關鍵性的網絡安全技術有哪些（網絡關鍵技術包括）

今天給各位分享關鍵性的網絡安全技術有哪些的知識，其中也會對網絡關鍵技術包括進行解釋，如果能碰巧解決你現在面臨的問題，別忘了關注本站，現在開始吧！

本文目錄一覽：

• 1、網絡安全技術主要有哪些?
• 2、常用網絡安全技術有哪些
• 3、網絡安全的關鍵技術有哪些？

網絡安全技術主要有哪些?

計算機網絡安全技術簡稱網絡安全技術，指致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。\x0d\x0a技術分類\x0d\x0a虛擬網技術\x0d\x0a虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換）。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此，網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。\x0d\x0a防火墻技術\x0d\x0a網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態.\x0d\x0a防火墻產品主要有堡壘主機,包過濾路由器,應用層網關(代理服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.\x0d\x0a病毒防護技術\x0d\x0a病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。\x0d\x0a將病毒的途徑分為：\x0d\x0a(1)通過FTP，電子郵件傳播。\x0d\x0a(2)通過軟盤、光盤、磁帶傳播。\x0d\x0a(3)通過Web游覽傳播，主要是惡意的Java控件網站。\x0d\x0a(4)通過群件系統傳播。\x0d\x0a病毒防護的主要技術如下：\x0d\x0a(1)阻止病毒的傳播。\x0d\x0a在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。\x0d\x0a(2)檢查和清除病毒。\x0d\x0a使用防病毒軟件檢查和清除病毒。\x0d\x0a(3)病毒數據庫的升級。\x0d\x0a病毒數據庫應不斷更新，并下發到桌面系統。\x0d\x0a(4)在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。\x0d\x0a入侵檢測技術\x0d\x0a利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠：\x0d\x0a(1)入侵者可尋找防火墻背后可能敞開的后門。\x0d\x0a(2)入侵者可能就在防火墻內。\x0d\x0a(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。\x0d\x0a入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。\x0d\x0a實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。\x0d\x0a入侵檢測系統可分為兩類：基于主機和基于網絡的入侵檢測系統。\x0d\x0a安全掃描技術\x0d\x0a網絡安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火墻、安全監控系統互相配合能夠提供很高安全性的網絡。\x0d\x0a安全掃描工具通常也分為基于服務器和基于網絡的掃描器。\x0d\x0a認證和數字簽名技術\x0d\x0a認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用于通信過程中的不可抵賴要求的實現。\x0d\x0aVPN技術\x0d\x0a1、企業對VPN技術的需求\x0d\x0a企業總部和各分支機構之間采用internet網絡進行連接，由于internet是公用網絡，因此，必須保證其安全性。我們將利用公共網絡實現的私用網絡稱為虛擬私用網(VPN)。\x0d\x0a2、數字簽名\x0d\x0a數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。\x0d\x0a3、IPSEC\x0d\x0aIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標準，是VPN實現的Internet標準。\x0d\x0aIPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(SecurityAssociation)。

常用網絡安全技術有哪些

互聯網流行的現在，在方便大眾的同時，也有很多損害大眾的東西出現，比如木馬病毒、黑客、惡意軟件等等，那么，計算機是如何進行防范的呢?其實是運用了網絡安全技術。我在這里給大家介紹常見的網絡安全技術，希望能讓大家有所了解。

常用網絡安全技術

1、數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種 方法 將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

計算機網絡應用特別是電子商務應用的飛速發展，對數據完整性以及身份鑒定技術提出了新的要求，數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現，即數據的發送方在發送數據的同時利用單向的Hash函數或者 其它 信息文摘算法計算出所傳輸數據的消息文摘，并將該消息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名，接收方使用相同的算法計算出接收到的數據的數字簽名，并將該數字簽名和接收到的數字簽名進行比較，若二者相同，則說明數據在傳輸過程中未被修改，數據完整性得到了保證。常用的消息文摘算法包括SHA、MD4和MD5等。

根據密鑰類型不同可以將現代密碼技術分為兩類：對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。在對稱加密算法中，數據加密和解密采用的都是同一個密鑰，因而其安全性依賴于所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快，加密強度高，且算法公開，但其最大的缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便于應用在網絡開放的環境中。目前最著名的對稱加密算法有數據加密標準DES和歐洲數據加密標準IDEA等。

