|
网络安全防护技术
网络安全不只是军方或商业部门的一种特殊要求。实际上,所有的网络应用环境包括银行、电子交易、政府、公共电信载体及普通个人的网络都有安全需求。网络安全隐患极大地制约了网络的应用与发展,而人类社会对网络的应用却越来越广泛,要求也越来越高,如何解决这一矛盾呢?对这些安全隐患我们该如何进行防护?除了良好的安全意识外,目前又有哪些普遍使用的网络安全技术可以增强我们的防护能力?典型环境的安全需求参见表6-2:
针对各类网络不同的安全隐患与安全需求,人们开发了许多安全防护产品。目前,普遍使用的安全防护技术包括防火墙技术、数据加密、数据备份与灾难恢复等技术。 为了确保学校环境的安全,许多学校采用了封闭式的围墙并在门口设立了保安和门卫。保安对进出校门的人进行判断,决定是否放行。陌生的人想进校园必须先接受保安的查问,查问通过允许进入前他还必须在出入登记本填写个人资料。在互联网上,为了确保内部网络的安全,也采取了与学校保卫制度相类似的措施。担当内部网络“围墙”与“保安”职责的就是防火墙,如图6-2所示。
防火墙是硬件和软件的组合,是在两个网络之间执行访问控制策略的系统,用来帮助保护网络网络或计算机系统的安全。防火墙可以防止对受保护的网络进行未授权访问,同时能让受保护的网络访问防火墙以外的网络。
一般来说,防火墙具有以下几种功能:
(1)能够强化安全策略。
(2)能有效地记录因特网上的活动。
(3)能限制暴露用户信息。
防火墙能保护站点不被任意链接,总结并记录有关正在进行的链接资源。防火墙的缺陷是不能防恶意的知情者、不能防范不通过它的链接、不能防备全部的威胁以及病毒。
按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。
1. 包过滤防火墙
网上传输的文件一般在发出端被划分为一串数据包,经过网上的中间站点传到目的地后这些包中的数据又重新组装成原来的文件。包过滤依据控制数据包的源地址、目的地址和传送协议来判断哪些数据包可以进出网络而哪些数据包应被网络拒绝。这种方式的优点是仅用一个放置在重要位置上的包过滤路由器就可以保护整个网络,价格较低,性能开销小,处理速度较快;其缺点是定义复杂,容易出现因配置不当而带来问题。
2. 代理放火强
代理服务是运行在防火墙主机上的一些特定应用程序或者服务程序。它位于内部用户(在内部网络上)和外部服务(在因特网上)之间,代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。它的优点是允许用户“直接”访问因特网和适合于做日志。它内置了专门为提高安全性而编制的应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理。 |
