网络安全的关键技术有哪些?
网络安全的关键技术有哪些?
一. 虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器 网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP 协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二. 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备. 它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态.
防火墙产品主要有堡垒主机, 包过滤路由器, 应用层网关(代理服务器) 以及电路层网关, 屏蔽主机防火墙, 双宿主机等类型.
防火墙处于5层网络安全体系中的最底层, 属于网络层安全技术范畴. 在这一层上, 企业对安全系统提出的问题是:所有的IP 是否都能访问到企业的内部网络系统 如果答案是" 是", 则说明企业内部网还没有在网络层采取相应的防范措施控制对系统的访问
集中的安全管理
使用Firewall 可以阻止攻击者获取攻击网络系统的有用信息,如
Finger 和DNS 。
记录和统计网络利用数据以及非法使用数据
Firewall 可以记录和统计通过Firewall 的网络通讯,提供关于网络使用的统计数据,并且,Firewall 可以提供统计数据,来判断可能的攻击和探测。
策略执行
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力 (4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP 网管
(6) VPN支持 (7) 认证和加密特性
(8) 服务的类型和原理 (9)网络地址转换能力
三. 病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC 安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
4) 在防火墙、代理服务器及PC 上安装Java 及ActiveX 控制扫描软件,禁止未经许可的控件下载和安装。
四. 入侵检测技术 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker 入侵的时间。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。 (5) 占用主机宝贵资源。 选择入侵监视系统的要点是: (1) 协议分析及检测能力。
(2) 解码效率(速度) 。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五. 安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数) 。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI 的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
七.VPN 技术
1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet 网络进行连接,由于internet 是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN 利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet ,暴露出两个主要危险:
来自internet 的未经授权的对企业内部网的存取。
当企业通过INTERNET 进行通讯时,信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN 安全解决方案,提供在INTERNET 上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
企业网络的全面安全要求保证:
保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
八. 应用系统的安全技术
在利用域名服务时,应该注意到以上的安全问题。主要的措施有:
(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service 攻击,应设计备份域名服务器。
但Web 服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web 服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:
加强电子邮件系统的安全性,通常有如下办法:
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能) 。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯) 。
(4) 升级到最新的安全版本。