盧方興

綏化學(xué)院計算機(jī)科學(xué)與技術(shù)系，黑龍江 綏化 152061

傳統(tǒng)上以防火墻作為第一道安全屏障的防范方式隨著攻擊技術(shù)的日趨成熟和手法的日趨多樣已經(jīng)不能很好的完成安全防護(hù)工作。防火墻只是一種被動防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的，首先，入侵者可以找到防火墻的漏洞，繞過防火墻進(jìn)行攻擊。其次，防火墻對來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過，而這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。

網(wǎng)絡(luò)安全問題自從其出現(xiàn)就受到了廣泛的重視，目前，如何采用相關(guān)技術(shù)確保網(wǎng)絡(luò)安全？希望個人、企業(yè)以及政府部門應(yīng)采取以下幾種技術(shù)。

1 加密機(jī)制技術(shù)

加密是一種最基本的安全機(jī)制，它能防止信息被非法讀取。加密是一種在網(wǎng)絡(luò)環(huán)境中對抗被動攻擊行之有效的安全機(jī)制。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)最基本的方法。但是這種方法只能防止第三者獲取真實數(shù)據(jù)，僅僅解決了安全問題的一個方面。而且加密技術(shù)也并不是牢不可破的。

2 數(shù)據(jù)簽名機(jī)制技術(shù)

數(shù)據(jù)簽名與加密機(jī)制有點相似，一般是簽名者利用秘密密鑰（私鑰）對需要簽名的數(shù)據(jù)進(jìn)行加密，驗證方利用簽名者的公開密鑰（公鑰）對簽名數(shù)據(jù)進(jìn)行解密運算。此法對于密鑰的設(shè)計和加密算法有極高的要求。

訪問控制機(jī)制技術(shù)。訪問控制機(jī)制就是按照事先確定的規(guī)則決定主體對客體的訪問是否合法。訪問控制一般以下面的機(jī)制為基礎(chǔ)：1）訪問控制數(shù)據(jù)庫；2）口令機(jī)制；3）安全標(biāo)志，當(dāng)它與實體（程序、數(shù)據(jù)等）有關(guān)時，可用來允許或拒絕與安全有關(guān)的訪問；4）能力表，決定主體對客體訪問的權(quán)利的憑證。

3 數(shù)據(jù)完整性機(jī)制技術(shù)

數(shù)據(jù)完整性技術(shù)可以發(fā)現(xiàn)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是否已經(jīng)被非法修改，從而使用戶預(yù)防不會被非法數(shù)據(jù)所欺騙。

4 認(rèn)證機(jī)制技術(shù)

認(rèn)證是以交換信息的方式來確定實體身份的一種機(jī)制，是進(jìn)行存取控制所必不可少的條件，因為不知道用戶是誰，就無法判斷其存取是否合法。用于認(rèn)證機(jī)制的技術(shù)如下：1）口令機(jī)制：口令一般由發(fā)送方實體提供，由接收方實體檢驗；2）安全協(xié)議機(jī)制：收發(fā)雙方事先經(jīng)過約定，按照約定的協(xié)議進(jìn)行鑒定交換；3）使用密碼技術(shù)：將交換的數(shù)據(jù)進(jìn)行加密，只有合法用戶方能解密，得到有意義的明文（數(shù)據(jù)）；4）使用實體的特征或?qū)嶓w所有的物件：這時常采用的技術(shù)就是指紋識別技術(shù)、視角膜識別技術(shù)和DNA識別技術(shù)等。

5 系統(tǒng)漏洞檢測技術(shù)

系統(tǒng)中漏洞的存在是系統(tǒng)受到各種安全危險的主要原因。外部黑客對系統(tǒng)的攻擊主要利用了系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)中的漏洞；內(nèi)部人員作案則也是利用了系統(tǒng)內(nèi)部服務(wù)及其資源配置中所存在的漏洞；如著名的攻擊方法之一“拒絕服務(wù)攻擊”主要就是利用了系統(tǒng)中資源分配上的漏洞，長期占用有限的資源不釋放，使得其它用戶得不到系統(tǒng)應(yīng)該進(jìn)行的服務(wù)；或者利用服務(wù)處理上的弱點，使該服務(wù)器崩潰。因此，要保護(hù)系統(tǒng)的安全，就非常有必要消除系統(tǒng)中所存在的各種安全漏洞，而消除系統(tǒng)中的安全漏洞的第一步就是應(yīng)該檢測出系統(tǒng)中是否存在各種安全漏洞，在此基礎(chǔ)上才能進(jìn)一步考慮怎樣消除和修補那些存在的漏洞。

