网络安全课程论文

《网络安全技术》课程论文题目：网络安全技术研究院(部)：商学院专业：电子商务班级：122姓名：侯文龙学号：20120914067指导教师：石林完成日期：201506051网络安全技术研究摘要：近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。关键词：网络、安全、VPN、加密技术、防火墙技一．绪论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其它接收者的信息。此时，它关心的对像是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和回放的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。网络安全性可以被粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和檔锁来实现。21.防火墙防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置的组合。防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。1.1防火墙的种类从技术上看,防火墙有包过滤型、代理服务器型等几种基本类型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。1.1.1包过滤型包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本相对较低,能够以较小的代价在一定程度上保证系统的安全。包过滤技术的缺陷也是明显的。包过滤在网络3层上拦截所有的信息流,不保存与传输和应用相关的状态信息。体现出一种无状态性。在包过滤技术里只要符合过滤规则的数据包就可以穿过防火墙,在内网和外网间建立连接,这样使得外部网可以访问内部网,无形中增加了内部网的危险性。1.1.2代理服务器型代理服务器型防火墙是在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务防火墙在内部网中设置了一个代理服务器,并将外部网和内部网之间的连接分为两段,一段是从外部网上的客户端主机请求引到代理服务器,另一段由代理服务器连到内部网的某个主机服务器上。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。1.1.3网络地址转化—NAT网络地址转换是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。1.1.4监测型监测型防火墙技术超越了最初的防火墙的网络层定义以及只位于内部网络与外部网络间接口的位置定义。监测型防火墙产品带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的4攻击,同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。参考文献[1]李华飚等,防火墙核心技术精解[M],中国水利水电出版社,2005[2].林晓东,杨义先.网络防火技术[J].电信科学出版社,1997.[3].黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.