网络安全的关键技术有哪些.docx
《网络安全的关键技术有哪些.docx》由会员分享,可在线阅读,更多相关《网络安全的关键技术有哪些.docx(6页珍藏版)》请在冰豆网上搜索。
网络安全的关键技术有哪些
网络平安关键技术有哪些?
一.虚拟网技术
虚拟网技术主要基于近年开展局域网交换技术(ATM与以太网交换〕。
交换技术将传统基于播送局域网技术开展为面向连接技术。
因此,网管系统有能力限制局域网通讯范围而无需通过开销很大路由器。
由以上运行机制带来网络平安好处是显而易见:
信息只到达应该到达地点。
因此、防止了大局部基于网络监听入侵手段。
通过虚拟网设置访问控制,使在虚拟网外网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新平安问题:
执行虚拟网交换设备越来越复杂,从而成为被攻击对象。
基于网络播送原理入侵监控技术在高速交换网络内需要特殊设置。
基于MACVLAN不能防止MAC欺骗攻击。
以太网从本质上基于播送机制,但应用了交换器与VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听与插入〔改变〕问题。
但是,采用基于MACVLAN划分将面临假冒MAC地址攻击。
因此,VLAN划分最好基于交换机端口。
但这要求整个网络桌面使用交换端口或每个交换端口所在网段机器均属于一样VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。
IP协议族各厂家实现不完善,因此,在网络层发现平安漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境特殊网络互联设备.它对两个或多个网络之间传输数据包如链接方式按照一定平安策略来实施检查,以决定网络之间通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理效劳器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击有效手段,但也有明显缺乏:
无法防范通过防火墙以外其它途径攻击,不能防止来自内部变节者与不经心用户们带来威胁,也不能完全防止传送已感染病毒软件或文件,以及无法防范数据驱动型攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速开展.国内外已有数十家公司推出了功能各不一样防火墙产品系列.
防火墙处于5层网络平安体系中最底层,属于网络层平安技术范畴.在这一层上,企业对平安系统提出问题是:
所有IP是否都能访问到企业内部网络系统如果答案是"是",那么说明企业内部网还没有在网络层采取相应防范措施.
作为内部网络与外部公共网络之间第一道屏障,防火墙是最先受到人们重视网络平安产品之一.虽然从理论上看,防火墙处于网络平安最底层,负责网络间平安认证与传输,但随着网络平安技术整体开展与网络应用不断变化,现代防火墙技术已经逐步走向网络层之外其他平安层次,不仅要完成传统防火墙过滤任务,同时还能为各种网络应用提供相应平安效劳.另外还有多种防火墙产品正朝着数据平安与用户认证,防止病毒与黑客侵入等方向开展.
三.病毒防护技术
病毒历来是信息系统平安主要问题之一。
由于网络广泛互联,病毒传播途径与速度大大加快。
我们将病毒途径分为:
(1)通过FTP,电子邮件传播。
(2)通过软盘、光盘、磁带传播。
(3)通过Web游览传播,主要是恶意Java控件网站。
(4)通过群件系统传播。
病毒防护主要技术如下:
(1)阻止病毒传播。
在防火墙、代理效劳器、SMTP效劳器、网络效劳器、群件效劳器上安装病毒过滤软件。
在桌面PC安装病毒监控软件。
(2)检查与去除病毒。
使用防病毒软件检查与去除病毒。
(3)病毒数据库升级。
病毒数据库应不断更新,并下发到桌面系统。
(4)在防火墙、代理效劳器及PC上安装Java及ActiveX控制扫描软件,制止未经许可控件下载与安装。
四.入侵检测技术
利用防火墙技术,经过仔细配置,通常能够在内外网之间提供平安网络保护,降低了网络平安风险。
但是,仅仅使用防火墙、网络平安还远远不够:
(1)入侵者可寻找防火墙背后可能敞开后门。
(2)入侵者可能就在防火墙内。
(3)由于性能限制,防火焰通常不能提供实时入侵检测能力。
入侵检测系统是近年出现新型网络平安技术,目是提供实时入侵检测及采取相应防护手段,如记录证据用于跟踪与恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络攻击,其次它能够缩短hacker入侵时间。
入侵检测系统可分为两类:
√基于主机
√基于网络
基于主机入侵检测系统用于保护关键应用效劳器,实时监视可疑连接、系统日志检查,非法访问闯入等,并且提供对典型应用监视如Web效劳器应用。
基于网络入侵检测系统用于实时监控网络关键路径信息,其根本模型如右图示:
上述模型由四个局部组成:
(1)PassiveprotocolAnalyzer网络数据包协议分析器、将结果送给模式匹配局部并根据需要保存。
(2)Pattern-MatchingSignatureAnalysis根据协议分析器结果匹配入侵特征,结果传送给Countermeasure局部。
