3.防火墙技术
防火墙(Firewall)技术是针对信息载体安全运行的网络层面的网络安全技术。防火墙是建立在内外网络边界上的过滤封锁机制,是目前网络系统实现网络安全策略应用最广泛的工具之一。根据防火墙所采用的技术,总体上可以分为数据包过滤防火墙、应用网关防火墙、代理型防火墙三大类型。
数据包过滤(PacketFiltering)防火墙速度快而且易于维护,通常作为第一道防线。它在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。应用级网关( Applcation Levelgateways)防火墙通常安装在专用工作站上,它是在网络应用层上建立协议过滤和转发功能,针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。代理型防火墙中,代理服务( Proxy Service)也称链路级网关或TCP通道( Crcuit Level Gateways orTCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
4.网络入侵检测技术
入侵检测系统(IDS—Intrusion Detection System)是网络安全系统中不可缺少的部分,它对防火墙系统中的不足之处有很大弥补作用,可以弥补防火墙相对静态防御的不足。
根据入侵检测系统的检测对象和工作方式不同,入侵检测系统主要分为基于主机的入侵检测系统、基于网络的入侵检测系统、基于内核的高性能入侵检测系统和两大类相结合的入侵检测系统等。
基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。基于内核的入侵检测系统是一种较新的技术,目前在Linux上可用的基于内核的入侵检测系统主要有Openwall和LIDS两种,这些系统采取措施防止缓冲区溢出,增加文件系统的保护,封闭系统,从而使得入侵者破坏系统更加困难。
目前入侵检测系统一般采用集中式模式,在被保护网络的各个网段中分别放置检测器进行数据包收集和分析;各个检测器将检测信息传送给中央控制台进行统一处理,中央控制台还会向各个检测器发送命令。这种模式的缺点是对于在复杂网络上发起的分布式攻击不仅难以及时进行数据分析以至于无法完成检测任务,而且入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险。对于这种惰况,分布式入侵检测系统需要采用分布式智能代理的结构,由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成,检测工作通过全部代理相互协作共同完成。
入侵检测系统与防火墙有很强的互补性。在网络安全系统的设计过程中,入侵检测系统经常与防火墙实现联动。目前实现入侵检测系统与防火墙之间的互动有两种方式:一种是把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据不再来源于所抓的包,而是流经防火墙的数据流,所有通过的数据包不仅要接受防火墙规则的判断,还要检测是否具有攻击行为;第二种方式是通过开放接口来实现与防火墙的互动,但由于技术上仍有许多难点没有突破,因此,与实际应用仍有一定的距离。在入侵检测系统与防火墙实现联动具体实现中,联动控制客户机/服务器模式通过扩展防火墙功能和IDS的功能在防火墙中驻留一个服务器端的程序;在IDS中驻留一个客户端程序。客户端在发现攻击行为后产生控制信息。信息一般包括攻击者的IP地址、端口、控制类型和时间,以及被攻击主机IP地址或端口等信息,并将控制信息传递给服务器端(防火墙端),服务器端接收来自客户机端(IDS端)的控制信息,然后在动态生成防火墙的过滤规则,最终实现联动。一旦拦截攻击停止后,添加的动态规则超时自动删除。
5.虚拟专用网技术
虚拟专用网技术( Virtual PrivateNetwork,简称VPN)是借助于公用网的物理线路,在局域网和局域网之间或者是远程客户与局域网之间创建数据传输的网络隧道,将传输的数据经过加密封装后,透过虚拟的公网隧道进行传输。
目前比较经典的VPN有AccessVPN、Intranet VPN和Extranet VPN三种类型,它们主要采用密码技术、身份认证技术、隧道技术和密钥管理技术四项技术。密码技术是实现VPN中的关键核心技术之一;身份认证技术是VPN的功能实现的保证;隧道技术是VPN的基本技术,是通过对数据的封装,在公共网络上建立一条数据通道,让数据包在这条隧道上传输;密钥管理技术是VPN的重点技术。
6.访问控制技术
访问控制是网络安全防范和保护的主要核心策略,它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,在身份识别的基础上,根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施,也是计算机系统最重要的安全机制。
访问控制主要有网络访问控制和系统访问控制两种类型。网络访问控制限制外部对主机网络服务的访问和系统内部用户对外部的访问,通常由防火墙实现。系统访问控制为不同的用户赋予不同的主机资源访问权限,操作系统提供一定的功能实现系统访问控制。
实现网络访问控制的技术是AT&T Bell实验室的DenniS MRitchie干1984年设计的流(STREAMS)技术,现在几乎所有的UNIX操作系统都支持机制流,流是内核空间中的流驱动程序与用户空间中的进程之间的一种全双工的处理和数据传输通路。实现系统访问控制的技术是系统调用捕获和控制,系统调用是应用程序和操作系统内核之间的功能接口,通过截获和控制系统调用实现系统的访问控制。
微信扫描二维码,关注公众号。