网络安全概述.doc

网络平安概述

随着计算机技术和网络技术的开展,网络平安问题,在今天已经成为网络世界里最为人关在的问题之一,危害网络平安的因素很多,他们主要依附于各种恶意软件,其中病毒和木马最为一般网民所熟悉,针对这些危害因素,网络平安技术得以快速开展,这也大大提高了网络的平安性.下面探讨了网络平安的几点策略.

1.1计算机网络平安含义

计算机网络平安的具体含义会随着使用者的变化而变化,使用者不同,对网络平安的认识和要求也就不用.例如从普通使用者的角度来说,可能仅仅希望个人隐私或者机密信息在网络上传输时受到保护,防止窃听.篡改和伪造;而网络提供商除了关心这些网络信息平安外,还要考虑如何应付突发的自然灾害.军事打击等对网络硬件的破坏,以及在网络出现异常时如果恢复网络通信,一保持网络通信的连续性.

从本质上来说,网络平安包括组成网络系统的硬件.软件在其网络上传输信息的平安性,使其不致因偶然的或者恶意的攻击遭到破坏,网络平安既技术方面的问题,也有管理方面的问题,两方面想好补充,缺一不可.

1.2网络平安策略分析

早起的网络放好技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而到达阻止对网络攻击.入侵的目的.主要保护网络防护技术包括:

防火墙

防火墙是一种隔离控制技术,通过预定义的平安策略,对内外通信强制实施访问控制,常用的防火墙技术有包过滤技术.状态检测技术,应用网关技术.包过滤技术是在网络层中队数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检测数据流中的每个数据包,根据数据包的源地址,目的地址,依据包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态几只,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规那么表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规那么表相比,它具有更好的灵活性和平安性;应用网关技术在应用层实现,它使用一个运行特殊的”通信数据平安检测”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据

防毒墙

防毒墙是只位于网络入口处,用于对网络传输中的病毒进行过滤网络平安设备.防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的数据流却无能为力,因为它无法识别数据包中是否存在病毒这一情况;防毒墙那么是为了解决防火墙这种防毒缺陷而产生的一种平安设备.防毒墙使用签名技术在网关处进行查毒工作,阻止蠕虫和僵尸网络的扩散.此外,管理人员能够定义分组的平安策略,以过滤网络流量并阻止特定文件传输,文件类型扩展名,即时通信信道,批量或单独的IP/MAC地址,已经TCP.UDP端口和协议.

1.3网络监测技术分析

人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的平安技术应运而生.这类技术的根底思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击.包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动.主要的网络平安检测技术有:

入侵检测

入侵检测系统(IntrusionDectectionSystem,IDS)是用于检测任何损害或企图损害系统的保密性,完整性或可用性行为的一种网络平安技术.它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动.作为防火墙的有效补充,入侵检测技术能够帮助系统对付和未知网络攻击,扩展了系统管理员的平安管理能力(包括全审计,监视,攻击识别和相应),提高了信息平安根底结构的完整性.

入侵防御

入侵防御系统(IntrusionPreventionSystem,IPS)那么是一种主动的,积极的入侵防范,阻止系统.IPS是基于IDS店,建立在IDS开展的根底上的新生网络平安技术,IPS的检测功能类似于IDS,防御功能类似于防火墙.IDS是一种并联的在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地讲攻击包丢掉或采取措施将攻击源阻断.可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统.防火墙的粒度比拟粗的访问控制产品,它基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换,效劳代理,流量统计,VPN等功能.

漏洞扫描

漏洞扫描技术是一项重要的主动防范平安技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端