網路安全傳輸通道技術的研發

『壹』 網路安全技術的發展趨勢

專家論壇——信息網路安全技術及發展趨勢 - 華為 中文 [ 選擇地區/語言 ]

在信息網路普及的同時，信息安全威脅隨之也在不斷增加，信息網路的安全性越來越引起人們的重視。在當前復雜的應用環境下，信息網路面臨的安全形勢非常嚴峻。

安全威脅攻擊方法的演進

過去的一年裡，重大信息安全事件的發生率確實已經有所下降，往年震動業界的安全事件幾乎沒有發生。但是在這種較為平靜的表面之下，信息安全的攻擊手段正變得更具有針對性，安全形勢更加嚴峻。信息安全威脅方式的演進主要體現在如下幾個方面。

實施網路攻擊的主體發生了變化

實施網路攻擊的主要人群正由好奇心重、炫耀攻防能力的興趣型黑客群，向更具犯罪思想的贏利型攻擊人群過渡，針對終端系統漏洞實施「zero-day攻擊」和利用網路攻擊獲取經濟利益，逐步成為主要趨勢。其中以僵屍網路、間諜軟體為手段的惡意代碼攻擊，以敲詐勒索為目的的分布式拒絕服務攻擊，以網路仿冒、網址嫁接、網路劫持等方式進行的在線身份竊取等安全事件持續快增，而針對P2P、IM等新型網路應用的安全攻擊也在迅速發展。近期以「熊貓燒香」、「灰鴿子」事件為代表形成的黑色產業鏈，也凸顯了解決信息安全問題的迫切性和重要性。

企業內部對安全威脅的認識發生了變化

過去，企業信息網路安全的防護中心一直定位於網路邊界及核心數據區，通過部署各種各樣的安全設備實現安全保障。但隨著企業信息邊界安全體系的基本完善，信息安全事件仍然層出不窮。內部員工安全管理不足、員工上網使用不當等行為帶來的安全風險更為嚴重，企業管理人員也逐步認識到加強內部安全管理、採取相關的安全管理技術手段控制企業信息安全風險的重要性。

安全攻擊的主要手段發生了變化

安全攻擊的手段多種多樣，典型的手段包含拒絕服務攻擊、非法接入、IP欺騙、網路嗅探、中間人攻擊、木馬攻擊以及信息垃圾等等。隨著攻擊技術的發展，主要攻擊手段由原來單一的攻擊手段，向多種攻擊手段結合的綜合性攻擊發展。例如結合木馬、網路嗅探、防拒絕服務等多種攻擊手段的結合帶來的危害，將遠遠大於單一手法的攻擊，且更難控制。

信息安全防護技術綜述

信息網路的發展本身就是信息安全防護技術和信息安全攻擊技術不斷博弈的過程。隨著信息安全技術的發展，我們經歷了從基本安全隔離、主機加固階段、到後來的網路認證階段，直到將行為監控和審計也納入安全的范疇。這樣的演變不僅僅是為了避免惡意攻擊，更重要的是為了提高網路的可信度。下面分析信息網路中常用的信息安全技術和網路防護方法。

基本信息安全技術

信息安全的內涵在不斷地延伸，從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為「攻（攻擊）、防（防範）、測（檢測）、控（控制）、管（管理）、評（評估）」等多方面的基礎理論和實施技術。目前信息網路常用的基礎性安全技術包括以下幾方面的內容。

身份認證技術：用來確定用戶或者設備身份的合法性，典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。

加解密技術：在傳輸過程或存儲過程中進行信息數據的加解密，典型的加密體制可採用對稱加密和非對稱加密。

邊界防護技術：防止外部網路用戶以非法手段進入內部網路，訪問內部資源，保護內部網路操作環境的特殊網路互連設備，典型的設備有防火牆和入侵檢測設備。

訪問控制技術：保證網路資源不被非法使用和訪問。訪問控制是網路安全防範和保護的主要核心策略，規定了主體對客體訪問的限制，並在身份識別的基礎上，根據身份對提出資源訪問的請求加以許可權控制。

主機加固技術：操作系統或者資料庫的實現會不可避免地出現某些漏洞，從而使信息網路系統遭受嚴重的威脅。主機加固技術對操作系統、資料庫等進行漏洞加固和保護，提高系統的抗攻擊能力。

安全審計技術：包含日誌審計和行為審計，通過日誌審計協助管理員在受到攻擊後察看網路日誌，從而評估網路配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，並能為實時防禦提供手段。通過對員工或用戶的網路行為審計，確認行為的合規性，確保管理的安全。

檢測監控技術：對信息網路中的流量或應用內容進行二至七層的檢測並適度監管和控制，避免網路流量的濫用、垃圾信息和有害信息的傳播。

網路安全防護思路

為了保證信息網路的安全性，降低信息網路所面臨的安全風險，單一的安全技術是不夠的。根據信息系統面臨的不同安全威脅以及不同的防護重點和出發點，有對應的不同網路安全防護方法。下面分析一些有效的網路安全防護思路。

基於主動防禦的邊界安全控制

以內網應用系統保護為核心，在各層的網路邊緣建立多級的安全邊界，從而實施進行安全訪問的控制，防止惡意的攻擊和訪問。這種防護方式更多的是通過在數據網路中部署防火牆、入侵檢測、防病毒等產品來實現。