6 防火墻技術(shù)

在保護(hù)網(wǎng)絡(luò)安全的各種技術(shù)中，防火墻技術(shù)是目前比較好的技術(shù)，也是一種技術(shù)比較成熟的網(wǎng)絡(luò)安全技術(shù)。利用防火墻技術(shù)實現(xiàn)的軟件將定義好的安全策略轉(zhuǎn)換成具體的安全控制操作，它使得內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)（主要是因特網(wǎng)）之間相互隔離、限制網(wǎng)絡(luò)互訪。按照一定的安全策略規(guī)則對其檢查網(wǎng)絡(luò)包或服務(wù)請求，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，而與內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)相連的網(wǎng)絡(luò)則被稱為外部網(wǎng)絡(luò)或共用網(wǎng)絡(luò)。防火墻技術(shù)能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的互訪和數(shù)據(jù)傳送，從而實現(xiàn)了保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非法授權(quán)用戶的訪問或者過濾信息的目的。防火墻的實現(xiàn)從層次上大概可以分為兩種:報文過濾和應(yīng)用層網(wǎng)關(guān)。

7 IP隧 道(IP Tunnel)或VPN(Virtual Private Network)技術(shù)

經(jīng)常會出現(xiàn)這種情況，一個大公司的兩個子公司相隔很遠(yuǎn)，需要通過Internel通信。在這種情況下，就可以采用IP Tunnel或VPN來防止Internet上的黑客獲取信息，從而在Internet上形成了一個虛擬的專用網(wǎng)。

8 隔離域名服務(wù)器(Split Domain Name Server)

這種技術(shù)是通過防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)絡(luò)的域名服務(wù)器隔離，使得外部網(wǎng)絡(luò)的域名服務(wù)器只能看到防火墻的IP地址，無法了解受保護(hù)網(wǎng)絡(luò)的具體情況，這樣可以保護(hù)受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)所獲悉。

而在當(dāng)前實際應(yīng)用中，建立防火墻系統(tǒng)是解決網(wǎng)絡(luò)安全問題的主要方法，基于防火墻的網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要有如下的3種基本結(jié)構(gòu)：

1）雙宿主主機(jī)結(jié)構(gòu)：這是最基本的防火墻系統(tǒng)結(jié)構(gòu)。這種系統(tǒng)實質(zhì)上就是至少具有兩個網(wǎng)絡(luò)接口卡（NIC）的主機(jī)系統(tǒng)；這樣的主機(jī)還可以充當(dāng)與這些網(wǎng)絡(luò)接口卡相連的若干網(wǎng)絡(luò)中間的路由器。這種結(jié)構(gòu)雖然能提供很高程度的網(wǎng)絡(luò)控制，但是由于進(jìn)出服務(wù)器的信息量太大，造成主機(jī)的負(fù)載較大，容易成為網(wǎng)絡(luò)瓶頸；

2）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)就是在堡壘主機(jī)對外通過過濾路由器連接到外部網(wǎng)絡(luò)，對內(nèi)直接連接內(nèi)部網(wǎng)絡(luò)。但入侵者一旦攻破堡壘主機(jī)，整個內(nèi)部網(wǎng)絡(luò)就危險了；

3）子網(wǎng)過濾結(jié)構(gòu)：這種結(jié)構(gòu)就是在主機(jī)過濾結(jié)構(gòu)中增加一層周邊網(wǎng)絡(luò)的安全機(jī)制，也就是堡壘主機(jī)對外、對內(nèi)連接都要通過過濾路由器。所以相對上一種結(jié)構(gòu)它又算比較完全的一種。

基于防火墻的3種基本結(jié)構(gòu)可以產(chǎn)生多種變形，通過基本的結(jié)構(gòu)結(jié)合起來以增強(qiáng)網(wǎng)絡(luò)安全。

9 結(jié)論

由于目前網(wǎng)絡(luò)安全技術(shù)還存在著這樣或那樣的安全缺陷，不能完善地保護(hù)網(wǎng)絡(luò)安全，所以有必要對網(wǎng)絡(luò)安全技術(shù)作進(jìn)一步的研究。