2014年第5期 计算机与信息化 计算机网络安全防护技术 一齐晓芬 自上世纪发明计算机以来,近几十年,随着计算机技术和因特网网 络技术的迅猛发展,计算机网络已成为大部分现代人生活所必需的部分。 随之而来的是计算机网络攻击在各国间频频出现,现今,计算机网络安 全问题已成为关系到现代^社会生活安全的问题。 才能达到防火墙技术的安全防御的功能;在此基础上,能通过防火墙技 术的数据流能是符合防火墙技术规则设置的。防火墙技术本身具有非常 强的抗攻击能力。 防火墙技术有包过滤型和应用代理型两种。其中,包过滤型防火墙 技术是指用一台过滤路由器实现,对所接受的每一个数据包作出允许通 过或拒绝通过的决定的一类防火墙技术。在包过滤型防火墙技术的作用 以21世纪以来所显示的数据来看,网络世界频频爆发各种电脑病 毒,以最广泛的蠕虫类、木马类病毒为代表的大规模网络安全攻击事件 下,只有与进出口包所匹配的符合防火墙技术规则的数据才能被通过和 给全球的互联网和商业、军事情报网带来了严重的冲击,网络病毒传播 传递,即只有数据包头源地址、目的地址、端口号和协议类型等都符合 速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机 防火墙技术规则时才能被传递;缺少上述两个条件任何一个条件的数据 网络的时代。可以说随着计算机网络技术的发展,打破了传统意义上的 都不被允许通过。包过滤类型的防火墙技术要遵循的规则是“最小特权 信息传递概念,是一种跨时代的飞跃。相对的,计算机网络的安全性也 原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。 至关重要,所以,各种保密手段和防黑客技术也在新的世纪得到突飞猛 包过滤型防火墙技术又包括静态包过滤型防火墙技术和动态包过滤型 进的进展。 防火墙技术。前者是根据定义好的过滤规则审查每个数据包,以便确定 一、计算机网络安全现状 其是否与某一条包过滤规则匹配。后者则是后来的包状态监测技术,监 (一)计算机网络攻击和安全隐患 控每一个连接,自动临时增加适当的规则。应用代理型防火墙技术工作 计算机网络攻击原则上可分为以下几类:第一,利用网络攻击中常 在OSI应用层的防火墙技术,其完全“阻隔”了网络通信流,通过对每 见的技术术语、社会术语等来对攻击进行描述;第二,利用多属性法对 种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作 攻击进行描述;第三,对特定类型应用、特定系统而发起的网络攻击; 用。 第四,利用单一属性描述的和仅从攻击某个特定的属性的网络攻击。 防火墙技术还有其他分类依据,如根据防火墙技术的应用位置来分 (二)计算机网络攻击防护实现的目标 可以把防火墙技术分为边界防火墙技术、个人防火墙技术和混合防火墙 上世纪六十年代对于信息保护处于通信保密时代;七十年代是计算 技术。根据防火墙技术的性能来分有可以把防火墙技术分为百兆级防火 机安全时代;八十年代是信息安全时代;就是年代以后是信息保障时代。 墙技术和千兆级防火墙技术。 所谓信息保障是通过保护、检测、反应、恢复这四种手段实现的,即所 不可否认的是防火墙技术还是有一定的缺点:如防火墙技术不能彻 谓的PDRR。 底地防止地址欺骗的网络欺诈行为;防火墙技术的正常数据包过滤路由 计算机网络攻击防护是为了保护信息的机密性、身份真实性、完整 器由于不能执行默写安全策略,从而对于防反黑客攻击的作用很弱;防 性、服务可用性、系统可控性、可靠性、访问控制、抗抵赖性和可审查 火墙技术的一些协议不能适用于数据包的过滤并且也不支持应用层协 性。 议;防火墙技术不能做到实时更新所以在遇到新的安全威胁时不能及时 二、计算机网络安全防护技术 处理。 (一)密码技术 (四)陷阱网路 计算机网络安全防护中的密码技术是基于密码学的原理上发展起 以上所述的密码技术、人侵检测技术和防火墙技术都是网络安全防 来的,密码是密码技术中最为核心的一个概念。一个密码被定 护方面比较成熟的技术,但是,随着网络攻击技术的飞速发展,网络安 义为一对数据变换。对称密码的特征是用于加密和解密的密钥是一 全防护技术总体上说还是处于被动的防护地位,为了针对这一不利形 样的或相互容易推出。对称密码又分为两种,即序列密码和分组密 势,又有人开发出一种主动型网络安全防护措施,即陷阱构网络技术。 码。前者将明文消息按字符逐位地加密;后者将明文消息分组,逐组地 陷阱网络是基于网络的开放性而设计的,即假设网络上的每台主机 进行加密,其典型代表是DES。 都有可能被攻击,而且对于那些带有某种特定资源的系统遭到攻击的概 (二)入侵检测技术 率越大,那么网络陷阱的布置,就有可能成功地将人侵者引入一个受控 对计算机终端和客户计算机连接系统异常行为模式分析统计;对计 环境中,从而降低正常系统被攻击的概率。 算机操作系统的跟踪管理。根据入侵检测技术应用的范围,入侵检测可 当前常见的陷阱网络系统主要有:蜜罐系统,它能模拟某些常见的 分为基于主机型、网络型和代理型这三种;根据入侵检测技术检测方法 漏洞或者模拟其它操作系统或者在某个系统上做一些设置使其成为一 的区别,入侵检测分为基于行为的异常入侵检测和基于知识的误用人侵 台类似于牢笼的主机,来诱骗人侵者使攻击者劳而无功;陷阱网络,它 检测。至今开发出比较有代表性的产品有Realsecure、Cybercop和 建立的是一个真实的网络和主机环境,并非某台单一主机,这个陷阱网 NetRanger。 络系统隐藏在防火墙后面,使得所有进出的数据都受到关注、捕获及控 人侵检测技术主要操作步骤分为收集信息和分析信息两步。收集信 制。陷阱网路主要用来学习了解攻击者的思路、工具和目的,并为特定 息主要指收集系统、网络、数据及用户活动的状态和行为的信息,在扩 组织提供关于他们自己得出的网络安全风险和脆弱性的一些经验,同时 大检测范围的同时通过多个采集点的信息的比较来判断是否存在可疑 帮助一个组织发展事件响应能力。 现象或发生入侵行为;分析应用模式匹配、统计分析、完整性分析等分 三、结语 析方法。 随着计算机网络攻击技术的发展,计算机网络安全防护技术的更新 (三)防火墙技术 和改善要由原来的被动型向未来的主动型转变,同时,传统的技术要进 防火墙技术不仅有对外部网络发出的通信连接进行过滤的作用,其 一步的更新的稳固,新的技术如陷阱网路的研发和应用要由现在的主干 对内部网络用户的请求和数据包也有过滤的功能,防火墙技术之所以能 网络系统普及至全民网络体系中。这个过程还需要科技人员的努力。 成为网络安全防护的重要技术组成部分,是因为防火墙技术只允许符合 参考文献 安全策略的通信通过,这大大提高了网络范围内反入侵技术的成功率。 [1]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].信 综上所述,可以看出防火墙技术是一种隔离内部网络和外部网络之间的 息技术,2005,34:39-40 有效的网络防御系统。 [2]周琰.骨干网络安全防护技术探讨[J].气象科技,2006,9:65—68. 必须使内部网络和外部网络之间的所有数据流都经过防火墙技术 (作者单位:易县科学技术局) ・ 17 ・
