摘 要：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)穿透行為不斷發(fā)生，通過(guò)網(wǎng)絡(luò)穿透，可以達(dá)到大肆造謠、非法傳播和信息竊取的目的，嚴(yán)重危害了網(wǎng)絡(luò)安全。本文研究了網(wǎng)絡(luò)穿透技術(shù)及對(duì)策，首先簡(jiǎn)述了當(dāng)前的防護(hù)設(shè)備，即防火墻和入侵檢測(cè)系統(tǒng)，接著給出了網(wǎng)絡(luò)穿透通信模型，并從工作原理和關(guān)鍵技術(shù)深入分析了網(wǎng)絡(luò)穿透技術(shù)，最后結(jié)合網(wǎng)絡(luò)穿透技術(shù)研究，給出網(wǎng)絡(luò)穿透的防范對(duì)策。

關(guān)鍵詞：網(wǎng)絡(luò)穿透；網(wǎng)絡(luò)防護(hù)；防火墻；入侵檢測(cè)

中圖分類(lèi)號(hào)：TP393.08

伴隨著互聯(lián)網(wǎng)的迅猛發(fā)展，互聯(lián)網(wǎng)世界越來(lái)越豐富多彩，上網(wǎng)的人數(shù)和網(wǎng)絡(luò)應(yīng)用服務(wù)激劇增加，新的應(yīng)用協(xié)議，新的網(wǎng)絡(luò)服務(wù)層出不窮，對(duì)整體信息安全提出了巨大的挑戰(zhàn)。為了保護(hù)網(wǎng)絡(luò)內(nèi)部的安全和進(jìn)行網(wǎng)絡(luò)管理，政府、企業(yè)和用戶(hù)都采用防火墻、入侵檢測(cè)系統(tǒng)和病毒檢測(cè)等防護(hù)設(shè)備，來(lái)檢測(cè)和防御來(lái)自于網(wǎng)絡(luò)上的惡意行為，以提供安全保障。然而，網(wǎng)絡(luò)攻擊與防護(hù)是一個(gè)不斷對(duì)抗和發(fā)展的過(guò)程，當(dāng)前，攻擊者可以利用防火墻、入侵檢測(cè)設(shè)備和其他檢測(cè)技術(shù)上的漏洞和脆弱點(diǎn)，進(jìn)行網(wǎng)絡(luò)穿透。

通過(guò)網(wǎng)絡(luò)穿透，不法分子可以大肆談?wù)摬环▋?nèi)容、發(fā)泄對(duì)社會(huì)的不滿(mǎn)、造謠惑眾、傳播不法的思想，危害國(guó)家和社會(huì)安全；結(jié)合木馬、病毒和其他惡意程序，繞過(guò)網(wǎng)絡(luò)安全防護(hù)設(shè)備，達(dá)到非法控制、傳播和獲取秘密信息的目的；為盜版軟件、垃圾郵件和色情暴力等信息的傳播提供了平臺(tái)，破壞社會(huì)秩序[1]。因此，網(wǎng)絡(luò)穿透對(duì)網(wǎng)絡(luò)安全和監(jiān)管帶來(lái)了嚴(yán)重的沖擊，對(duì)網(wǎng)絡(luò)穿透技術(shù)進(jìn)行研究十分有必要。本文從攻擊者的角度研究了網(wǎng)絡(luò)穿透技術(shù)，并最終給出相應(yīng)的對(duì)策。首先對(duì)網(wǎng)絡(luò)防護(hù)設(shè)備進(jìn)行研究，分析了防火墻和入侵檢測(cè)系統(tǒng)，接著分析了網(wǎng)絡(luò)穿透技術(shù)，闡述了網(wǎng)絡(luò)穿透通信模型和基本原理，分析了網(wǎng)絡(luò)穿透的關(guān)鍵技術(shù)，最后給出了應(yīng)對(duì)當(dāng)前穿透技術(shù)的幾點(diǎn)對(duì)策。