基於攻擊檢測的綜合聯動控制

所有的安全威脅都體現為攻擊者的一些惡意網路行為，通過對網路攻擊行為特徵的檢測，從而對攻擊進行有效的識別，通過安全設備與網路設備的聯動進行有效控制，從而防止攻擊的發生。這種方式主要是通過部署漏洞掃描、入侵檢測等產品，並實現入侵檢測產品和防火牆、路由器、交換機之間的聯動控制。

基於源頭控制的統一接入管理

絕大多數的攻擊都是通過終端的惡意用戶發起，通過對接入用戶的有效認證、以及對終端的檢查可以大大降低信息網路所面臨的安全威脅。這種防護通過部署桌面安全代理、並在網路端設置策略伺服器，從而實現與交換機、網路寬頻接入設備等聯動實現安全控制。

基於安全融合的綜合威脅管理

未來的大多數攻擊將是混合型的攻擊，某種功能單一的安全設備將無法有效地對這種攻擊進行防禦，快速變化的安全威脅形勢促使綜合性安全網關成為安全市場中增長最快的領域。這種防護通過部署融合防火牆、防病毒、入侵檢測、VPN等為一體的UTM設備來實現。

基於資產保護的閉環策略管理

信息安全的目標就是保護資產，信息安全的實質是「三分技術、七分管理」。在資產保護中，信息安全管理將成為重要的因素，制定安全策略、實施安全管理並輔以安全技術配合將成為資產保護的核心，從而形成對企業資產的閉環保護。目前典型的實現方式是通過制定信息安全管理制度，同時採用內網安全管理產品以及其它安全監控審計等產品，從而實現技術支撐管理。

信息網路安全防護策略

「魔高一尺，道高一丈」，信息網路的不斷普及，網路攻擊手段也不斷復雜化、多樣化，隨之產生的信息安全技術和解決方案也在不斷發展變化，安全產品和解決方案也更趨於合理化、適用化。經過多年的發展，安全防禦體系已從如下幾個方面進行變革：由「被動防範」向「主動防禦」發展，由「產品疊加」向「策略管理」過渡，由「保護網路」向「保護資產」過渡。

根據對信息網路安全威脅以及安全技術發展趨勢的現狀分析，並綜合各種安全防護思路的優點，信息網路安全防護可以按照三階段演進的策略。通過實現每一階段所面臨的安全威脅和關鍵安全需求，逐步構建可防、可控、可信的信息網路架構。

信息網路安全防護演進策略

信息網路安全防護演進將分為三個階段。

第一階段：以邊界保護、主機防毒為特點的縱深防禦階段

縱深防禦網路基於傳統的攻擊防禦的邊界安全防護思路，利用經典的邊界安全設備來對網路提供基本的安全保障，採取堵漏洞、作高牆、防外攻等防範方法。比如通過防火牆對網路進行邊界防護，採用入侵檢測系統對發生的攻擊進行檢測，通過主機病毒軟體對受到攻擊的系統進行防護和病毒查殺，以此達到信息網路核心部件的基本安全。防火牆、入侵檢測系統、防病毒成為縱深防禦網路常用的安全設備，被稱為「老三樣」。

隨著攻擊技術的發展，縱深防禦的局限性越來越明顯。網路邊界越來越模糊，病毒和漏洞種類越來越多，使得病毒庫和攻擊特徵庫越來越龐大。新的攻擊特別是網路病毒在短短的數小時之內足以使整個系統癱瘓，縱深防禦的網路已經不能有效解決信息網路面臨的安全問題。這個階段是其它安全管理階段的基礎。

第二階段：以設備聯動、功能融合為特點的安全免疫階段

該階段採用「積極防禦，綜合防範」的理念，結合多種安全防護思路，特別是基於源頭抑制的統一接入控制和安全融合的統一威脅管理，體現為安全功能與網路設備融合以及不同安全功能的融合，使信息網路具備較強的安全免疫能力。例如網路接入設備融合安全控制的能力，拒絕不安全終端接入，對存在安全漏洞的終端強制進行修復，使之具有安全免疫能力；網路設備對攻擊和業務進行深層感知，與網路設備進行全網策略聯動，形成信息網路主動防禦能力。

功能融合和全網設備聯動是安全免疫網路的特徵。與縱深防禦網路相比，具有明顯的主動防禦能力。安全免疫網路是目前業界網路安全的主題。在縱深防禦網路的基礎上，從源頭上對安全威脅進行抑制，通過功能融合、綜合管理和有效聯動，克服了縱深防禦的局限性。

第三階段：以資產保護、業務增值為特點的可信增值階段

可信增值網路基於信息資產增值的思想，在基於資產保護的閉環策略管理的安全防護思路的基礎上，通過建立統一的認證平台，完善的網路接入認證機制，保證設備、用戶、應用等各個層面的可信，從而提供一個可信的網路環境，促進各種殺手級應用的發展，實現信息網路資產的增值。

在可信增值網路中，從設備、終端以及操作系統等多個層面確保終端可信，確保用戶的合法性和資源的一致性，使用戶只能按照規定的許可權和訪問控制規則進行操作，做到具有許可權級別的人只能做與其身份規定相應的訪問操作，建立合理的用戶控制策略，並對用戶的行為分析建立統一的用戶信任管理。

