網絡安全與防范技術在哪里發表論文

　　網絡的安全因素主要有：

　　(1)網絡資源的共享性。資源共享是計算機網絡應用的主要目的，但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯網需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網絡數據包。

　　(2)網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源，從而很容易獲取到一個企業、單位以及個人的敏感性信息。

　　(3)網絡操作系統的漏洞。網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一，它不僅負責網絡硬件設備的接口封裝，同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性，決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。

　　(4)網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下，還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。

　　(5)惡意攻擊。就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。

　　2 網絡安全防御方式

　　網絡安全技術的主要代表是防火墻和入侵檢測技術。下面簡要介紹一下這兩種技術。

　　2.1 防火墻技術

　　網絡安全所說的防火墻是指內部網和外部網之間的安全防范系統。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet(外部網)的傳輸信息或從內部網發出的信息都必須穿過防火墻。

　　2.1.1 防火墻的主要功能

　　防火墻的主要功能包括：

　　(1)防火墻可以對流經它的網絡通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執行。

　　(2)防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。

　　(3)防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網絡的訪問。

　　(4)防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。

　　(5)防火墻提供了監視Internet安全和預警的方便端點。

　　2.1.2 防火墻的主要優點

　　防火墻的主要優點包括：

　　1)可作為網絡安全策略的焦點

　　防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理。

　　2)可以有效記錄網絡活動

　　由于防火墻處于內網與外網之間，即所有傳輸的信息都會穿過防火墻。所以，防火墻很適合收集和記錄關于系統和網絡使用的多種信息，提供監視、管理與審計網絡的使用和預警功能。

　　3)為解決IP地址危機提供了可行方案

　　由于Internet的日益發展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

　　2.1.3 防火墻的主要缺陷

　　由于互聯網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有：

　　(1)防火墻對繞過它的攻擊行為無能為力。

　　(2)防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

　　(3)防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。

　　2.1.4 防火墻的分類

　　防火墻的實現從層次上大體可分為三類：包過濾防火墻，代理防火墻和復合型防火墻。

　　1)包過濾防火墻

　　包過濾防火墻是在IP層實現，它可以只用路由器來實現。包過濾防火墻根據報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

　　包過濾路由器的最大優點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。

　　包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發現黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。

　　2)代理防火墻

　　代理防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡，對于這樣的企業，應用代理防火墻是更好的選擇。

　　代理服務是設置在Internet防火墻網關上的應用，是在網管員允許下或拒絕的特定的應用程序或者特定服務，一般情況下可應用于特定的互聯網服務，如超文本傳輸、遠程文件傳輸等。同時還可應用于實施較強的數據流監控、過濾、記錄和報告等功能。

　　應用層網關包括應用代理服務器、回路級代理服務器、代管服務器、IP通道、網絡地址轉換器、隔離域名服務器和郵件技術等。

　　3)復合型防火墻

　　復合型防火墻是將數據包過濾和代理服務結合在一起使用，從而實現了網絡安全性、性能和透明度的優勢互補。

　　隨著技術的發展，防火墻產品還在不斷完善、發展。目前出現的新技術類型主要有以下幾種：狀態監視技術、安全操作系統、自適應代理技術、實時侵入檢測系統等。混合使用數據包過濾技術、代理服務技術和一些新技術是未來防火墻的趨勢。

　　2.1.5 防火墻的部署

　　防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。

　　(1)防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵。

　　(2)如果內部網絡規模較大，并且設置虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻。

　　(3)通過公網連接的總部與各分支機構之間應該設置防火墻。

　　(4)主干交換機至服務器區域工作組交換機的骨干鏈路上。

　　(5)遠程撥號服務器與骨干交換機或路由器之間。

　　總之，在網絡拓撲上，防火墻應當處在網絡的出口與不同安全等級區域的結合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。

　　2.2 入侵檢測技術

　　入侵檢測技術是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等)，并對這些信息進行分析和判斷。通過檢測網絡系統中發生的攻擊行為或異常行為，入侵檢測系統可以及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統也可用于監控分析用戶和系統的行為、審計系統配置和漏洞、識別異常行為和攻擊行為(通過異常檢測和模式匹配等技術)、對攻擊行為或異常行為進行響應、審計和跟蹤等。

　　典型的IDS系統模型包括4個功能部件：

　　(1) 事件產生器，提供事件記錄流的信息源。

　　(2) 事件分析器，這是發現入侵跡象的分析引擎。

　　(3) 響應單元，這是基于分析引擎的分析結果產生反應的響應部件

　　(4) 事件數據庫，這是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

　　2.2.1入侵檢測系統的分類

　　入侵檢測系統根據數據來源不同，可分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。

　　網絡型入侵檢測系統的實現方式是將某臺主機的網卡設置成混雜模式，監聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網絡型入侵檢測系統擔負著保護整個網絡的任務。

　　主機型入侵檢測系統是以系統日志、應用程序日志等作為數據源，當然也可以通過其它手段(如檢測系統調用)從所有的主機上收集信息進行分析。

　　入侵檢測系統根據檢測的方法不同可分為兩大類：異常和誤用。

　　異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發生了入侵事件。

　　誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程，允許用戶遠程讀取文件系統，因而存在可以查看文件內容的漏洞和Sendmail(Linux上的守護進程，利用其漏洞可取得root權限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。

　　2.2.2 目前入侵檢測系統的缺陷

　　入侵檢測系統作為網絡安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。

　　1) 高誤報率

　　誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為;另一方面是指對IDS用戶不關心事件的報警。導致IDS產品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

　　2) 缺乏主動防御功能

　　入侵檢測技術作為一種被動且功能有限的安全防御技術，缺乏主動防御功能。因此，需要在一代IDS產品中加入主動防御功能，才能變被動為主動。

　　2.2.3 防火墻與入侵檢測系統的相互聯動

　　綜合所述：防火墻是一個跨接多個物理網段的網絡安全關口設備。它可以對所有流經它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉發通過(可轉發至任何端口)、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統計、訪問日志、協議轉換等。

　　當我們實現防火墻與入侵檢測系統的相互聯動后，IDS就不必為它所連接的鏈路轉發業務流量。因此，IDS可以將大部分的系統資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業務類別的網絡流量統計、網絡多種流量協議恢復(實時監控功能)等。IDS高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。

　　綜上所述，防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態技術或靜態技術都有了較大的提高。使網絡的防御安全能力大大提高。防火墻與IDS的相互聯動可以很好地發揮兩者的優點，淡化各自的缺陷，使防御系統成為一個更加堅固的圍墻。在未來的網絡安全領域中，動態技術與靜態技術的聯動將有很大的發展市場和空間。

　　3 結語

　　網絡安全是一個很大的系統工程，除了防火墻和入侵檢測系統之外，還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據病毒特征碼數據庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數據的功能或方法。它是將數據信息轉換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串數字(密鑰)的結合，產生不可理解的密文的步驟。密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。

　　參考文獻

　　[1] 鄭成興著. 《網絡入侵防范的理論與實踐》. 機械工業出版社

　　[2] [美] Merike Kaeo 著.《網絡安全性設計》. 人民郵電出版社