1 網(wǎng)絡(luò)防護(hù)設(shè)備

為了保證網(wǎng)絡(luò)內(nèi)部的信息安全，政府、企業(yè)和用戶(hù)都會(huì)使用一些網(wǎng)絡(luò)防護(hù)設(shè)備進(jìn)行網(wǎng)絡(luò)監(jiān)視和管理。常見(jiàn)的網(wǎng)絡(luò)防護(hù)設(shè)備有防火墻和入侵檢測(cè)系統(tǒng)。

1.1 防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)不同的安全策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制，它本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全[2]。

防火墻是網(wǎng)絡(luò)安全的屏障，可以強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，并防止內(nèi)部信息的外泄。防火墻根據(jù)不同的網(wǎng)絡(luò)體系結(jié)構(gòu)，可以分為個(gè)人防火墻、網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)防火墻和電路級(jí)網(wǎng)關(guān)防火墻。其主要通過(guò)包過(guò)濾、檢查IP地址和端口，實(shí)現(xiàn)數(shù)據(jù)包的通行或阻止，通過(guò)檢測(cè)網(wǎng)絡(luò)會(huì)話的發(fā)起端，結(jié)合網(wǎng)絡(luò)流量的方向，判斷相互通過(guò)的信任關(guān)系，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的重組，分析數(shù)據(jù)包的內(nèi)容，來(lái)實(shí)現(xiàn)有無(wú)秘密信息的傳輸，來(lái)達(dá)到對(duì)內(nèi)外網(wǎng)絡(luò)流量的控制和管理。

1.2 入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)（Intrusion Detection）的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。IDS則是完成如入侵企圖或行為（Intrusion），同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作（Misuse）[3]。入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，它能夠?qū)ν獠咳肭趾蛢?nèi)部攻擊進(jìn)行實(shí)時(shí)監(jiān)視，在網(wǎng)絡(luò)系統(tǒng)受到危害時(shí)，進(jìn)行攔截和響應(yīng)，發(fā)現(xiàn)入侵行為。

入侵檢測(cè)系統(tǒng)能很好地彌補(bǔ)防火墻的不足，通過(guò)安全審計(jì)、流量識(shí)別和響應(yīng)監(jiān)視加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)管，及時(shí)發(fā)現(xiàn)不法的入侵行為，加強(qiáng)了網(wǎng)絡(luò)的安全管理能力，提升了網(wǎng)絡(luò)基礎(chǔ)安全的完整性。入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻的第二道安全閘門(mén)，它通過(guò)分析網(wǎng)絡(luò)流量，提取正常通信和異常通信的特征和行為區(qū)別，形成檢測(cè)規(guī)則，在網(wǎng)絡(luò)流時(shí)中監(jiān)視是否有非法的入侵行為。異常通信行為在通信數(shù)據(jù)包的特征上和通信的行為上肯定有著不一樣的地方，如某些木馬特定的通信端口、病毒數(shù)據(jù)包上的標(biāo)志以及惡意程序操作行為會(huì)有明顯的標(biāo)識(shí)，這些特點(diǎn)都被入侵檢測(cè)系統(tǒng)用來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)測(cè)。入侵檢測(cè)系統(tǒng)還能夠在發(fā)現(xiàn)入侵行為之后，及時(shí)做出響應(yīng)，包括：事件記錄、報(bào)警存儲(chǔ)和網(wǎng)絡(luò)連接切斷等。

2 網(wǎng)絡(luò)穿透技術(shù)

2.1 網(wǎng)絡(luò)穿透通信模型。網(wǎng)絡(luò)穿透，從狹義上講是點(diǎn)對(duì)點(diǎn)的，通過(guò)檢測(cè)和發(fā)掘防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)存在的漏洞，采用一些特定的技術(shù)，穿透這些安全設(shè)備，從而達(dá)到對(duì)目標(biāo)機(jī)器和目標(biāo)網(wǎng)絡(luò)的攻擊；廣義上講，凡是將攻擊代碼、隱秘?cái)?shù)據(jù)等傳到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備之后的目標(biāo)主機(jī)上的技術(shù)都可以看成一種穿透[4]。因此，網(wǎng)絡(luò)穿透通信模型可以描述成如下。