從業界的信息安全管理發展趨勢來看，基本上會遵循上述的三個階段來發展。目前還處於第二階段，第三階段的部分技術和解決方案也在開發中。下面我們詳細介紹第二階段——安全免疫階段。

安全免疫網路介紹

採用「堵漏洞、作高牆、防外攻」等防範方法的縱深防禦網路在過去的一段時間里對信息網路的安全管理發揮了重要作用。但是目前網路威脅呈現出復雜性和動態性的特徵，黑客日益聚焦於混合型攻擊，結合各種有害代碼來探測和攻擊系統漏洞，並使之成為僵屍或跳板，再進一步發動大規模組合攻擊。攻擊速度超乎想像，已經按小時和分鍾來計算，出現了所謂大量的零日或零小時攻擊的新未知攻擊。縱深防禦網路已經不能勝任當前的網路安全狀況。

用戶更需要零距離、多功能的綜合保護。安全能力與網路能力的融合，使網路具備足夠的安全能力，將成為信息網路發展的趨勢。安全免疫網路基於主動防禦的理念，通過安全設備融合網路功能、網路設備融合安全能力，以及多種安全功能設備的融合，並與網路控制設備進行全網聯動，從而有效防禦信息網路中的各種安全威脅。

免疫網路具備以下兩大特點
產品、功能和技術的融合

在安全免疫網路中，安全功能將與網路功能相互融合，同時安全功能之間將進行集成融合。此時，在安全產品中可以集成數據網路應用的網卡、介面技術、封裝技術等，如E1/T1介面、電話撥號、ISDN等都可以集成進安全網關。此外，新的安全網關技術可以支持RIP、OSPF、BGP、IPv6等協議，滿足中小企業對安全功能和路由功能融合的需求。網關安全產品已經從單一的狀態檢測防火牆發展到了加入IPS、VPN、殺毒、反垃圾郵件的UTM，再到整合了路由、語音、上網行為管理甚至廣域網優化技術的新型安全設備。

此外，在交換機、路由器甚至寬頻接入設備中也可以集成防火牆、入侵檢測、VPN以及深度檢測功能，而且原有的防火牆、深度檢測、VPN、防病毒等功能也可以集成在一個統一的設備中。相關的網路設備或者安全設備可以部署在網路邊緣，從而對網路進行全方位保護。

終端、網路和設備的聯動

安全免疫網路的聯動有兩個核心。第一個核心是接入控制，通過提供終端安全保護能力，在終端與安全策略設備、安全策略設備與網路設備之間建立聯動協議。第二個核心是綜合安全管理，綜合安全管理中心作為一個集中設備，提供對全網設備、主機以及應用的安全攻擊事件的管理。在中心與網路設備、安全設備之間建立聯動協議，從而實現全網安全事件的精確控制。

安全功能融合以及聯動防禦成為安全免疫網路的主題。融合的作用將使安全功能更集中、更強大，同時安全設備與路由功能的融合、安全功能與網路設備的融合將使網路對攻擊具備更強的免疫能力；通過基於安全策略的網路聯動，可實現統一的安全管理和全網的綜合安全防禦。

『貳』 網路安全技術主要有哪些

1、防火牆

網路防火牆技術是一種特殊的網路互聯設備，用於加強網路間的訪問控制，防止外網用戶通過外網非法進入內網，訪問內網資源，保護內網運行環境。它根據一定的安全策略，檢查兩個或多個網路之間傳輸的數據包，如鏈路模式，以決定網路之間的通信是否允許，並監控網路運行狀態。

目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。

2、殺毒軟體技術

殺毒軟體絕對是使用最廣泛的安全技術解決方案，因為這種技術最容易實現，但是我們都知道殺毒軟體的主要功能是殺毒，功能非常有限，不能完全滿足網路安全的需求，這種方式可能還是能滿足個人用戶或者小企業的需求，但是如果個人或者企業有電子商務的需求，就不能完全滿足。

幸運的是，隨著反病毒軟體技術的不斷發展，目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆，具有一定的防火牆功能，在一定程度上可以起到硬體防火牆的作用，比如KV300、金山防火牆、諾頓防火牆等等。

3、文件加密和數字簽名技術

與防火牆結合使用的安全技術包括文件加密和數字簽名技術，其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展，人們越來越關注網路安全和信息保密。

目前，各國除了在法律和管理上加強數據安全保護外，還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同，文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。

(2)網路安全傳輸通道技術的研發擴展閱讀：

首屆全VR線上網路安全大會舉辦

日前，DEF CON CHINA組委會正式官宣，歷經20餘月的漫長等待，DEF CON CHINA Party將於3月20日在線上舉辦。

根據DEF CON CHINA官方提供的信息，本次DEF CON CHINA Party將全程使用VR的方式在線上進行，這也是DEF CON歷史上的首次「全VR」大會。為此，主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中，Construct通常被譯為結構體。