(3)countermeasure执行规定动作。
(4)Storage保存分析结果及相关数据。
基于主机平安监控系统具备如下特点:
(1)准确,可以准确地判断入侵事件。
(2)高级,可以判断应用层入侵事件。
(3)对入侵时间立即进展反响。
(4)针对不同操作系统特点。
(5)占用主机珍贵资源。
基于网络平安监控系统具备如下特点:
(1)能够监视经过本网段任何活动。
(2)实时网络监视。
(3)监视粒度更细致。
(4)准确度较差。
(5)防入侵欺骗能力较差。
(6)交换网络环境难于配置。
基于主机及网络入侵监控系统通常均可配置为分布式模式:
(1)在需要监视效劳器上安装监视模块(agent),分别向管理效劳器报告及上传证据,提供跨平台入侵监视解决方案。
(2)在需要监视网络路径上,放置监视模块(sensor),分别向管理效劳器报告及上传证据,提供跨网络入侵监视解决方案。
选择入侵监视系统要点是:
(1)协议分析及检测能力。
(2)解码效率(速度)。
(3)自身平安完备性。
(4)准确度及完整度,防欺骗能力。
(5)模式更新速度。
五.平安扫描技术
网络平安技术中,另一类重要技术为平安扫描技术。
平安扫描技术与防火墙、平安监控系统互相配合能够提供很高平安性网络。
平安扫描工具源于Hacker在入侵网络系统时采用工具。
商品化平安扫描工具为网络平安漏洞发现提供了强大支持。
平安扫描工具通常也分为基于效劳器与基于网络扫描器。
基于效劳器扫描器主要扫描效劳器相关平安漏洞,如password文件,目录与文件权限,共享文件系统,敏感效劳,软件,系统漏洞等,并给出相应解决方法建议。
通常与相应效劳器操作系统严密相关。
基于网络平安扫描主要扫描设定网络内效劳器、路由器、网桥、变换机、访问效劳器、防火墙等设备平安漏洞,并可设定模拟攻击,以测试系统防御能力。
通常该类扫描器限制使用范围(IP地址或路由器跳数)。
网络平安扫描主要性能应该考虑以下方面:
(1)速度。
在网络内进展平安扫描非常耗时。
(2)网络拓扑。
通过GUI图形界面,可迭择一步或某些区域设备。
(3)能够发现漏洞数量。
(4)是否支持可定制攻击方法。
通常提供强大工具构造特定攻击方法。
因为网络内效劳器及其它设备对一样协议实现存在差异,所以预制扫描方法肯定不能满足客户需求。
(5)报告,扫描器应该能够给出清楚平安漏洞报告。
(6)更新周期。
提供该项产品厂商应尽快给出新发现安生漏洞扫描特性升级,并给出相应改良建议。
平安扫描器不能实时监视网络上入侵,但是能够测试与评价系统平安性,并及时发现平安漏洞。
六.认证与数宇签名技术
认证技术主要解决网络通讯过程中通讯双方身份认可,数字签名作为身份认证技术中一种具体技术,同时数字签名还可用于通信过程中不可抵赖要求实现。
认证技术将应用到企业网络中以下方面:
(1)路由器认证,路由器与交换机之间认证。
(2)操作系统认证。
操作系统对用户认证。
(3)网管系统对网管设备之间认证。
(4)VPN网关设备之间认证。
(5)拨号访问效劳器与客户间认证。
(6)应用效劳器(如WebServer)与客户认证。
(7)电子邮件通讯双方认证。
数字签名技术主要用于:
(1)基于PKI认证体系认证过程。
(2)基于PKI电子邮件及交易(通过Web进展交易)不可抵赖记录。
认证过程通常涉及到加密与密钥交换。
通常,加密可使用对称加密、不对称加密及两种加密方法混合。
UserName/Password认证
该种认证方式是最常用一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听与解密。
使用摘要算法认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMPSecurityProtocol等均使用共享SecurityKey,加上摘要算法(MD5)进展认证,由于摘要算法是一个不可逆过程,因此,在认证过程中,由摘要信息不能计算出共享securitykey,敏感信息不在网络上传输。
市场上主要采用摘要算法有MD5与SHA-1。
基于PKI认证
使用公开密钥体系进展认证与加密。
该种方法平安程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将平安性与高效率结合起来。
后面描述了基于PKI认证根本原理。
这种认证方法目前应用在电子邮件、应用效劳器访问、客户认证、防火墙验证等领域。
该种认证方法平安程度很高,但是涉及到比拟繁重证书管理任务。
七.VPN技术
1、企业对VPN技术需求
企业总部与各分支机构之间采用internet网络进展连接,由于internet是公用网络,因此,必须保证其平安性。
我们将利用公共网络实现私用网络称为虚拟私用网(VPN)。
因为VPN利用了公共网络,所以其最大弱点在于缺乏足够平安性。
企业网络接入到internet,暴露出两个主要危险:
来自internetXX对企业内部网存取。
当企业通过INTERNET进展通讯时,信息可能受到窃听与非法修改。
完整集成化企业范围VPN平安解决方案,提供在INTERNET上平安双向通讯,以及透明加密方案以保证数据完整性与保密性。
企业网络全面平安要求保证:
保密-通讯过程不被窃听。
通讯主体真实性确认-网络上计算机不被假冒。
2、数字签名
