网络数据库安全保障的几项技术和具体实现办法.pdfVIP

网络数据库安全保障的几项技术和具体实现办法 王鹏飞 (中国科学院大气物理研究所。北京100029) 摘要本文讨论了加强网络服务器的安全性，改进服务效果的一些技术，包括合 理分配网络资源。应用防火墙技术，使用网络地址翻译NAT技术，设置代理服 务技术。主动监测技术，数据库备份与服务器故障恢复，同时对每个技术内容都 给出了比较详细的实例。 安全控制 关键词网络资源分配流量统计 防火墙 NAT代理服务器 数据备份 一、网络数据库安全概述 一个优秀的网站不但要有漂亮的界面、丰富的内容，还要有安全的保障，否则不可能 为用户提供可靠的服务。这里我们结合自己工作的实际，介绍一下网络数据库安全设置 的一般过程和需要注意的问题。 在网络服务器系统中主要注意下面几方面加强网络服务器的安全性，改进服务效果。 1．合理使用网络资源 合理划分子网，一般来说科学院内子网掩码为255．255．255．192，也就是同一段内有 64个IP地址，在大部分情况下，这种划分能满足要求，但有时上网机器数目多于64个， 就需要有两个或多个网段，为了提高相邻网段之间的网络速度要使用高效路由进行路由 转接，硬件路由器在速度上有很大优势，如果对转接速度要求不是十分高，软件路由器也 能很好完成路由任务。 另外就是防止网络资源被盗用，如IP地址盗用，邮件服务器被利用大量转发信件等， 通常对付这类偶发事件没有特别好的办法，需要有经验的管理员能够及时发现问题并解 决。如果能够经常注意一下关于网络安全的讨论会很有帮助。 2．防火墙技术 算机了。由于本地网络属于同一个组织，本地网络中的计算机相互之间都可以信任，而外 部Internet上的计算机可能来自任意地方，因此不可信任。如何给可信任的本地网络中 的计算机提供资源，而不给其他Internet上的计算机提供访问或入侵的机会，同时又不妨 碍本地网络中的计算机正常访问Internet，就成为了建立内部网络的一个要求。 当然。针对每个计算机进行设置，也可以达到屏蔽外部网络访问的目的。然而这样做 · 182· 一方面不太方便。对每个计算机都要进行设置，另一方面不太安全，内部网络中不是每台 计算机使用的操作系统都具备良好的保护措施，而外部网络中的计算机可以通过这些不 安全的操作系统进入内部网络，提供了攻击的途径。因此更好的办法是防御入侵者于网 络之外，在内部网络和外部网络中架设一个防火墙，所有的访问都需要经过它进行验证， 对内部网络提供了保护作用。 为了对内部网络提供保护，就有必要对通过防火墙的数据包进行检查，例如检查其源 地址和目的地址、端口地址、数据包的类型等，根据这些数据来判断这个数据包是否为合 法数据包，如果不符合预定义的规则，就不将这个数据包发送到其目的计算机中去。由于 包过滤技术要求内外通信的数据包必须通过使用这个技术的计算机，才能进行过滤，因而 包过滤技术必须用在路由器上。因为只有路由器才是连接多个网络的桥梁，所有网络之 间交换的数据包都得经过它，所以路由器就有能力对每个数据包进行检查。 通常的路由器都支持基本的包过滤能力，路由器在转发IP数据包的时候，缺省状态 并不涉及数据包中的内容，只是按照IP包的目的地址和本身的路由表进行转发。为了使 得它进行包过滤，就必须定义一系列过滤规则，使得路由器能进行过滤。通常情况下，过 滤能针对IP地址、端口地址、连接类型等进行设定，还能够针对数据包进行转发，将数据 包转发到合适的计算机中。 在包过滤的条件下，内部网络的计算机还是直接和外部计算机相通信的。由于这是 直接在IP层工作，可以适合所有的应用服务，灵活性和效率都较高。但也存在缺点，比如 不能了解应用协议的具体形式，也不能提供清晰的日志记录等。 3．网络地址翻译NAT技术 Address 为了解决地址紧张的问题，提出了网络地址翻译(NetworkTranslation， NAT)的方法。NAT能处理每个IP数据包，将其中的地址部分进行转换，将对内部和外 部IP进行直接映射，从一批可使用的IP地址池中动态选