『叄』 求教目前世界范圍內網路安全方面的最新進展與研究熱點

【熱心相助】
國內外網路安全技術研究現狀
1．國外網路安全技術的現狀
（1）構建完善網路安全保障體系
針對未來網路信息戰和各種網路威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網路環境、新的威脅，促使美國和其他很多發達國家為具體的技術建立一個以深度防禦為特點的整體網路安全平台——網路安全保障體系。
（2）改進常用安全防護技術
美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火牆技術、病毒防禦、訪問控制、身份認證等傳統的網路安全技術進行更為深入的研究，改進其實現技術，為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火牆等多種安全產品。
另外，美國等發達國家還結合生物識別、PKI和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為一個新的研究重點。從美國發生了恐怖襲擊事件，進一步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外，還發展了遠距人臉掃描和遠距虹膜掃描的技術，避免了傳統識別方法易丟失、易欺騙等許多缺陷。
（3）強化雲安全信息關聯分析
目前，針對各種更加復雜及頻繁的網路攻擊，加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究，及時地將不同安全設備、不同地區的信息進行關聯性分析，快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
（4）加強安全產品測評技術
系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊「9.11」事件以來，進一步加強了安全產品測評技術，軍隊的網路安全產品逐步採用在網路安全技術上有競爭力的產品，需要對其進行嚴格的安全測試和安全等級的劃分，作為選擇的重要依據。
（5）提高網路生存（抗毀）技術
美軍注重研究當網路系統受到攻擊或遭遇突發事件、面臨失效的威脅時，盡快使系統關鍵部分能夠繼續提供關鍵服務，並能盡快恢復所有或部分服務。結合系統安全技術，從系統整體考慮安全問題，是網路系統更具有韌性、抗毀性，從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
（6）優化應急響應技術
在美國「9.11」 襲擊事件五角大樓被炸的災難性事件中，應急響應技術在網路安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網路系統的正常運作，主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所准備，是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
（7）新密碼技術的研究
美國政府在進一步加強傳統密碼技術研究的同時，研究和應用改進新橢圓曲線和AES等對稱密碼，積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類：一是利用量子計算機對傳統密碼體制進行分析；二是利用單光子的測不準原理在光纖一級實現密鑰管理和信息加密，即量子密碼學。
2. 我國網路安全技術方面的差距
雖然，我國對網路安全技術方面的研究取得一些新成果，但是，與先進的發達國家的新技術、新方法、新應用等方面相比還有差距，需要盡快趕上，否則「被動就要挨打」。
（1）安全意識差，忽視風險分析
目前，我國較多企事業機構在進行構建及實施網路信息系統前，經常忽略或簡化風險分析，導致無法全面地認識系統存在的威脅，很可能導致安全策略、防護方案脫離實際。
（2）急需自主研發的關鍵技術
現在，我國計算機軟硬體包括操作系統、資料庫系統等關鍵技術嚴重依賴國外，而且缺乏網路傳輸專用安全協議，這是最大的安全隱患、風險和缺陷，一旦發生信息戰時，非國產的晶元、操作系統都有可能成為敵方利用的工具。所以，急需進行操作系統等安全化研究，並加強專用協議的研究，增強內部信息傳輸的保密性。
對於已有的安全技術體系，包括訪問控制技術體系、認證授權技術體系、安全DNS體系、IA工具集合、公鑰基礎設施PKI技術體系等，應該制訂持續性發展研究計劃，不斷發展完善，為網路安全保障充分發揮更大的作用。
（3）安全檢測薄弱
網路安全檢測與防禦是網路信息有效保障的動態措施，通過入侵檢測與防禦、漏洞掃描等手段，定期對系統進行安全檢測和評估，及時發現安全問題，進行安全預警，對安全漏洞進行修補加固，防止發生重大網路安全事故。
我國在安全檢測與防禦方面比較薄弱，應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合，實現跨越多邊界的網路入侵攻擊事件的檢測、防禦、追蹤和取證。
（4）安全測試與評估不完善
如測試評估的標准還不完整，測試評估的自動化工具匱乏，測試評估的手段不全面，滲透性測試的技術方法貧乏，尤其在評估網路整體安全性方面幾乎空白。
（5）應急響應能力弱
應急響應就是對網路系統遭受的意外突發事件的應急處理，其應急響應能力是衡量系統生存性的重要指標。網路系統一旦發生突發事件，系統必須具備應急響應能力，使系統的損失降至最低，保證系統能夠維持最必需的服務，以便進行系統恢復。
我國應急處理的能力較弱，缺乏系統性，對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術，缺乏研究和相應的產品。
（6）需要強化系統恢復技術
網路系統恢復指系統在遭受破壞後，能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網路系統恢復方面的工作，主要從系統可靠性角度進行考慮，以磁碟鏡像備份、數據備份為主，以提高系統的可靠性。然而，系統可恢復性的另一個重要指標是當系統遭受毀滅性破壞後的恢復能力，包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距，應注重相關遠程備份、異地備份與恢復技術的研究，包括研究遠程備份中數據一致性、完整性、訪問控制等關鍵技術。
參考資料主要網站
[ 1 ] IT專家網 http://security.ctocio.com.cn/
[ 2 ] 中國IT實驗室 http://download.chinaitlab.com/
[ 3 ] 安全中國 http://www.anqn.com/jiamijiemi/
[ 4 ] 中國計算機安全 http://www.infosec.org.cn/
[ 5 ] 51CTO技術論壇 http://www.51cto.com/html/
[ 6 ] 毒霸信息安全網 http://news.ba.net/secure/2006/06/07/84794.shtml
[ 7 ] 金山客戶服務中心 http://kefu.xoyo.com/index.php?game=ba
[ 8 ] 中國安全網 http://www.securitycn.net/
[ 9 ] IT安全世界 http://www.itcso.com/