数字签名作为验证发送者身份与消息完整性根据。
公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份与消息完整性根据。
CA使用私有密钥计算其数字签名,利用CA提供公共密钥,任何人均可验证签名真实性。
伪造数字签名从计算能力上是不可行。
并且,如果消息随数字签名一同发送,对消息任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统平安地获取共享保密密钥,并使用该密钥对消息加密。
Diffie-Hellman密钥由CA进展验证。
类型技术用途
根本会话密钥DES加密通讯
加密密钥Deff-Hellman生成会话密钥
认证密钥RSA验证加密密钥
基于此种加密模式,需要管理密钥数目与通讯者数量为线性关系。
而其它加密模式需要管理密钥数目与通讯者数目平方成正比。
3、IPSEC
IPSec作为在IPv4及IPv6上加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现Internet标准。
IPSec主要提供IP网络层上加密通讯能力。
该标准为每个IP包增加了新包头格式,AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。
IPsec使用ISAKMP/Oakley及SKIP进展密钥交换、管理及加密通讯协商(SecurityAssociation)。
Ipsec包含两个局部:
(1)IPsecurityProtocolproper,定义Ipsec报文格式。
(2)ISAKMP/Oakley,负责加密通讯协商。
Ipsec提供了两种加密通讯手段:
IpsecTunnel:
整个IP封装在Ipsec报文。
提供Ipsec-gateway之间通讯。
Ipsectransport:
对IP包内数据进展加密,使用原来源地址与目地址。
IpsecTunnel不要求修改已配备好设备与应用,网络黑客户不能看到实际通讯源地址与目地址,并且能够提供专用网络通过Internet加密传输通道,因此,绝大多数均使用该模式。
ISAKMP/Oakley使用数字证书,因此,使VPN能够容易地扩大到企业级。
(易于管理)。
在为远程拨号效劳Client端,也能够实现Ipsec客户端,为拨号用户提供加密网络通讯。
由于Ipsec即将成为Internet标准,因此不同厂家提供防火墙(VPN)产品可以实现互通。
八.应用系统平安技术
由于应用系统复杂性,有关应用平台平安问题是整个平安体系中最复杂局部。
下面几个局部列出了在Internet/Intranet中主要应用平台效劳平安问题及相关技术。
1、域名效劳
Internet域名效劳为Internet/Intranet应用提供了极大灵活性。
几乎所有网络应用均利用域名效劳。
但是,域名效劳通常为hacker提供了入侵网络有用信息,如效劳器IP、操作系统信息、推导出可能网络构造等。
同时,新发现针对BIND-NDS实现平安漏洞也开场发现,而绝大多数域名系统均存在类似问题。
如由于DNS查询使用无连接UDP协议,利用可预测查询ID可欺骗域名效劳器给出错误主机名-IP对应关系。
因此,在利用域名效劳时,应该注意到以上平安问题。
主要措施有:
(1)内部网与外部网使用不同域名效劳器,隐藏内部网络信息。
(2)域名效劳器及域名查找应用安装相应平安补丁。
(3)对付Denial-of-Service攻击,应设计备份域名效劳器。
2、WebServer应用平安
WebServer是企业对外宣传、开展业务重要基地。
由于其重要性,成为Hacker攻击首选目标之一。
WebServer经常成为Internet用户访问公司内部资源通道之一,如Webserver通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。
但Web效劳器越来越复杂,其被发现平安漏洞越来越多。
为了防止Web效劳器成为攻击牺牲品或成为进入内部网络跳板,我们需要给予更多关心:
(1)Web效劳器置于防火墙保护之下。
(2)在Web效劳器上安装实时平安监控软件。
(3)在通往Web效劳器网络路径上安装基于网络实时入侵监控系统。
(4)经常审查Web效劳器配置情况及运行日志。
(5)运行新应用前,先进展平安测试。
如新CGI应用。
(6)认证过程采用加密通讯或使用证书模式。
(7)小心设置Web效劳器访问控制表。
3、电子邮件系统平安
电子邮件系统也是网络与外部必须开放效劳系统。
由于电子邮件系统复杂性,其被发现平安漏洞非常多,并且危害很大。
加强电子邮件系统平安性,通常有如下方法:
(1)设置一台位于停火区电子邮件效劳器作为内外电子邮件通讯中转站(或利用防火墙电子邮件中转功能)。
所有出入电子邮件均通过该中转站中转。
(2)同样为该效劳器安装实施监控系统。
(3)该邮件效劳器作为专门应用效劳器,不运行任何其它业务(切断与内部网通讯)。
(4)升级到最新平安版本。
4、操作系统平安
市场上几乎所有操作系统均已发现有平安漏洞,并且越流行操作系统发现问题越多。
对操作系统平安,除了不断地增加平安补丁外,还需要:
(1)检查系统设置(敏感数据存放方式,访问控制,口令选择/更新)。
(2)基于系统平安监控系统。
升级会员 