如圖1所示，網(wǎng)絡(luò)穿透通信模型包括了主機(jī)、防火墻、Internet部分、服務(wù)器和網(wǎng)絡(luò)服務(wù)，其中防火墻根據(jù)部署的位置不同，可以分為個(gè)人防火墻和網(wǎng)絡(luò)防火墻，本文主要從攻擊者角度，重點(diǎn)研究如何利用網(wǎng)絡(luò)穿透技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)防火墻的穿透，即實(shí)現(xiàn)主機(jī)穿透網(wǎng)絡(luò)防火墻后，經(jīng)過(guò)互聯(lián)網(wǎng)，實(shí)現(xiàn)對(duì)遠(yuǎn)程主機(jī)、服務(wù)器和其他網(wǎng)絡(luò)服務(wù)的訪問(wèn)。

2.2 網(wǎng)絡(luò)穿透工作原理。網(wǎng)絡(luò)穿透之所以能夠穿透防火墻，實(shí)現(xiàn)對(duì)限制資源的訪問(wèn)，主要的工作原理有：

2.2.1 進(jìn)行欺騙，偽裝成正常的通信。防火墻在配置的時(shí)候，通常會(huì)信任某些應(yīng)用程序和端口對(duì)網(wǎng)絡(luò)的訪問(wèn)。通過(guò)分析防火墻所信任的應(yīng)用程序，放行的IP地址、端口，就可以將自己有針對(duì)性地偽裝成防火墻已信任的通信。這樣，在網(wǎng)絡(luò)通信發(fā)生時(shí)，防火墻將會(huì)誤認(rèn)為是正常的數(shù)據(jù)通信，便允許其通過(guò)。例如，在正常的防火墻設(shè)置中，都會(huì)放行端口為80和443的通信，以保證該網(wǎng)絡(luò)正常的網(wǎng)絡(luò)訪問(wèn)，那么就可以將相應(yīng)的網(wǎng)絡(luò)通信偽裝端口為80或443的數(shù)據(jù)包，以達(dá)到欺騙防火墻，達(dá)到網(wǎng)絡(luò)穿透的目的。入侵檢測(cè)系統(tǒng)的主要思想是區(qū)分異常通信和正常通信，那么相應(yīng)的網(wǎng)絡(luò)通信只要進(jìn)行欺騙，偽裝成正常的通信行為，那么也使得入侵檢測(cè)系統(tǒng)的檢測(cè)難度極大加強(qiáng)。

2.2.2 進(jìn)行加密，實(shí)現(xiàn)數(shù)據(jù)內(nèi)容無(wú)法檢測(cè)。當(dāng)前防火墻和入侵檢測(cè)設(shè)備，能夠?qū)崿F(xiàn)對(duì)通信過(guò)程中數(shù)據(jù)包內(nèi)容的重組，從而達(dá)到對(duì)通信數(shù)據(jù)內(nèi)容的監(jiān)視，從內(nèi)容中判斷是否有網(wǎng)絡(luò)穿透行為的發(fā)生。然而，攻擊者可以利用一些加密通信隧道實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)容的加密，使得防火墻和入侵檢測(cè)系統(tǒng)只能監(jiān)測(cè)到加密后的密文，無(wú)法實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)容的判斷和過(guò)濾。例如，可以通過(guò)建立HTTPS隧道[5]，通過(guò)SSL協(xié)議，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密處理，這樣處理后的數(shù)據(jù)包只帶有通信雙方的IP和端口，通信的內(nèi)容完全是進(jìn)行加密的，這樣的通信內(nèi)容便可以順利穿透防火墻和入侵檢測(cè)系統(tǒng)，從而達(dá)到對(duì)目標(biāo)的非法訪問(wèn)。通信數(shù)據(jù)進(jìn)行加密，極大的隱藏了通信雙方的內(nèi)容，使得以監(jiān)控內(nèi)容的防護(hù)設(shè)備失效，而且進(jìn)行數(shù)據(jù)解密的難度相當(dāng)大，因此該工作原理，能夠?qū)崿F(xiàn)較好的網(wǎng)絡(luò)穿透。