『肆』 網路安全技術（麻煩高手幫一下手）

c、自我推進模塊
c、傳輸通道隱藏
b、操作系統的安全標識與鑒別
a、進程注入技術
b、禁止跟蹤中斷
b、建模方法
a、RTCS
a、分組過濾防火牆
a、進程隱藏

『伍』 網路安全技術主要是什麼

網路安全技術指致力於解決諸多如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網路結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略等。

網路安全技術是一種特殊的伴生技術，為其所服務的底層應用而開發，隨著底層應用進一步的互聯、普及和智能化，安全技術變得越來越重要。近幾年來，雲計算、邊緣計算、物聯網、人工智慧、工業4.0、大數據以及區塊鏈技術等新興領域尖端計算和信息技術不斷普及，影響深遠，但也帶來了嚴峻的安全挑戰。

網路安全技術是一種特殊的伴生技術，它為其所服務的底層應用而開發。隨著這些底層應用變得越來越互聯、普及和智能化，安全技術在當今社會也變得越來越重要。

網路安全一直是一個受到持續關注的熱點領域。不斷發展的安全技術本質上是由新生技術的成功推動的，如雲、物聯網、人工智慧等新技術的不斷出現。隨著這些嶄新應用所面對的不斷變化的安全威脅的出現，網路安全技術的前沿也不斷拓展。新的網路安全技術需要將網路、計算系統、安全理論以及工程基礎作為多學科課題進行整體研究與實踐。通過調查實際應用的系統功能和安全需求，我們最終可以解決不斷出現的具有高度挑戰性的全新安全問題並共同構建真正安全的網路空間。

『陸』 網路安全技術和實踐總結

網路安全技術指致力於解決諸多如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網路結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略等。信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
網路安全技術的實踐總結是發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用。

『柒』 網路安全技術

目前，國內各企業大都建立了計算機網路，網路應用頗具規模，特別在數值計算、信息管理、辦公事務、工程（產品）設計、加工製造等方面基本實現了計算機應用，計算機、網路和資料庫正在成為企業日常運行的基石。但是，許多企業由於網路管理相對滯後，網路效益難以獲得應有發揮。 如果各企業以現有的網路設施為基礎，在網路結構上做必要調整，在網路管理上做必要的加強，就能進一步挖掘網路潛力，提高各企業計算機網路的應用水平。
組網規劃
企業的組網技術存在多種選擇，但比較實用的是乙太網（Ethernet）和ATM。
乙太網較早進入網路應用領域，技術成熟，性能穩定，伸縮性強，性價比好，是企業區域網的首選技術。高速乙太網（1000Mbps及以上傳輸速率）甚至可承擔實時和多媒體網路業務。
ATM（Asynchronous Transfer Mode，非同步轉移模式）可以提供容量很大的信息通道，並將語音、數據、文本、圖像、視頻等各種信息在網路中進行統一的傳輸和交換，在支持綜合業務及信道利用率等方面具有優越的性能。
企業區域網一般由內部網和堡壘網兩部分組成。內部網又分成主網和各個相對獨立的子網。堡壘網可看做區域網中的一個子網，它把企業內部網和外部網連接起來，並在二者之間起隔離作用(見右圖)。
在企業區域網上，通常的網路應用有：通過伺服器實現文件服務和列印機（繪圖機）資源共享；資料庫應用；MIS及CAD應用；Internet 及Intranet應用；辦公自動化應用等。但是，在網路環境中，計算機應用方式應逐步實現網路化，並強調資源共享和協同工作。例如，在資料庫應用中，應採用C/S（客戶機/伺服器）應用結構，並逐步向B/S（瀏覽器/伺服器）應用結構過渡；在CAD應用中，應從單項設計向聯合設計過渡，並逐步引入三維模型設計方法；在MIS應用中，應以辦公自動化為核心，逐漸融入其他應用項目，藉助瀏覽器的支持，逐步形成一個集成的「E－企業」應用平台。
布線規劃
企業區域網都應進行結構化布線，以此提高企業區域網的規范性和穩定性水平。網路環境指的就是企業區域網結構化布線系統的周邊環境。
結構化布線系統由六個子系統組成：
(1) 工作區子系統
用戶設備與信息插座之間的連接線纜及部件。
(2) 水平子系統
樓層平面范圍內的信息傳輸介質（雙絞線、同軸電纜、光纜等）。
(3) 主幹子系統
連接網路中心和各子網設備間的信息傳輸介質（雙絞線、同軸電纜、光纜等）。
(4) 設備室子系統
安裝在設備室（網路中心、子網設備間）和電信室的布線系統，由連接各種設備的線纜及適配器組成。
(5) 建築群子系統
在分散建築物之間連接的信息傳輸介質（同軸電纜、光纜等）。
(6) 管理子系統
配線架及其交叉連接（HC—水平交叉連接，IC—中間交叉連接、MC—主交叉連接）的端接硬體和色標規則，線路的交連（Cross-Connect）和直連（Interconnect）控制。
對於網路環境來說，現行國家標准《建築與建築群綜合布線系統工程設計規范》（GB/T 50311-2000）、《計算站場地技術條件》（GB 2887-89）、《電子計算機機房設計規范》（GB 50174-93）、《計算站場地安全要求》（GB 9361-88）有明確的規定，可參照執行。
網路中心是區域網的核心，總配線架（MDF）、網路交換機、網路伺服器、路由器、防火牆、網關、海量存儲設備、網管設備等重要網路實體都放置在這里。網路中心的環境除應滿足上述規定的一般要求外，在某些方面宜執行上述規定中的A級標准。具體描述如下：
(1) 安全要求
場地選擇、防火、內部裝修、供配電系統、空調系統、火災報警及消防設施、防水、防靜電、防雷擊、防鼠害、電磁波防護11項，宜執行《計算站場地安全要求》（GB 9361－88）中的A級標准。
(2) 溫度和濕度
夏季溫度22±2℃，冬季溫度20±2℃，相對濕度45%～65％，溫度變化率小於5℃/h。
(3) 塵埃限制
粒度≥0.5μm，個數≤10000粒/dm3
(4) 腐蝕性氣體
二氧化硫（SO2）≤0.15，硫化氫（H2S）≤0.01。
(5) 網路電源
電壓的變動范圍為-5%～+5%,頻率變化范圍為-0.2Hz～+0.2Hz,波形失真率≤±5%；網路電源應採用不間斷電源供電系統。
(6) 接地
交流工作地的接地電阻不宜大於4Ω；安全保護地的接地電阻不應大於4Ω；信號地和屏蔽地的接地電阻不應大於3Ω；防雷保護地的接地電阻不應大於10Ω。
子網設備間一般放置分配線架（IDF）、子網交換機、子網伺服器、子網列印機等子網設備。一般情況下，配線架和交換機應鎖閉在機櫃之中，以免誤動。子網設備間宜參照計算機機房的一般環境要求執行。
電信室只放有分配線架，辦公室環境即可滿足要求。
工作區子系統、水平子系統、主幹子系統、建築群子系統的環境要求主要考慮如何對網路線纜和接插件進行保護，即網路線纜和接插件的防火、防水、防磁、防鼠害、防雷擊、防靜電、防自然破壞和人為破壞等。

