2023年11月28日发(作者:)

科技信息 0IT技术论坛0 SCIENCE&TECHNOLOGYINFORMATION 2008年第23期

略谈计算机网络安全与防火墙技术

(辽宁广播电视大学辽宁沈阳 1 10034)

【摘要】计算机网络的不断发展,加快了信息化的脚步,同时网络安全问题也日渐突出。本文给出了在网络上使用数据加密、网络存取控制

等安全策略,运用防火墙技术,提高网络安全性能。

【关键词】网络安全;策略;防火墙技术;包过滤

【Abstract]The computer network unceasing development,sped up the informationization footsteps,simulaneously the network security question

also day after day highlghts. I1his article has given in the network the service datenerypton.the network access control and s0 on the security policy,

using the fewall technology,enhances the network securty performance.

【Kewords]Newory;Tas;Fi eventon wa chnoy;ap up eron

1.引言

把收到的数据进行解密。然后采用另一种不同的密钥进行加密。

3.1.4混合加密是采用链路加密和端端加密相结合的混合加密方

随着计算机应用范围的扩大和计算机网络的飞速发展,信息技术

可以有效的保护报头中的敏感数据,获得更高的安全性。

E在不断改变着人们的工作、学习和生活方式,使人们的工作效率大

3.2网络存取控制 网络的存取控制就是对网络上的用户进行身

为提高,信息资源得到最大程度的共享。但必须看到,紧随信息技术的

防止非法用户进入系统而使数据泄密或破坏网络数据。目前 份识别。

发展而带来的网络安全问题日渐突出,如果不很好地解决这个问题,

的存取控制方法较多,但常用的技术有:身份识别、数字签名、存取权

将阻碍计算机网络化发展的进程。

限控制等。

2.网络安全

3.2.1身份识别。身份识别是安全系统应具备的最基本功能。这是

2.1网络安全的定义 网络安全从本质上来讲就是网络上的信息

安全,就是指网络系统中的数据,不受到偶然的或者恶意的破坏、泄露、

验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自

更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及

己的身份证明。而系统应具备查验用户的身份证明的能力,能够明确

判别该输入是否来自合法用户。

到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术

3-2.2数字签名。数字签名是采用电子形式的签名,可以用密码形

和理论都是网络安全所要研究的领域。

式实现.安全性更高。数字签名方式可以用单密钥和双密钥体制。单密

2.2影响网络的安全因素

2.2.1信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而

钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签

名体制是两个用户登记公开密钥。

不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。

3.2.3存取权限控制。其基本任务是防止非法用户进入系统及防

2.2.2信息被篡改。这是纯粹的信息破坏,侵犯者截取网上的信息

包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,

止合法用户对系统资源的非法使用。

3.2.4灾难恢复策略 备份策略是网络系统最常用的灾难恢复策

起到信息误导的作用,其破坏作用最大。

对于服务器上的数据,管理人员应经常备份。 略,

2.2.3传输非法信息流。只允许用户同其他用户进行特定类型的

4.防火墙技术

4.1防火墙的定义 防火墙是一种将内部网和公开网分开的方

2.2.4网络资源的错误使用。如不合理的资源访问控制,一些资源

法。实质上是一种隔离技术。防火墙是保护网络安全最主要的手段之

有口J能被偶然或故意地破坏

通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。

2_2.5非法使用网络资源。非法用户登录进入系统使用网络资源,

造成资源的消耗 损害_合法用户的利益。

近年来防火墙技术取得了很大的进展,各种防火墙技术应运而生。

4.2防火墙的选择选择防火墙的标准有很多,但最重要的是以

下几条:

2.2.6环境影响。自然环境和社会环境对计算机网络都会产生极

4.2.1总拥有成本防火墙产品作为网络系统的安全屏障.其总拥

大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。

2.2.7软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及

有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本

假如其系统中的所有信息及所支 以一个非关键部门的网络系统为例,

应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这

些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果

持应用的总价值为10万元.则该部门所配备防火墙的总成本也不应

2.2.8人为安全因素。除了技术层面上的原因外.人为的因素也构

该超过10万元。

4.2.2作为信息系统安全产品.防火墙本身也应该保证安全,不给

成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备

了多少安全设施,如果管理人员不按规定正确地使用.甚至人为泄露系

外部侵入者以可乘之机。通常,防火墙的安全性问题来自两个方面:其

是防火墙本身的设计是否合理.只有通过权威认证机构的全面测试

统的关键信息,则其造成的安全后果是难以估量的。

才能确定。其二是使用不当。一般来说,防火墙的许多配置需要系统管

3.目前主要的网络安全策略

安全策略是指在一个特定的环境里,为保证提供一定级别的安全

理员手工修改.如果系统管理员对防火墙不十分熟悉,就有可能在配

置过程中遗留大量的安全漏洞。

保护所必须遵守的规则。网络系统随时会受到各种攻击 安全策略也

4.2.3管理和培训是评价一个防火墙好坏的重要方面。人员的培

在不断的完善,使用单一的安全策略不可能很好地对系统起到保护作

用,往往需要多种措施配合使用。

3.1数据加密 数据加密是网络系统中一种比较有效的数据保护

方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采

用链路加密、端端加密、节点加密和混合加密方式

3.1.1链路加密是对网络中两个相邻节点之间传输的数据进行加

密保护,所有传输数据均以密码的形式在链路中传送 任意一对节点之

间的链路上的加密是独立实现的,可以采用不同的密码。

3.1.2端端加密是对源节点用户到目标节点用户的数据进行保护

允许源节点到目标节点的数据始终以密文的形式存在,所以端端加密

方式更加可靠,易于设计和实现。

3.1_3节点加密是对源节点到目标节点的链路提供保护,节点加密

在加街方式上与链路加密类似,区别是在节点加密方式中,网络节点先

训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的

安全产品供应商必须为其用户提供良好的培训和售后服务。

4.2.4在网络系统建设的初期.由于内部信息系统的规模较小.遭

受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火

墙产品。但随着网络的扩容和网络应用的增加,便需要增加具有更高

安全性的防火墙产品。好的产品应该留给用户足够的弹性空间,在安

全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,

用户仍然有进一步增加选件的余地。

4.2.5防火墙产品最难评估的方面是防火墙的安全性能,这一点

同防火墙自身的安全性一样,普通用户通常无法判断,但在实际应用

中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品

时,应该尽量选择占市场份额较大同时又通过了权威l下转第33页)