2.2.3 進(jìn)行隱蔽，實(shí)現(xiàn)網(wǎng)絡(luò)匿名通信。雖然進(jìn)行加密，能夠進(jìn)行網(wǎng)絡(luò)穿透，但是加密的方式，還是實(shí)現(xiàn)不了對(duì)通信雙方身份的隱藏，防火墻和入侵檢測(cè)設(shè)備仍然可以對(duì)一些非法的通信IP地址進(jìn)封鎖，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)穿透一定的監(jiān)管。而且攻擊者可以利用信息隱藏技術(shù)和P2P技術(shù)，實(shí)現(xiàn)匿名通信，從而實(shí)現(xiàn)通信雙方或單方的身份隱藏，從而實(shí)現(xiàn)網(wǎng)絡(luò)穿透。例如，可以利用一些數(shù)據(jù)包上的特殊的空閉字段，填入約定好的數(shù)據(jù)比特，實(shí)現(xiàn)信息的隱藏傳輸，從而達(dá)到通信雙方身份的隱藏，如：基于共享DNS的防火墻穿透技術(shù)和基于ICMP協(xié)議的網(wǎng)絡(luò)穿透技術(shù)等[6]。還有就是利用P2P網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)訪問(wèn)目標(biāo)身份的隱藏，如基于Tor平臺(tái)匿名通信的網(wǎng)絡(luò)穿透技術(shù)。

2.3 網(wǎng)絡(luò)穿透關(guān)鍵技術(shù)分析。根據(jù)網(wǎng)絡(luò)穿透的工作原理，分析國(guó)內(nèi)外當(dāng)前的網(wǎng)絡(luò)穿透技術(shù)，主要的關(guān)鍵技術(shù)有如下：

2.3.1 代理服務(wù)技術(shù)。代理服務(wù)技術(shù)是常見(jiàn)的進(jìn)行間接訪問(wèn)網(wǎng)絡(luò)信息資源的中轉(zhuǎn)技術(shù)，它能夠?qū)崿F(xiàn)代理服務(wù)器和訪問(wèn)目標(biāo)之間的信息轉(zhuǎn)發(fā)和控制，實(shí)現(xiàn)網(wǎng)絡(luò)穿透，常見(jiàn)的代理有：SOCKS4代理、SOCKS5代理和HTTP代理等，其中SOCKS4代理只支持TCP，SOCKS5代理支持TCP和UDP協(xié)議。通過(guò)代理服務(wù)技術(shù)，可以實(shí)現(xiàn)突破IP地址的封鎖、隱藏自己的身份和訪問(wèn)限制資源，進(jìn)行網(wǎng)絡(luò)穿透的行為。

2.3.2 網(wǎng)頁(yè)和端口轉(zhuǎn)向技術(shù)。網(wǎng)頁(yè)轉(zhuǎn)向技術(shù)是指很多網(wǎng)站有提供網(wǎng)頁(yè)的自動(dòng)轉(zhuǎn)向功能，那么在內(nèi)網(wǎng)用戶(hù)可以利用該網(wǎng)頁(yè)重定位技術(shù)，通過(guò)這些合法網(wǎng)站，進(jìn)行網(wǎng)絡(luò)穿透。端口轉(zhuǎn)向技術(shù)是指針對(duì)防火墻的設(shè)置，將要訪問(wèn)的端口轉(zhuǎn)向防火墻開(kāi)放的端口，實(shí)現(xiàn)網(wǎng)絡(luò)穿透，如可以將端口轉(zhuǎn)向防火墻常開(kāi)放的80和443端口。網(wǎng)頁(yè)和端口轉(zhuǎn)向技術(shù)主要利用了數(shù)據(jù)包的修改和轉(zhuǎn)發(fā)，實(shí)現(xiàn)利用正常的網(wǎng)絡(luò)通信行為承載非法的通信，從而實(shí)現(xiàn)網(wǎng)絡(luò)穿透。