網路運行
根據企業網路應用情況，企業區域網可執行每天8小時運行制或每天24小時運行制。但在網路運行期間，企業一定要安排技術人員值班，以便隨時處理網路故障、解決網路問題、保持網路暢通、提高網路的可用性和可靠性水平。
網路值班可分為現場值班和呼叫（BP機、手機等）值班兩種形式：法定工作時間應實行現場值班，值班地點最好在網路中心；晚上或節假日期間，視網路應用情況，可設置現場值班或呼叫值班。網路值班要明確職責，規定在正常情況下值班人員應該做些什麼工作，在異常情況下又將如何應對，如何填寫值班記錄和值班交接記錄等。
網路管理
1. 網路管理員
一個企業可設兩名網路管理員，一名網路主管。網路主管的職責是: 考核網路工作人員，做好網路建設和網路更新的組織工作，制定網路管理規章制度並監督執行。網路管理員的職責如下：
(1) 協助網路主管制定網路建設及網路發展規劃，確定網路安全及資源共享策略。
(2) 負責公用網路實體，如伺服器、交換機、集線器、中繼器、路由器、防火牆、網橋、網關、配線架、網線、接插件等的維護和管理。
(3) 負責伺服器和網路軟體的安裝、維護、調整及更新。
(4) 負責網路賬號管理、資源分配、數據安全和系統安全。
(5) 參與網路值班，監視網路運行，調整網路參數，調度網路資源，保持網路安全、穩定、暢通。
(6) 負責計算機系統備份和網路數據備份；負責計算機網路資料的整理和歸檔。
(7) 保管網路拓撲圖、網路接線表、設備規格及配置單、網路管理記錄、網路運行記錄、網路檢修記錄等網路資料。
(8) 每年對本單位計算機網路的效能進行評價，提出網路結構、網路技術和網路管理的改進措施。
2. 網路操作
網管員對網路進行管理離不開網路操作，但網路操作不能隨意進行，否則容易出錯。網路操作的操作對象、操作范圍和操作深度應由操作者所在的崗位職責來確定，並嚴格遵守設備或系統的操作規程。重大網路操作（如系統升級、系統更換、數據轉儲等）應經過網路主管批准，採取妥善措施保護系統和數據，並填寫操作記錄。
3. 網路檢修
網路檢修由網路管理員會同有關技術人員共同進行。
網路檢修分為定期檢修和臨時檢修兩種。檢修的項目涉及伺服器、交換機、集線器、中繼器、路由器、防火牆、網關、網橋、配線架、網線等公用網路實體。
每年宜對區域網的公用網路實體進行一次全面檢查和預防性維修，更換性能波動或超過使用壽命的設備及部件。
網路的臨時檢修指在網路出現異常徵兆或故障情況下，檢查、分析、確定故障設備或故障部位，並進行應急維修。
4. 賬號管理
網路賬號宜分組管理。對於一個單位來說，用戶的網路賬號可以按其所在部門、所承擔的項目或所扮演的角色分組。為加強管理，用戶入網時應填寫「用戶入網申請登記表」，內容可以有：用戶姓名、部門名稱、賬號名及口令、初始目錄、存取許可權、網路資源分配情況等。「申請表」經用戶所在部門領導簽字後交網路管理員辦理。同樣，注銷網路賬號時，用戶或用戶所在部門也應書面通知網路管理員撤銷網路賬號、收回網路資源。
網路管理員為用戶設置的口令為明碼口令，沒有保密價值，因此，用戶首次使用自己的網路賬號時應立即修改口令，設置口令密碼。密碼字長不宜小於6個字元。用戶還應該設置本機（網路工作站）的開機口令和屏幕保護口令，以便非授權人員借機操作。各種口令密碼，其中包括系統管理員網路賬號口令密碼、用戶網路賬號口令密碼、本機開機口令密碼、本機屏幕保護口令密碼，都應嚴加保密並適時更換。
用戶賬號下的數據屬各個用戶的私人數據，當事人具有全部存取許可權，網路管理員具有管理及備份許可權，其他人員均無權訪問（賬號當事人授權訪問情況除外）。
各企業宜制定網路賬號管理規則，如分組規則、賬號命名規則、口令字長、口令變更期限、組及用戶存取許可權、用戶優先順序、網路資源分配規則等。網路管理員應根據企業制定的賬號管理規則對用戶賬號執行管理，並對用戶賬號及數據的安全和保密負責。
5. 伺服器管理
企業網路應根據企業網路拓撲結構和網路應用功能來配置伺服器、選擇伺服器的檔次及操作系統，形成文件伺服器、資料庫伺服器和各種專用伺服器分工合作的伺服器資源環境。網路伺服器宜分為主網伺服器和子網伺服器，企業共享的信息安排到主網伺服器，部門共享的信息安排到子網伺服器。
若要伺服器健壯，企業網路必須採用伺服器系統容錯機制。伺服器雙工、伺服器群集（Cluster）、磁碟雙工、磁碟鏡像、RAID磁碟陣列等都是網路伺服器可選用的容錯措施。
在選擇操作系統時，企業應考慮下述要求：
(1) 伺服器與伺服器之間、工作站與伺服器之間能夠實現資源共享、數據通信和交互操作；
