運(yùn)行的重要保障。

5 結(jié)論

當(dāng)前，如何確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是任何一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)者和管理者都極為關(guān)心的熱點(diǎn)。由于因特網(wǎng)協(xié)議的開放性，使得計(jì)算機(jī)網(wǎng)絡(luò)的接入變得十分容易。正是在這樣得背景下，能夠威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全的因素就非常多。因此，人們研究和開發(fā)了各種安全技術(shù)和手段，努力構(gòu)建一種可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。這種安全系統(tǒng)的構(gòu)建實(shí)際上就是針對己經(jīng)出現(xiàn)的各種威脅(或者是能夠預(yù)見的潛在威脅)，采用相應(yīng)的安全策略與安全技術(shù)解除這些威脅對網(wǎng)絡(luò)的破壞的過程。當(dāng)然，隨著計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)大，威脅網(wǎng)絡(luò)安全因素的變化使得這個(gè)過程是一個(gè)動態(tài)的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng)，人們力圖建立的只能是一個(gè)動態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動態(tài)加靜態(tài)的防御，本文首先從多個(gè)角度研究了計(jì)算機(jī)網(wǎng)絡(luò)的安全性，針對各種不同的威脅與攻擊研究了解決它們的相應(yīng)安全技術(shù)與安全協(xié)議。接下來，在一般意義下制定計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的策略與原則，提出了計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)模型。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。從技術(shù)角度來講，計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面，網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)快速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。另一方面，在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí)，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。除了網(wǎng)絡(luò)安全技術(shù)，還要強(qiáng)調(diào)網(wǎng)絡(luò)安全策略和管理手段的重要性。只有做到這些的綜合，才能確保網(wǎng)絡(luò)安全。本文盡管對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了較深入的研究。但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就象是“矛”和“盾”的關(guān)系一樣，沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的，但在具體的折中方法上就有大量的研究及實(shí)驗(yàn)工作可做。由于本文作者水平有限以及時(shí)間有限等的原因，本文的折中是有進(jìn)一步研究和改進(jìn)的必要的?？傊?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是個(gè)永無止境的研究課題。

參考文獻(xiàn):

[1] Stallings W.網(wǎng)絡(luò)安全要素一應(yīng)用與標(biāo)準(zhǔn)[M].北京:人民郵電出版社，2000.

[2] 張小斌，嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社，1999.

[3] 余建斌，黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社，1998.

[4] 彭杰.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的探討[M].現(xiàn)代電子技術(shù)，2002.

[5] 郝玉潔，常征.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報(bào)社科版，2002，4(1).

[6] 陳朝陽，潘雪增，平鈴娣.新型防火墻的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2002(11).

[7] 劉美蘭，姚京松.入侵檢測預(yù)警系統(tǒng)及其性能設(shè)計(jì)[C]//卿斯?jié)h，馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學(xué)術(shù)會議論文集.北京:科學(xué)出版社，2000.

[8] 陳曉蘇，林軍，肖道舉.基于多代理的協(xié)同分布式入侵檢測系統(tǒng)模型[J].華中科技大學(xué)學(xué)報(bào):自然科學(xué)版，2002，30(2).

[9] 王惠芳.虛擬專用網(wǎng)的設(shè)計(jì)及安全性分析[J].計(jì)算機(jī)工程，2001(6).

[10] 張敏波.網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解[M]北京:電子工業(yè)出版社，2008.

[11] Thomas T.網(wǎng)絡(luò)經(jīng)一階[M].李棟棟，許健，譯.北京:人民郵電出版社，2005.