2.3.3 反彈連接技術(shù)。該技術(shù)源于木馬通信的發(fā)展，從開(kāi)始的主動(dòng)連接通信，通過(guò)木馬控制端主動(dòng)去連接植入目標(biāo)的木馬服務(wù)端，該方法容易被防火墻封阻，因此，發(fā)展了反彈連接方法，木馬程序的服務(wù)端通過(guò)訪問(wèn)代理服務(wù)器或域名解析獲取控制端IP地址，從而主動(dòng)發(fā)起對(duì)指定IP的連接，連接方面與主動(dòng)邊接相反是從內(nèi)向外的，容易實(shí)現(xiàn)網(wǎng)絡(luò)穿透。當(dāng)前大多數(shù)木馬都采用了該技術(shù)，進(jìn)行網(wǎng)絡(luò)穿透，如：灰鴿子、Poison IVY和PcShare等。

2.3.4 隧道穿透技術(shù)。隧道穿透技術(shù)是一種較常見(jiàn)網(wǎng)絡(luò)穿透技術(shù)，它使用一些常用服務(wù)接入端口如WEB服務(wù)、郵件、即時(shí)聊天工具端口，或者使用動(dòng)態(tài)掃描獲得的開(kāi)放端口，通過(guò)變化通信端口來(lái)出避免防火墻和入侵檢測(cè)系統(tǒng)的檢測(cè)。例如：利用HTTP隧道技術(shù)，將要通信的數(shù)據(jù)用HTTP協(xié)議進(jìn)行封裝，偽裝成正常的WEB訪問(wèn)數(shù)據(jù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)穿透，當(dāng)然也可以封裝成郵件或即時(shí)聊天數(shù)據(jù)。該隧道穿透技術(shù)還可以結(jié)合加密技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)容的加密，如匿名HTTPS隧道木馬[5]，其實(shí)現(xiàn)了用戶(hù)數(shù)據(jù)偽裝成HTTPS數(shù)據(jù)包加密傳輸，達(dá)到網(wǎng)絡(luò)穿透的目的。

2.3.5 基于P2P的穿透技術(shù)。結(jié)合網(wǎng)絡(luò)探測(cè)技術(shù)和拓?fù)浒l(fā)現(xiàn)等技術(shù)，穿越和繞過(guò)NAT代理和防火墻，使得NAT代理和防火墻如同虛設(shè)。其中有基于TCP協(xié)議和UDP協(xié)議的P2P穿透技術(shù)，該穿透技術(shù)可以實(shí)現(xiàn)對(duì)通信雙方或單方的隱藏。如：SKYPE即時(shí)通訊工具，它采用P2P技術(shù)，運(yùn)用STUN和TURN的協(xié)議演變出的類(lèi)似協(xié)議來(lái)探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并實(shí)現(xiàn)UDP連接方式下的穿透NAT，或者尋找出繞出防火墻等安全設(shè)備的路徑[7]。

2.3.6 匿名通信技術(shù)。匿名通信技術(shù)是通過(guò)信息隱藏的方法，將信息流中的通信關(guān)系加以隱藏，使得竊聽(tīng)者無(wú)法直接獲知或推知雙方的通信關(guān)系或者通信的某一方。匿名通信的重要目的就是隱藏通信雙方的身份或者通信關(guān)系，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶(hù)的個(gè)人通信隱私以及通信內(nèi)容的更好保護(hù)，使監(jiān)管更為困難。如：以MIX、洋蔥路由器、TOR技術(shù)為代表的匿名通信技術(shù)發(fā)展快速，為穿透技術(shù)提供了新的平臺(tái)[8]。

