浅析网络安全技术.doc

TAI YU AN SC I -TEC H 2006年7月第期 7收稿日期2006-04-20;修回日期2006-04-24 作者简介潘月红1962-,女,山西万荣人。1985年7月毕 业于山西大学,工程师。 文章编号1006-4877200607-0067-02 浅析网络安全技术 潘月红 摘 要介绍了网络防火墙安全技术的分类及其主要技术特 征,从防火墙部署的位置阐述了防火墙的选择标准,论述了安全技术的研究现状和方向。关键词网络安全;防火墙;网络中图分类号TP393.08 文献标识码A 21世纪是信息社会,从政策上和法律上建立起 我国的网络安全体系尤为必要。我国在构建信息防卫系统时,应着力发展自己独特的安全产品。网络安全产品有以下几大特点第一,网络安全来源于安全策略与技术的多样化;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。 1防火墙类型 网络防火墙技术是一种用来加强网络之间访问控制,保护内部网络操作环境,防止外部网络用户以非法手段进入和访问内部网络的特殊网络互联设备。它按照一定的安全策略对两个或多个网络之间传输的数据包实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据所采用的技术,可分为4种基本类型。 1.1包过滤型 包过滤型产品是防火墙的初级产品,其技术依 据是网络中的分包传输技术。网络上的数据都是以“ 包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。其优点是简单实用,实现成本较低,能够以较小的代价在一定程度上保证系统的安全。其缺点是只能根据数据包的来源、目标和端口等网络信息进行判断,无法识 别基于应用层的恶意侵入。 1.2网络地址转化型 网络地址转换是一种用于把IP 地址转换成临 时的、外部的、注册的IP 地址标准。它允许具有私有IP 地址的内部网络访问因特网,在内部网络通过安全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP 地址和端口来请求访问。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中;当不符合规则时,防火墙认为该访问是不安全的,不能被接受,将屏蔽外部的连接请求。 1.3代理型 代理型防火墙位于客户机与服务器之间,完全 阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。其优点是安全性较高,已经开始向应用层发展,可以针对应用层进行侦测和扫描,有效对付基于应用层的侵入和病毒。其缺点是对系统的整体性能有较大的影响,且必须针对客户机可能产生的所有应用类型逐一进行设置,增加了系统管理的复杂性。 1.4监测型 监测型防火墙是新一代产品,能够对各层的数 据进行主动的、实时的监测,在对这些数据加以分 析的基础上,有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,安置在各种应用服务器和其他网络的节点之 应用技术 T A I Y U A N S C I -T E C H 2006年7月第期 7英文部分下转第73页 中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。但由于监测型防火墙技术的实现成本较高,不易管理,所以目前使用中的防火墙产品仍然以第二代代理型产品为主,并在某些方面开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。 2防火墙的选择 网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器也集成了包滤技术,这两种技术的混合应用比单独使用更具优势。部署防火墙,首先应该将其安装在公司内部网络与外部Internet 的接口处,以阻挡来自外部网络的入侵;其次,如果内部网络规模较大,并且设置有虚拟局域网VLAN,则应该在各个VLAN 之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,同时将总部与各分支机构组成虚拟专用网VPN。选择防火墙应该依据以下标准。 2.1成本 作为网络系统的安全屏障,其成本不应该超过 受保护网络系统可能遭受最大损失的成本。 2.2自身的安全性 防火墙的安全性问题通常来自两个方面一是 设计是否合理,二是使用是否得当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。 2.3可扩充性 随着网络的扩容和网络应用的增加,网络的风 险成本急剧上升,需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,便对投资造成浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。 2.4安全性 防火墙产品最难评估的方面是防火墙的安全性 能,即防火墙是否能够有效地阻挡外部入侵。这一 点同防火墙自身的安全性一样,普通用户通常无法判断。所以用户在选择防火墙产品时,应该尽量选择占市场份额较大,同时又通过了权威认证机构认证测试的产品。 3安全技术的研究现状和动向 我国信息网络安全研究经历了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,综合利用数学、物理、生化信息技术和计算机技术等诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大、积累多、应用广,在20世纪70年代,美国在网络安全技术基础理论研究成果“计算机保密模型”的基础上,指定了“可信计算机系统安全评估准则”TCSEC ,其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于20世纪80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术的密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA 密码、混沌理论等密码新技术正处于探索之中。因此,网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息作为社会发展的重要战略资源,需要网络安全技术的有力保障,才能成为社会发展的推动力。山西省商务发展中心,山西 太原030002 责任编辑 张 璇 应用技术 TAI YU AN SC I -TEC H 2006年7月第期 7Analysis on the Technology of Network Security Pan Yuehong AbstractThis article has discussed the security technology types of the firewall and the main technology features ,and in-troduced the choice standards of the firewall from putting place of the firewall .then discussed the current search situation and the trend of the security technology. Keywordsnetwork security;firewall Study on Selective Crashing and Separation of Coal and Gangue Wang Shuangxi Abstract The strength can be determined when a natural irregular ore is broken with tension .By contrasting the strength of coals and gangue. We can choose the splitting broken as a for the choice of coals and gangue .It means that the tensile strength can be a feasible parameter for the choice of coals and gangue. Keywordsstrength ;irregular rock ;tensile strength 速中得到广泛应用。2.2.4泵的串联与并联调节方式 当单台水泵不能满足输送任务时,可以采用离心泵的并联或串联操作。把两台相同型号的水泵串联,两水泵流量相同,排水管中的扬程等于两水泵扬程之和;把两台相同型号水泵并联,虽然扬程变化不大,但增加了总流量,并联泵的总效率与单台 泵的效率相同。 对泵流量进行调节的方式很多,目前离心式水泵通用的是调节出口阀门和改变泵转速两种。可以看出,不同的调节方式各有其特点,在实际应用时应从多方面综合考虑,选择最佳调节方式。邯郸 工程技术学校,河北 邯郸 056106 责任编辑 赵 娟 How to achieve the system efficiency of drain water in mine Zhao Shichun Abstract This paper analyzes the system efficiency of drain water device in the design models and adjusting of the flux according to the characteristic of the system of drain water device in mine,The s that change the pipeline resistance and the water pump characteristic to adjustment the flux has carried on the summary induction, and proposed the economical effective energy conservation . KeywordsMine drainage system;adjusting of the flux;the characteristic graph;Energy-efficient 上接第70 页 上接第68页 应用技术