在公鑰密碼體系中，數據加密和解密采用不同的密鑰，而且用加密密鑰加密的數據只有采用相應的解密密鑰才能解密，更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中，用戶通常將密鑰對中的加密密鑰公開(稱為公鑰)，而秘密持有解密密鑰(稱為私鑰)。利用公鑰體系可以方便地實現對用戶的身份認證，也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密，如果能夠解開，說明信息確實為該用戶所發送，這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名算法結合使用，在保證數據傳輸完整性的同時完成對用戶的身份認證。

目前的公鑰密碼算法都是基于一些復雜的數學難題，例如目前廣泛使用的RSA算法就是基于大整數因子分解這一著名的數學難題。目前常用的非對稱加密算法包括整數因子分解(以RSA為代表)、橢園曲線離散對數和離散對數(以DSA為代表)。公鑰密碼體系的優點是能適應網絡的開放性要求，密鑰管理簡單，并且可方便地實現數字簽名和身份認證等功能，是目前電子商務等技術的核心基礎。其缺點是算法復雜，加密數據的速度和效率較低。因此在實際應用中，通常將對稱加密算法和非對稱加密算法結合使用，利用DES或者IDEA等對稱加密算法來進行大容量數據的加密，而采用RSA等非對稱加密算法來傳遞對稱加密算法所使用的密鑰，通過這種方法可以有效地提高加密的效率并能簡化對密鑰的管理。

2、防火墻技術

盡管近年來各種網絡安全技術在不斷涌現，但到目前為止防火墻仍是網絡 系統安全 保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網絡安全產品的統計，在數量方面，防火墻產品占第一位，其次為網絡安全掃描和入侵檢測產品。

防火墻系統是一種網絡安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結合，這種安全部件處于被保護網絡和其它網絡的邊界，接收進出被保護網絡的數據流，并根據防火墻所配置的訪問控制策略進行過濾或作出 其它操 作，防火墻系統不僅能夠保護網絡資源不受外部的侵入，而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火墻系統可以用于內部網絡與Internet之間的隔離，也可用于內部網絡不同網段的隔離，后者通常稱為Intranet防火墻。

目前的防火墻系統根據其實現的方式大致可分為兩種，即包過濾防火墻和應用層網關。包過濾防火墻的主要功能是接收被保護網絡和外部網絡之間的數據包，根據防火墻的訪問控制策略對數據包進行過濾，只準許授權的數據包通行。防火墻管理員在配置防火墻時根據安全控制策略建立包過濾的準則，也可以在建立防火墻之后，根據安全策略的變化對這些準則進行相應的修改、增加或者刪除。每條包過濾的準則包括兩個部分：執行動作和選擇準則，執行動作包括拒絕和準許，分別表示拒絕或者允許數據包通行;選擇準則包括數據包的源地址和目的地址、源端口和目的端口、協議和傳輸方向等。建立包過濾準則之后，防火墻在接收到一個數據包之后，就根據所建立的準則，決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火墻的安全訪問控制策略。

應用層網關位于TCP/IP協議的應用層，實現對用戶身份的驗證，接收被保護網絡和外部之間的數據流并對之進行檢查。在防火墻技術中，應用層網關通常由代理服務器來實現。通過代理服務器訪問Internet網絡服務的內部網絡用戶時，在訪問Internet之前首先應登錄到代理服務器，代理服務器對該用戶進行身份驗證檢查，決定其是否允許訪問Internet，如果驗證通過，用戶就可以登錄到Internet上的遠程服務器。同樣，從Internet到內部網絡的數據流也由代理服務器代為接收，在檢查之后再發送到相應的用戶。由于代理服務器工作于Internet應用層，因此對不同的Internet服務應有相應的代理服務器，常見的代理服務器有Web、Ftp、Telnet代理等。除代理服務器外，Socks服務器也是一種應用層網關，通過定制客戶端軟件的方法來提供代理服務。

