王玉霞

摘 要：網(wǎng)絡(luò)安全問(wèn)題日益重要，本文比較了防火墻技術(shù)、入侵檢測(cè)技術(shù)和加密技術(shù)，介紹了SSL協(xié)議、HTTPS協(xié)議和L2TP協(xié)議等網(wǎng)絡(luò)安全協(xié)議，以期探尋新技術(shù)手段有效管理網(wǎng)絡(luò)。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻 安全協(xié)議

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）02（c）-0033-01

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)正朝著分布式方向飛速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題越來(lái)越重要。網(wǎng)絡(luò)安全涉及數(shù)學(xué)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)、信息安全技術(shù)等多門(mén)學(xué)科，確保網(wǎng)絡(luò)環(huán)境下系統(tǒng)運(yùn)行安全可靠、信息保密、數(shù)據(jù)完整，使網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。

1 傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)比較

1.1 防火墻技術(shù)

防火墻是最早成熟、使用廣泛的網(wǎng)絡(luò)安全工具，用來(lái)阻擋外來(lái)不穩(wěn)定因子影響內(nèi)部網(wǎng)絡(luò)，防止黑客對(duì)網(wǎng)絡(luò)的攻擊和控制。防火墻安全隔離技術(shù)，也成為一種數(shù)據(jù)控制訪問(wèn)機(jī)制，在內(nèi)部網(wǎng)建立起安全網(wǎng)關(guān)，它主要有服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾以及應(yīng)用網(wǎng)關(guān)四部分組成，是介于計(jì)算機(jī)及其連接網(wǎng)絡(luò)間的軟件或者硬件。從防火墻的實(shí)現(xiàn)原理分為四類：網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)防火墻、電路級(jí)網(wǎng)關(guān)以及規(guī)則檢查防火墻。這四類防火墻技術(shù)都有各自的優(yōu)勢(shì)，在使用過(guò)程中根據(jù)實(shí)際需要使用哪一種或是綜合使用。

1.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)的發(fā)展經(jīng)歷了集中式階段（基本模型是通用入侵檢測(cè)模型）、層次式（層次化入侵檢測(cè)模型）、集成式（管理式入侵檢測(cè)模型）三個(gè)階段。入侵檢測(cè)系統(tǒng)采用的技術(shù)分為兩種：特征檢測(cè)、異常檢測(cè)和混合檢測(cè)。特征檢測(cè)根據(jù)以往檢測(cè)出來(lái)的入侵方法，并做出定性描述，檢測(cè)主體活動(dòng)是否符合已檢測(cè)出的事件模式，當(dāng)檢測(cè)的事件模式與已知的模式匹配，則較準(zhǔn)確地預(yù)報(bào)檢測(cè)結(jié)果，但是對(duì)于新出現(xiàn)的入侵模式無(wú)能為力；異常檢測(cè)主要理念是假設(shè)入侵事件和正常主體活動(dòng)異常，建立記錄主體活動(dòng)行為，若當(dāng)前活動(dòng)主體情況與所建立的記錄不符合，則認(rèn)為是異常入侵活動(dòng)；混合檢測(cè)是特征檢測(cè)和異常檢測(cè)的綜合技術(shù)，不僅可以分析正常行為，還檢測(cè)異常入侵行為。

1.3 加密技術(shù)

加密技術(shù)室將明文采用數(shù)學(xué)或物理方法將明文信息轉(zhuǎn)換成密文，接收方采用相應(yīng)的方法才能將其解密并還原成明文。加密技術(shù)成為通信安全的基石，加密的過(guò)程有不同的加密算法來(lái)實(shí)施，迄今為止，各種加密的算法已多達(dá)數(shù)百種，這些加密算法按照雙方密鑰是否相同分為保密密碼算法和公鑰密碼算法，也分別對(duì)稱加密和非對(duì)稱加密加密算法。對(duì)稱加密算法的典型代表是DES（Data Encryption Standard）算法，非對(duì)稱加密算法的典型代表是RSA（Rivest Shamir Ad1eman）算法。在線交易的過(guò)程中可通過(guò)數(shù)字證書(shū)驗(yàn)證身份，用數(shù)字簽名對(duì)數(shù)據(jù)包進(jìn)行加密，接手者才可以解密，確保了數(shù)據(jù)傳遞過(guò)程中的安全性，發(fā)送方也不能否認(rèn)所發(fā)送的信息。

2 網(wǎng)絡(luò)安全協(xié)議

2.1 SSL協(xié)議

SSL協(xié)議是Netscape公司開(kāi)發(fā)的安全套接字協(xié)議層，為網(wǎng)絡(luò)管理提供安全保護(hù)，為數(shù)據(jù)鏈傳輸數(shù)據(jù)遭到破壞和更改。SSL協(xié)議應(yīng)用于TCP/IP協(xié)議和應(yīng)用層協(xié)議之間，對(duì)服務(wù)器和用戶進(jìn)行認(rèn)證，確保數(shù)據(jù)安全傳輸，在傳輸?shù)倪^(guò)程中加密數(shù)據(jù)，維護(hù)傳輸數(shù)據(jù)的安全性和完整性。SSL協(xié)議主要有四個(gè)協(xié)議組成：記錄協(xié)議、握手協(xié)議、告警協(xié)議和秘鑰更改協(xié)議，其工作流程有服務(wù)器認(rèn)證階段和用戶認(rèn)證階段。在服務(wù)器認(rèn)證階段，客戶端向服務(wù)器發(fā)送請(qǐng)求，建立一個(gè)新的回話鏈接，服務(wù)器根據(jù)客戶發(fā)送的請(qǐng)求確定是否響應(yīng)，若驗(yàn)證通過(guò)，則產(chǎn)生公開(kāi)密鑰，公開(kāi)迷藥加密后由客戶端傳給服務(wù)器；在用戶認(rèn)證階段，客戶端根據(jù)服務(wù)發(fā)送的提問(wèn)，返回經(jīng)過(guò)數(shù)字簽名后的提問(wèn)以及公開(kāi)密鑰，服務(wù)器完成對(duì)客戶的認(rèn)證。

