常用网络安全技术浅析

科　信ｌ息ｌ科Ｉ学　常用网络安全技术浅析　李志国　（南京林业大学计算机中心，江苏南京２１００３７）　摘要：就信怠网络安全内涵发生的根本变化，论述了网络防火墙安全技术的分类及其主要技术特征。　关键词：网络安全；防火墙；技术特征　概述　使用ＮＡＴ的缺点：　Ｉｎｔｅｍｅｔ的迅速发展给现代人的生产和生　ＮＡＴ的缺点和包过滤防火墙的缺点是一　活都带来了前所未有的飞跃，大大提高了工作　的包，这样包就像是来自单一的公共Ｉｐ地址，　然后再打开连接。一旦建立了连接，在内部计　算机和ｗｅｂ站点之间来回流动的通信就都是　一个ＩＰ地址。　效率，丰富了人们的生活，弥补了人们的精神　透明的了。　样的。虽然可以保障内部网络的安全，但它也　空缺；而与此同时给人们带来了一个日益严峻　当从公共网络传来一个未经请求的传人　是一些类似的局限。而且内网可以利用现流传　的问题—一网络安全。网络的安全性成为当今　连接时，ＮＡＴ有一套规则来决定如何处理它。　比较广泛的木马程序可以通过ＮＡＴ做外部连　最热门的话题之一，很多企业为了保障自身服　如果没有事先定义好的规则，ＮＡＴ只是简单　接，就像它可以穿过包过滤防火墙一样的容　务器或数据安全都采用了防火墙。随着科技的　的丢弃所有未经请求的传人连接，就像包过滤　易。　发展，防火墙也逐渐被大众所接受。但是，由　防火墙所做的那样。　２－３监测防火墙　于防火墙是属于高科技产物，许多的人对此还　可是，就像对包过滤防火墙一样，你可　监测防火墙的优点有：　并不是了解的十分透彻。而这篇文章就是给大　以将ＮＡＴ配置为接受某些特定端口传来的传　ａ．检查ＩＰ包的每个字段的能力，并遵从　家讲述了防火墙工作的方式，以及防火墙的基　人连接，并将它们送到—个特定的主机地址。　基于包中信息的过滤规则。　本分类，并且讨论了每一种防火墙的优缺点。　１．３监测型　ｂ．识别带有欺骗性源ＩＰ地址包的能力。　１防火墙的基本分类　动态监测防火墙，试图跟踪通过防火墙　ｃ．包过滤防火墙是两个网络之间访问的唯　根据防火墙所采用的技术不同，我们可以　的网络连接和包，这样防火墙就可以使用一组　一来源。因为所有的通信必须通过防火墙，绕　将它分为四种基本类型：包过滤型、网络地址　附加的标准，以确定是否允许和拒绝通信。它　过是困难的通过。　转换一ＮＡＴ和监测型。　是在使用了基本包过滤防火墙的通信上应用一　监测防火墙的缺点：　１。ｌ包过滤型　些技术来做到这点的。　监测防火墙唯一的缺点就是所有这些记　包过滤技术是防火墙为系统提供安全保　动态监测防火墙可截断所有传人的通信，　录、测试和分析工作可能会造成网络连接的某　障的主要技术，它通过设备对进出网络的数据　而允许所有传出的通信。因为防火墙跟踪内部　种迟滞，特别是在同时有许多连接激活的时　流进行有选择的控制与操作。包过滤操作通常　出去的请求，所有按要求传人的数据被允许通　候，或者是有大量的过滤网络通信的规则存在　在选择路由的同时对数据包进行过滤（通常是　过，直到连接被关闭为止。只有未被请求的传　时。　对从互联网络到内部网络的包进行过滤）。用　人通信被截断。监测型防火墙能够对各层的数　在上面已经介绍了几类防火墙，并讨论　户可以设定一系列的规则，指定允许哪些类型　据进行主动的、实时的监测，在对这些数据加　了每种防火墙的优观点。要记住，任何一种防　的数据包可以流入或流出内部网络：哪些类型　以分析的基础上。监测型防火墙能够有效地判　火墙只是为网络通信或者是数据传输提供了更　的数据包的传输应该被拦截。包过滤规则以　断出各层中的非法侵入。同时．这种监测型防　有保障的安全眭，但是也不能完全依赖于防火　ＩＰ包信息为基础，对ＩＰ包的源地址、ＩＰ包的　火墙产品一般还带有分布式探测器，这些探测　墙。除了靠防火墙来保障安全的同时，也要加　目的地址、封装协议（ＴＣＰ／ＵＤＰ／ＩＣＭＰ／ＩＰ　Ｔｕｎ—　器安置在各种应用服务器和其他网络的节点之　固系统的安全性，提高自身的安全意识。这样　ｎｅＩ）、端口号等进行筛选。包过滤这个操作可　中，不仅能够监测来自网络外部的攻击，同时对　一来，数据和通信以及Ｗｅｂ站点就会更有安　以在路由器上进行。也可以在网桥，甚至在一　来自内部的恶意破坏也有极强的防范作用。　全保障。　个单独的主机上进行。　２各类防火墙的优缺点　参考文献　传统的包过滤只是与规则表进行匹配。　２．１包过滤防火墙　【１］曾明－网络技术【Ｍ】．北京：电子工业出版　防火墙的ＩＰ包过滤，主要是根据一个有固定　使用包过滤防火墙的优点包括：　社．　排序的规则链过滤，其中的每个规则都包含着　每个ＩＰ包的字段都被检查，例如源地　『２】王铭．网络与安全【Ｍ１．北京：电子工业出　ＩＰ地址、端口、传输方向、分包、协议等多　址、目的地址、协议、端口等。防火墙将基于　版社．　项内容。同时，一般防火墙的包过滤的过滤规　这些信息应用过滤规则。　则是在启动时配置好的，只有系统管理员才可　ｂ．包过滤防火墙是两个网络之间访问的唯　以修改，是静态存在的，称为静态规则。东方　一来源。因为所有的通信必须通过防火墙，绕　龙马防火墙采用了基于连接状态的检查，将属　过是困难的。　于同一连接的所有包作为一个整体的数据流看　使用包过滤防火墙的缺点包括：　待，通过规则表与连接状态表的共同配合进行　配置困难。因为包过滤防火墙很复杂，　检查。　人们经常会忽略建立一些必要的规则，或者错　１．２网络地址转换一ＮＡＴ　误配置了已有的规则，在防火墙上留下漏洞。　讨论到防火墙的主题，就一定要提到有　ｂ．可能还有其他方法绕过防火墙进入网　一种路由器，尽管从技术上讲它根本不是防火　络，例如拨人连接。但这个并不是防火墙自身　墙。网络地址转换（ＮＡＴ）协议将内部网络的多　的缺点，而是不应该在网络安全上单纯依赖防　个ＩＰ地址转换到一个公共地址发到Ｌｒｌｔｅｍｅｔ　火墙的原因。　上。　２．２　ＮＡＴ　ＮＡＴ经常用于小型办公室、家庭等网络，　使用ＮＡＴ的优点有：　多个用户分享单一的ＩＰ地址，并为Ｉｎｔｅｒｎｅｔ连　ａ所有内部的ＩＰ地址对外面的人来说是　接提供一些安全机制。　隐蔽的。　当内部用户与一个公共主机通信时，　ｂ．如果因为某种原因公共ＩＰ地址资源比　ＮＡＴ追踪是哪一个用户作的请求，修改传出　较短缺的话，ＮＡＴ可以使整个内部网络共享