防火墻通過上述方法，實現內部網絡的訪問控制及其它安全策略，從而降低內部網絡的安全風險，保護內部網絡的安全。但防火墻自身的特點，使其無法避免某些安全風險，例如網絡內部的攻擊，內部網絡與Internet的直接連接等。由于防火墻處于被保護網絡和外部的交界，網絡內部的攻擊并不通過防火墻，因而防火墻對這種攻擊無能為力;而網絡內部和外部的直接連接，如內部用戶直接撥號連接到外部網絡，也能越過防火墻而使防火墻失效。

3、網絡安全掃描技術

網絡安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞，并采取相應防范 措施 ，從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術，可以對局域網絡、Web站點、主機 操作系統 、系統服務以及防火墻系統的安全漏洞進行掃描，系統管理員可以了解在運行的網絡系統中存在的不安全的網絡服務，在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢測主機系統中是否被安裝了竊聽程序，防火墻系統是否存在安全漏洞和配置錯誤。

(1) 網絡遠程安全掃描

在早期的共享網絡安全掃描軟件中，有很多都是針對網絡的遠程安全掃描，這些掃描軟件能夠對遠程主機的安全漏洞進行檢測并作一些初步的分析。但事實上，由于這些軟件能夠對安全漏洞進行遠程的掃描，因而也是網絡攻擊者進行攻擊的有效工具，網絡攻擊者利用這些掃描軟件對目標主機進行掃描，檢測目標主機上可以利用的安全性弱點，并以此為基礎實施網絡攻擊。這也從另一角度說明了網絡安全掃描技術的重要性，網絡管理員應該利用安全掃描軟件這把"雙刃劍"，及時發現網絡漏洞并在網絡攻擊者掃描和利用之前予以修補，從而提高網絡的安全性。

(2) 防火墻系統掃描

防火墻系統是保證內部網絡安全的一個很重要的安全部件，但由于防火墻系統配置復雜，很容易產生錯誤的配置，從而可能給內部網絡留下安全漏洞。此外，防火墻系統都是運行于特定的操作系統之上，操作系統潛在的安全漏洞也可能給內部網絡的安全造成威脅。為解決上述問題，防火墻安全掃描軟件提供了對防火墻系統配置及其運行操作系統的安全檢測，通常通過源端口、源路由、SOCKS和TCP系列號來猜測攻擊等潛在的防火墻安全漏洞，進行模擬測試來檢查其配置的正確性，并通過模擬強力攻擊、拒絕服務攻擊等來測試操作系統的安全性。

(3) Web網站掃描

Web站點上運行的CGI程序的安全性是網絡安全的重要威脅之一，此外Web服務器上運行的其它一些應用程序、Web服務器配置的錯誤、服務器上運行的一些相關服務以及操作系統存在的漏洞都可能是Web站點存在的安全風險。Web站點安全掃描軟件就是通過檢測操作系統、Web服務器的相關服務、CGI等應用程序以及Web服務器的配置， 報告 Web站點中的安全漏洞并給出修補措施。Web站點管理員可以根據這些報告對站點的安全漏洞進行修補從而提高Web站點的安全性。

(4) 系統安全掃描

系統安全掃描技術通過對目標主機的操作系統的配置進行檢測，報告其安全漏洞并給出一些建議或修補措施。與遠程網絡安全軟件從外部對目標主機的各個端口進行安全掃描不同，系統安全掃描軟件從主機系統內部對操作系統各個方面進行檢測，因而很多系統掃描軟件都需要其運行者具有超級用戶的權限。系統安全掃描軟件通常能夠檢查潛在的操作系統漏洞、不正確的文件屬性和權限設置、脆弱的用戶口令、網絡服務配置錯誤、操作系統底層非授權的更改以及攻擊者攻破系統的跡象等。

網絡安全的關鍵技術有哪些？

一.虛擬網技術

虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換）。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此，網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。

由以上運行機制帶來的網絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此、防止了大部分基于網絡監聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的安全問題：

執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象。

基于網絡廣播原理的入侵監控技術在高速交換網絡內需要特殊的設置。

基于MAC的VLAN不能防止MAC欺騙攻擊。

以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。

但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。

網絡層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網絡層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。

二.防火墻枝術

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態.