2.2 HTTPS協(xié)議

HTTPS協(xié)議是安全超文本傳輸協(xié)議，是Netscape開(kāi)發(fā)的內(nèi)置于瀏覽器，適用于分布式超媒體信息系統(tǒng)。HTTPS協(xié)議使用HTTP通道，傳輸密文，適用Netscape的安全套接層（SSL）成為HTTPS協(xié)議的安全基礎(chǔ)。HTTPS是加密的傳輸協(xié)議，使用的端口是443，由SSL和HTTP協(xié)議共同構(gòu)建的加密傳輸協(xié)議，除可以進(jìn)行加密傳輸，還可進(jìn)行身份驗(yàn)證，安全性高于http協(xié)議。使用HTTPS的服務(wù)器向CA（Certificate Authority）申請(qǐng)證書(shū)用以證明服務(wù)器的用途類型?？蛻舳巳羧〉眯湃蔚闹鳈C(jī)必須有該證書(shū)用于相應(yīng)的服務(wù)器。盡管傳輸?shù)倪^(guò)程效率很低，但是安全性是很高的，特別對(duì)于銀行等部門(mén)對(duì)于安全性要求很高的系統(tǒng)。

2.3 L2TP協(xié)議

PPP協(xié)議封裝數(shù)據(jù)，其數(shù)據(jù)包可通過(guò)點(diǎn)到點(diǎn)二層鏈路上傳輸，為此微軟和思科提出了L2TP協(xié)議。L2TP協(xié)議支持PPP鏈路層數(shù)據(jù)包的隧道傳輸，PPP回話點(diǎn)和二層鏈路的端點(diǎn)在不同設(shè)備上，其信息交互使用了包交換技術(shù)，有效將PPP模型進(jìn)行了拓展。協(xié)議主要層次結(jié)構(gòu)描述了PPP數(shù)據(jù)幀、L2TP數(shù)據(jù)消息、L2TP控制消息、L2TP數(shù)據(jù)通道、數(shù)據(jù)包傳輸網(wǎng)絡(luò)之間的關(guān)系，PPP數(shù)據(jù)幀傳輸在數(shù)據(jù)通道上，而控制消息傳輸在可靠的控制通道，抑制網(wǎng)絡(luò)數(shù)據(jù)的速率，使得接受端來(lái)得及接收，盡量避免數(shù)據(jù)因擁塞而造成的數(shù)據(jù)包丟失。

2.4 IPSEC協(xié)議

IPSEC協(xié)議是國(guó)際互聯(lián)網(wǎng)工程任務(wù)組制定的一種適用于網(wǎng)絡(luò)的加密認(rèn)證標(biāo)準(zhǔn)，具有工業(yè)開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，其主要功能是為點(diǎn)到點(diǎn)通信提供認(rèn)證和加密，為通絡(luò)通信提供安全服務(wù)。該協(xié)議在發(fā)送方IP和接收方IP地址間建立信任，通過(guò)篩選數(shù)據(jù)包和實(shí)施受信任的通訊維護(hù)網(wǎng)絡(luò)安全。IP地址不需要進(jìn)行標(biāo)識(shí)，但身份驗(yàn)證程序驗(yàn)證地址后面的數(shù)據(jù)包，實(shí)施計(jì)算機(jī)終端的安全設(shè)置。當(dāng)從發(fā)送方和接收方進(jìn)行防火墻類型的數(shù)據(jù)包或地址轉(zhuǎn)換，僅僅源向目標(biāo)路由數(shù)據(jù)的通信并不需要IPSEC。其安全特性主要有：不可否認(rèn)性、反重播性、數(shù)據(jù)完整性、數(shù)據(jù)可靠性（加密）、認(rèn)證。

網(wǎng)絡(luò)安全技術(shù)為網(wǎng)絡(luò)信息傳輸提供保護(hù)，保護(hù)計(jì)算機(jī)硬件和軟件免遭破壞和更改，保障信息安全，確保網(wǎng)絡(luò)運(yùn)行環(huán)境的安全。由于網(wǎng)絡(luò)運(yùn)行環(huán)境的多變性和復(fù)雜性日益突出，網(wǎng)絡(luò)安全受到重大挑戰(zhàn)，探尋新技術(shù)手段有效管理網(wǎng)絡(luò)具有十分重要的意義。

參考文獻(xiàn)

[1] Sean Convery.Network Security Architectures[M].人民郵電出版社，2005.

[2] 楊栩燊.入侵檢測(cè)技術(shù)淺析[J].電腦與電信，2009，7.

[3] 劉遠(yuǎn)生，辛一.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].2版.清華大學(xué)出版社，2009.

[4] 馬春光.防火墻、入侵檢測(cè)與VPN[M].北京郵電大學(xué)出版社，2008.endprint