(2) 安全級別最低達到TCSEC規定的C2級安全標准；
(3) 操作系統自身功能強、性能優、安全可靠、穩定高效、使用廣泛、界面友好、支持有力，同時應該是業界主流的應用系統。
在安裝伺服器（或修改伺服器配置）時，網管員應對伺服器的硬體、軟體情況進行登記，填寫「伺服器配置登記（更新）表」是一個好辦法。「伺服器配置登記表」的內容可以包括：伺服器名稱及域名、CPU類型及數量、內存類型及容量、硬碟類型及容量、網卡類型及速率、操作系統類型及版本、伺服器邏輯名及IP地址、支撐軟體的配置、應用軟體的配置、硬體及軟體配置的變更情況等。
伺服器有硬碟資源、內存資源、CPU資源、I/O資源等供網路使用。網路管理員應根據用戶或進程的優先順序，分配和調整伺服器的內存、CPU和I/O資源。
6. 保密措施
(1) 人員選擇
應對網路工作人員進行綜合考查，將技術過硬、責任心強、職業道德好的技術人員安排到網路工作崗位。網路主管要對網路工作人員的現實表現、工作態度、職業道德、業務能力等進行綜合評價，將不合格人員及時調離網路工作崗位。被調離人員應立即辦理網路工作交接手續，並承擔保密義務。
網路工作人員變動時，網路管理員應做好網路安全方面的相應調整工作。
(2) 責任分散
網路安全關鍵崗位宜實行輪崗制，時間期限視企業情況而定；操作系統管理、資料庫系統管理、網路程序設計、網路數據備份等與系統安全和數據安全相關的工作宜由多人承擔；涉及網路安全的重要網路操作或實體檢修工作應有兩人（或多人）參與，並通過注冊、記錄、簽字等方式予以證明。
(3) 出入管理
網路中心所在的計算機房應實行分區控制，限制工作人員進入到與己無關的區域。
網路工作人員、外來檢修人員、外來公務人員等進入網路中心要佩戴身份證件，做到持證操作、持證參觀。外來人員進入網路中心應始終有人陪同。
進、出網路中心的任何物品都應進行檢查和登記，禁止攜帶與網路操作無關的物品進、出網路中心。
7. 系統安全
未經網路主管批准，任何人不得改變網路拓撲結構、網路設備布置、伺服器配置和網路參數。
任何人不得擅自進入未經許可的計算機系統，篡改系統信息和用戶數據。企業網最好啟動網路安全審計功能，對不成功進入、不成功訪問、越權存取嘗試等進行記錄、整理、分析，並採取針對性措施。
在企業區域網上，任何人不得利用計算機技術侵犯用戶合法權益；不得製作、復制和傳播妨害單位穩定、淫穢色情等有害信息。
各單位應製作計算機系統和網路數據的備份，並儲備一定數量的備機或備件，使網路硬體、系統軟體、網路數據等發生故障後都能及時恢復。
企業宜根據實際情況制定網路系統應急計劃，以便在火災、水災、地震、意外停電、外部攻擊、錯誤操作、系統崩潰等災難性事故發生時能夠有條不紊地採取緊急救助和緊急恢復措施。
8. 數據備份
網路數據可分為私用、公用、專用、共享、秘密等多種類型；秘密數據又可分為多個密級。對於不同類型的數據，企業應採用訪問控制、身份驗證、數據加密、數字簽名、安全審計等技術手段保證數據安全。
計算機的主板損壞、驅動器崩潰、文件破壞以及其他災難性事故有可能經常發生。企業可以更換主板、驅動器甚至用戶，但無法更換數據。因此，企業應制定一個有效的數據備份策略。
數據備份的介質可以是軟盤、光碟、磁帶等，但從容量、速度、安全性、穩定性、性價比、可操作性、可管理性等方面考慮，企業區域網選用磁帶機做數據備份是保護網路數據的較好方法。
數據備份有完全備份、增量備份、指定備份等備份方式。企業每年、每月宜做完全數據備份，每星期宜做增量數據備份，重要數據每天應做數據備份，並多份拷貝、異地存放。為能較好地恢復數據又節省磁帶開銷，企業數據年備份應保留3年，月備份應保留12個月，星期備份應保留6個月。
9. 病毒防治
任何人不得在企業區域網上製造、傳播計算機病毒，不得故意輸入計算機病毒及其有害數據危害網路安全。網路使用者發現病毒，應立即向網路管理員報告，以便獲得及時處理。
網路伺服器的病毒防治宜由網路管理員負責。網路工作站的病毒防治宜由用戶負責，網路管理員可以進行指導和協助。
企業在購買計算機病毒防治產品時，應確保產品生產單位具有《計算機信息系統安全專用產品銷售許可證》，其病毒防治能力達到公安部規定的水平（詳見《計算機病毒防治產品評級准則》）。
結束語
企業區域網的管理由行為管理和技術管理兩方面構成，行為管理對技術管理有指導和約束作用。技術管理有技術說明書可供參考，行為管理則需要積累經驗並形成規范。企業只有將技術管理和行為管理結合起來，網路管理才能完備，才能為企業的生產、經營做出其應有的貢獻。