防火墻產品主要有堡壘主機,包過濾路由器,應用層網關(代理服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.

雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊.

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火墻產品系列.

防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防范措施.

作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一.雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.

1、使用Firewall的益處

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。

例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過—次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Finger和DNS。

記錄和統計網絡利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

策略執行

Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。

2、 設置Firewall的要素

網絡策略

影響Firewall系統設計、安裝和使用的網絡策略可分為兩級，高級的網絡策略定義允許和禁止的服務以及如何使用服務，低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。

服務訪問策略

服務訪問策略集中在Internet訪問服務以及外部網絡訪問（如撥入策略、SLIP/PPP連接等）。

服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。

Firewall設計策略

Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：

允許任何服務除非被明確禁止；

禁止任何服務除非被明確允許。

通常采用第二種類型的設計策略。

3、 Firewall的基本分類

包過濾型

包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.

包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.

但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.

網絡地址轉換(NAT)

是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內部網絡訪問因特網.它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址.

在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄.系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.

代理型

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展.代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機.由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統.

代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

監測型監測型

防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用.據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火墻.基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.

實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由于這種產品是基于應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

4、 建設Firewall的原則

分析安全和服務需求

以下問題有助于分析安全和服務需求：

√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。

√ 增加的需要，如加密或拔號接入支持。

√ 提供以上服務和訪問的風險。

√ 提供網絡安全控制的同時，對系統應用服務犧牲的代價。

策略的靈活性

Internet相關的網絡安全策略總的來說，應該保持一定的靈活性，主要有以下原因：

√ Internet自身發展非?？?，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。

√ 機構面臨的風險并非是靜態的，機構職能轉變、網絡設置改變都有可能改變風險。

遠程用戶認證策略

√ 遠程用戶不能通過放置于Firewall后的未經認證的Modem訪問系統。

√ PPP/SLIP連接必須通過Firewall認證。

√ 對遠程用戶進行認證方法培訓。

撥入/撥出策略

√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。

√ 外部撥入用戶必須通過Firewall的認證。

Information Server策略

√ 公共信息服務器的安全必須集成到Firewall中。

√ 必須對公共信息服務器進行嚴格的安全控制，否則將成為系統安全的缺口。

√ 為Information server定義折中的安全策略允許提供公共服務。

√ 對公共信息服務和商業信息(如email)講行安全策略區分。

Firewall系統的基本特征

√ Firewall必須支持．“禁止任何服務除非被明確允許”的設計策略。

√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。

√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。

√ Firewall必須支持增強的認證機制。

√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。

√ IP過濾描述語言應該靈活，界面友好，并支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。

√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理服務器。

√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。

√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，并且將Information server同內部網隔離。