3 防范對(duì)策

當(dāng)前網(wǎng)絡(luò)穿透技術(shù)的不斷發(fā)展，而且各種網(wǎng)絡(luò)穿透技術(shù)被綜合運(yùn)用，對(duì)網(wǎng)絡(luò)安全監(jiān)控和管理提出巨大的考驗(yàn)，針對(duì)該情況，本文嘗試給出幾點(diǎn)建議。

3.1 從技術(shù)研究上，要不斷緊跟新的網(wǎng)絡(luò)穿透技術(shù)，深入研究，尋找對(duì)策。當(dāng)前新的網(wǎng)絡(luò)穿透技術(shù)不斷呈現(xiàn)，信息安全人員要不斷緊跟新的網(wǎng)絡(luò)穿透技術(shù)的研究，結(jié)合防火墻技術(shù)和入侵檢測(cè)技術(shù)，不斷尋找應(yīng)對(duì)網(wǎng)絡(luò)穿透的方法。技術(shù)的對(duì)策，是最直接有效的，而且也是需要大力投入人力和經(jīng)費(fèi)的。網(wǎng)絡(luò)穿透技術(shù)當(dāng)前已經(jīng)呈觀出通信特征正?；?shù)據(jù)傳輸加密化和通信身體隱蔽化的特點(diǎn)，從技術(shù)上加強(qiáng)對(duì)網(wǎng)絡(luò)穿透技術(shù)的研究，并尋找相應(yīng)的措施是十分有必要。

3.2 從設(shè)備部署上，要在重點(diǎn)的網(wǎng)絡(luò)關(guān)口，骨干網(wǎng)絡(luò)加強(qiáng)部署防火墻和入侵檢測(cè)系統(tǒng)等防護(hù)設(shè)備。應(yīng)用行之有效的網(wǎng)絡(luò)防護(hù)設(shè)備才能夠在一定程度上阻止網(wǎng)絡(luò)穿透行為的發(fā)生，要研究企業(yè)或政府網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，部署防火墻或入侵檢測(cè)設(shè)備進(jìn)行監(jiān)視。在各個(gè)骨干節(jié)點(diǎn)上部署防火墻和入侵檢測(cè)設(shè)備，可以強(qiáng)化防護(hù)設(shè)備之間的聯(lián)動(dòng)作用，進(jìn)行分布式監(jiān)管，形成有效的監(jiān)視網(wǎng)。還有就是要對(duì)企業(yè)和政府等網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)設(shè)備如：文件服務(wù)器、WEB服務(wù)器等加強(qiáng)監(jiān)控，部署防護(hù)設(shè)備。

3.3 從規(guī)章制度上，要建立一套完善的、合理的互聯(lián)網(wǎng)上網(wǎng)規(guī)范，形成良好的監(jiān)管制度。企業(yè)或政府部分可以建立一套相對(duì)完善的上網(wǎng)規(guī)范，規(guī)范用戶(hù)的上網(wǎng)行為規(guī)范，從而形成良好的監(jiān)管制度。攻擊者之所以能夠進(jìn)行網(wǎng)絡(luò)穿透行為，他們利用了互聯(lián)網(wǎng)上大量的資源，如：代理服務(wù)器、匿名網(wǎng)絡(luò)和肉雞等，通過(guò)完善的上網(wǎng)規(guī)范，可以從一定程度上遏制這些資源的存在，以進(jìn)化整個(gè)網(wǎng)絡(luò)的環(huán)境，形成良好的秩序。