『捌』 網路信息安全技術的發展趨勢

中國的網路安全技術在近幾年得到快速的發展，這一方面得益於從中央到地方政府的廣泛重視，另一方面因為網路安全問題日益突出，網路安全企業不斷跟進最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，進一步促進了網路安全技術的發展。

從技術層面來看，目前網路安全產品在發展過程中面臨的主要問題是：以往人們主要關心系統與網路基礎層面的防護問題，而現在人們更加關注應用層面的安全防護問題，安全防護已經從底層或簡單數據層面上升到了應用層面，這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇，越來越多的安全技術已經與應用相結合。

『玖』 什麼是網路安全技術

經典論文賞析一——淺析計算機網路安全技術
摘要：文中就信息網路安全內涵發生的根本變化，闡述我國發展民族信息安全體系的重要性及建立有中國特色的網路安全體系的必要性。論述了網路防火牆安全技術的分類及其主要技術特徵。

關鍵詞：網路安全 防火牆 技術特徵

1.概述

21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候，我國將建立起一套完整的網路安全體系，特別是從政策上和法律上建立起有中國自己特色的網路安全體系。

一個國家的信息安全體系實際上包括國家的法規和政策，以及技術與市場的發展平台。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品，我國要想真正解決網路安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網路安全技術的整體提高。

網路安全產品有以下幾大特點：第一，網路安全來源於安全策略與技術的多樣化，如果採用一種統一的技術和策略也就不安全了；第二，網路的安全機制與技術要不斷地變化；第三，隨著網路在社會個方面的延伸，進入網路的手段也越來越多，因此，網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

信息安全是國家發展所面臨的一個重要問題。對於這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。

2.防火牆

網路防火牆技術是一種用來加強網路之間訪問控制，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問內部網路資源，保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網路之間的通信是否被允許，並監視網路運行狀態。??

目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。??

雖然防火牆是目前保護網路免遭黑客襲擊的有效手段，但也有明顯不足：無法防範通過防火牆以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟體或文件，以及無法防範數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統，提出了防火牆概念後，防火牆技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火牆產品系列。

防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統?如果答案是「是」,則說明企業內部網還沒有在網路層採取相應的防範措施。

作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一。雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。

2.1.包過濾型

包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。

2.2.網路地址轉化—NAT

網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。

在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

2.3.代理型

代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。

代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

2.4.監測型

監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。

實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。

這個安全技術包含的東西非常多啦,請看一下下面的這個

『拾』 網路安全的技術原理

網路安全性問題關繫到未來網路應用的深入發展，它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法，其實它是一種計算機硬體和軟體的組合，使互聯網與內部網之間建立起 一個安全網關，從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器，這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信，起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改，因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類，一類被稱為標准「防火牆」；一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界，即公用網；而另一個則聯接內部網。標准「防火牆」使用專門的軟體，並要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關，它是一個單個的系統，但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的連接，可以確保數據包不能直接從外部網路到達內部網路，反之亦然。
隨著「防火牆」技術的進步，在雙家網關的基礎上又演化出兩種「防火牆」配置，一種是隱蔽主機網關，另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義，這種配置一方面將路由器進行隱藏，另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後，它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說，這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展，網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，推動著數據加密技術和物理防範技術的不斷發展。按作用不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時，智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度，並不是越安全就越可靠。因而，看一個內部網是否安全時不僅要考慮其手段，而更重要的是對該網路所採取的各種措施，其中不僅是物理防範，而且還有人員素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制