√ Firewall可支持對撥號接入的集中管理和過濾。

√ Firewall應支持對交通、可疑活動的日志記錄。

√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。

√ Firewall的設計應該是可理解和管理的。

√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。

5、選擇防火墻的要點

(1) 安全性：即是否通過了嚴格的入侵測試。

(2) 抗攻擊能力：對典型攻擊的防御能力

(3) 性能：是否能夠提供足夠的網絡吞吐能力

(4) 自我完備能力：自身的安全性，Fail-close

(5) 可管理能力：是否支持SNMP網管

(6) VPN支持

(7) 認證和加密特性

(8) 服務的類型和原理

(9)網絡地址轉換能力

三.病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。

我們將病毒的途徑分為：

(1 ) 通過FTP，電子郵件傳播。

(2) 通過軟盤、光盤、磁帶傳播。

(3) 通過Web游覽傳播，主要是惡意的Java控件網站。

(4) 通過群件系統傳播。

病毒防護的主要技術如下：

(1) 阻止病毒的傳播。

在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。

(2) 檢查和清除病毒。

使用防病毒軟件檢查和清除病毒。

(3) 病毒數據庫的升級。

病毒數據庫應不斷更新，并下發到桌面系統。

(4) 在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。

四.入侵檢測技術

利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠：

(1) 入侵者可尋找防火墻背后可能敞開的后門。

(2) 入侵者可能就在防火墻內。

(3) 由于性能的限制，防火焰通常不能提供實時的入侵檢測能力。

入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。

實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。

入侵檢測系統可分為兩類：

√ 基于主機

√ 基于網絡

基于主機的入侵檢測系統用于保護關鍵應用的服務器，實時監視可疑的連接、系統日志檢查，非法訪問的闖入等，并且提供對典型應用的監視如Web服務器應用。

基于網絡的入侵檢測系統用于實時監控網絡關鍵路徑的信息，其基本模型如右圖示：

上述模型由四個部分組成：

(1) Passive protocol Analyzer網絡數據包的協議分析器、將結果送給模式匹配部分并根據需要保存。

(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特征，結果傳送給Countermeasure部分。

(3) countermeasure執行規定的動作。

(4) Storage保存分析結果及相關數據。

基于主機的安全監控系統具備如下特點：

(1) 精確，可以精確地判斷入侵事件。

(2) 高級，可以判斷應用層的入侵事件。

(3) 對入侵時間立即進行反應。

(4) 針對不同操作系統特點。

(5) 占用主機寶貴資源。

基于網絡的安全監控系統具備如下特點：

(1) 能夠監視經過本網段的任何活動。

(2) 實時網絡監視。

(3) 監視粒度更細致。

(4) 精確度較差。

(5) 防入侵欺騙的能力較差。

(6) 交換網絡環境難于配置。

基于主機及網絡的入侵監控系統通常均可配置為分布式模式：

(1) 在需要監視的服務器上安裝監視模塊(agent)，分別向管理服務器報告及上傳證據，提供跨平臺的入侵監視解決方案。

(2) 在需要監視的網絡路徑上，放置監視模塊(sensor),分別向管理服務器報告及上傳證據，提供跨網絡的入侵監視解決方案。

選擇入侵監視系統的要點是：

(1) 協議分析及檢測能力。

(2) 解碼效率(速度)。

(3) 自身安全的完備性。

(4) 精確度及完整度，防欺騙能力。

(5) 模式更新速度。

五.安全掃描技術

網絡安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火墻、安全監控系統互相配合能夠提供很高安全性的網絡。

安全掃描工具源于Hacker在入侵網絡系統時采用的工具。商品化的安全掃描工具為網絡安全漏洞的發現提供了強大的支持。

安全掃描工具通常也分為基于服務器和基于網絡的掃描器。

基于服務器的掃描器主要掃描服務器相關的安全漏洞，如password文件，目錄和文件權限，共享文件系統，敏感服務，軟件，系統漏洞等，并給出相應的解決辦法建議。通常與相應的服務器操作系統緊密相關。

基于網絡的安全掃描主要掃描設定網絡內的服務器、路由器、網橋、變換機、訪問服務器、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網絡安全掃描的主要性能應該考慮以下方面：

(1) 速度。在網絡內進行安全掃描非常耗時。

(2) 網絡拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。

(3) 能夠發現的漏洞數量。

(4) 是否支持可定制的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網絡內服務器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。

(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。

(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，并給出相應的改進建議。

安全掃描器不能實時監視網絡上的入侵，但是能夠測試和評價系統的安全性，并及時發現安全漏洞。

六. 認證和數宇簽名技術

認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用于通信過程中的不可抵賴要求的實現。

認證技術將應用到企業網絡中的以下方面：

(1) 路由器認證，路由器和交換機之間的認證。

(2) 操作系統認證。操作系統對用戶的認證。

(3) 網管系統對網管設備之間的認證。

(4) VPN網關設備之間的認證。

(5) 撥號訪問服務器與客戶間的認證。

(6) 應用服務器(如Web Server)與客戶的認證。

(7) 電子郵件通訊雙方的認證。

數字簽名技術主要用于：

(1) 基于PKI認證體系的認證過程。

(2) 基于PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。

認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。

UserName/Password認證

該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet、rlogin等，但由于此種認證方式過程不加密，即password容易被監聽和解密。

使用摘要算法的認證

Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。

基于PKI的認證

使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。后面描述了基于PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。

該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

關鍵性的網絡安全技術有哪些的介紹就聊到這里吧，感謝你花時間閱讀本站內容，更多關于網絡關鍵技術包括、關鍵性的網絡安全技術有哪些的信息別忘了在本站進行查找喔。