3.4 從教育引導(dǎo)上，要強(qiáng)化宣傳教育，引導(dǎo)網(wǎng)民樹(shù)立良好的互聯(lián)網(wǎng)紀(jì)律意識(shí)，從思想上遏制網(wǎng)絡(luò)穿透行為的發(fā)生。當(dāng)前有人利用網(wǎng)絡(luò)穿透技術(shù)，進(jìn)行一些非法行為，如：傳播非法言論、盜版軟件和色情暴力電影等，對(duì)該非法行為的違法之處還認(rèn)識(shí)不深，警示不夠。要從網(wǎng)民的思想教育上抓起，樹(shù)立在互聯(lián)網(wǎng)上什么能做，什么不能做的意識(shí)，并警示如果違反，將受到制度和法律的懲罰。養(yǎng)成良好的思想意識(shí)，這樣才能減少網(wǎng)絡(luò)穿透非法行為的發(fā)生，從而保證企業(yè)和政府的網(wǎng)絡(luò)安全。

4 結(jié)束語(yǔ)

隨著計(jì)算機(jī)技術(shù)的普及，在互聯(lián)網(wǎng)中網(wǎng)絡(luò)穿透不斷發(fā)生，通過(guò)網(wǎng)絡(luò)穿透，不法分子可以達(dá)到大肆造謠、非法傳播和數(shù)據(jù)竊取等目的，直接危害網(wǎng)絡(luò)信息安全。本文簡(jiǎn)介了當(dāng)前主要防護(hù)設(shè)備，即：防火墻和入侵檢測(cè)系統(tǒng)，接著從網(wǎng)絡(luò)穿透的通信模型、工作原理和關(guān)鍵技術(shù)分析了網(wǎng)絡(luò)穿透技術(shù)，給出了網(wǎng)絡(luò)穿透的通信模型，從欺騙、加密和隱蔽分析網(wǎng)絡(luò)穿透的工作原理，從六個(gè)方面分析網(wǎng)絡(luò)穿透的關(guān)鍵技術(shù)，最后從技術(shù)、設(shè)備、制度和教育四個(gè)方面給出網(wǎng)絡(luò)穿透技術(shù)的防范對(duì)策。網(wǎng)絡(luò)穿透技術(shù)與反穿透技術(shù)，必將是一個(gè)不斷對(duì)抗和發(fā)展的過(guò)程，我們應(yīng)該不斷緊盯網(wǎng)絡(luò)穿透技術(shù)的新發(fā)展，及時(shí)給出反穿透技術(shù)，從而保證網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)：

[1]彭樂(lè).網(wǎng)絡(luò)穿透技術(shù)的研究[D].北京：北京郵電大學(xué)，2008.

[2]王魯達(dá)，曾凡仔，張澎等.信息共享系統(tǒng)的防火墻穿透技術(shù)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2008（01）：38-40，44.

[3]肖競(jìng)?cè)A，胡華.入侵檢測(cè)技術(shù)的分析與研究[J].計(jì)算機(jī)安全，2009（08）.

[4]RichardTibbs等.防火墻與VPN原理與實(shí)踐[M].李展等，譯.北京：清華大學(xué)出版社，2008.

[5]劉超，王軼駿，施勇等.匿名HTTPS隧道木馬的研究[J].信息安全與通信保密，2011（12）：78-80.

[6]劉靜，裘國(guó)永.基于反向連接?HTTP隧道和共享DNS的防火墻穿透技術(shù)[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)（自然科學(xué)版），2007（05）：57-59.

[7]Salman A. Baset and Henning Schulzrinne.An Analysis of the Skpe Peer-to-Peer Internet Telephony Protocol.September 15，2004.

[8]Dogan Kesdogan，Mark Borning，and Michael Schmeink.Unobservable Surfing on the World Wide Web：Is Private Information Retrieval an alternative to the MIX[C].//In the Proceedings of Privacy Enhancing Technologies workshop（PET 2002），April 2002.

作者簡(jiǎn)介：樊波（1982-），男，江蘇濱海人，碩士研究生，主要研究方向：信息安全。

作者單位：數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450002