2.3.4 网络层的安全防护

逻辑网络分段

逻辑网络分段是指将整个网络系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可以把网络分成若干IP子网,各子网必须通过中间设备进行连接,利用这些 中间设备的安全机制来控制各子网之间的访问。

VLAN的实施

基于MAC的VLAN不能防止MAC欺骗攻击。因此,VLAN划分最好基于交换机端口。
VLAN的划分方式的目的是为了保证系统的安全性。因此,可以按照系统的安全性来划分VLAN。

防火墙服务

防火墙是网络互联中的第一道屏障,主要作用是在网络入口点检查网络通信。

从应用上分类:包过滤、代理服务期

从实现上分类:软件防火墙、硬件防火墙

通过防火墙能解决如下问题;

1.保护脆弱服务;
2.控制对系统的访问;
3.集中的安全管理。防火墙定义的规则可以运用于整个网络,不许在内部网每台计算机上分别定义安全策略;
4.增强的保密性。使用防火墙可以组织攻击者攻击网络系统的有用信息,如Finger、DNS等;
5.纪录和统计网络利用数据以及非法使用数据。
6.策略执行;
7.流量控制、防攻击检测等

加密技术

加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。

加密技术用于网络安全通常有两种形式,即面向网络或面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性不受损害。

数字签名和认证技术

认证技术主要解决网络通信过程中通信双方的身份认可,数字签名是身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可地来要求的实现。

User Name/Password认证

该种认证方式是最常用的一种认证方式,用于操作系统登录、Telnet、rlogin等,但此种认证方式过程不加密,即password容易被监听和解密。

使用摘要算法的认证

Radius,OSPF,SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证。由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能技术得到共享的Security Key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证敬爱米。该种方法安全程度较高,综合采用了摘要算法、不对陈加密、对称加密、数字签名等技术,结合了高效性和安全性。但涉及繁重的证书管理任务。

数字签名

数字签名作为验证发送者身份和消息完整性的根据。并且,如果消息随数字签名一同发出,对消息的任何修改在验证数字签名时都会被发现。

VPN技术

网络系统总部和分支机构之间采用公网互联,其最大弱点在于缺乏足够的安全性。
完整的VPN安全解决方案,提供在公网上安全的双向通信,以及透明的加密方案,以保证数据的完整性和保密性。

  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈网络安全防护技术 摘要:随着计算机网络应用的广泛深入.网络安全问题变得日益复杂和突出。目前计 算机病毒技术和黑客技术的融合,使得计算机所受到的威胁更加难以预料。本文从常见 的网络安全防护方法入手,结合实践探讨有效的防护措施。 关键词:网络安全 病毒 黑客 防火墙 入侵检测 随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共 享、信息交换和分布处理带来便利,使得网络深入到社会生活的各个方面,逐步成为国 家和政府机构运转的命脉和社会生活的支柱。但是,由于网络自身的复杂性和脆弱性, 使其受到威胁和攻击的可能性大大增加。本文在探讨网络安全常见防护方法的基础上, 提出了一些新的防护理念。 1 网络安全概述 网络安全可以从五个方面来定义:机密性、完整性、可用性、可控性与可审查性。 机密性:确保信息不暴露给未授权的实体或进程。 完整性:仅得到允许的人才能修改数据,并能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍 授权者的工作。 可控性:可以控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。 上述定义既说明了计算机网络安全的本质和核心,又考虑了安全所涉及的各个方面。 2常见的网络安全防护技术 目前常见的防护技术都是基于以下几个方面。 2.1 基于物理层及网络拓扑结构的安全措施 对物理层与网络拓扑结构采取的安全措施主要有: 对传输电缆加金属予以屏蔽,必 要时埋于地下或加露天保护; 传输线路应远离各种强辐射源,以免数据由于干扰而出错 : 监控交换机和调制解调器.以免外连; 定期检查线路,以防搭线接听、外连或破坏 ; 端口保护; 安全网络拓扑结构设计和网络协议选用。 2.2 基于操作系统和应用程序的安全措施 对操作系统和应用程序的最主要的安全措施就是使用安全扫描。操作系统扫描能自动 全面监测操作系统的配置,找出其漏洞。对整个内部网络扫描,可以系统地监测到每一 网络设备的安全漏洞,网络管理人员应用安全扫描系统可以对系统安全实施有效的控制 。 2.3 基于内部网络系统数据的安全措施 2.3.1 用户身份认证。有基于令牌的身份验证和Kerberos等算法。验证令牌的原理是由身份认 证服务器AS(Authentication Server)负责管理用户登录,AS根据用户登录时的PIN(Personal Identification Number,查找内部数据库,找出相应令牌的Key,根据两者产生的序列或随机数来判定用 户是否合法。Kerberos是一种通过共同的第三方建立信任的,基于保密密钥的身份认证 算法,使用DES加密方法。 2.3.2 访问控制。是对访问者及访问过程的一种权限授予。访问控制在鉴别机制提供的信息基 础上,对内部文件和数据库的安全属性和共享程度进行设置,对用户的使用权限进行划 分。对用户的访问控制可在网络层和信息层两个层次进行,即在用户进入网络和访问数 据库或服务器时.对用户身份分别进行验证。验证机制为:在网络层采用国际通用的分 布式认证协议——RADIUS;在信息层采用COOKIE机制,配合数字签名技术,保证系统的安 全性。 2.2.3 代理服务器。代理服务器的使用可以使内部网络成为一个独立的封闭回路,从而使网络 更加安全。客户端发来的HTTP请求,可经代理服务器转发给异地的WEB服务器,并将异地 的WEB服务器传来的响应传回客户端。通过对代理服务器的设置,可以对客户身份进行认 证和对各种信息进行过滤,限制有害信息的进入和限制对某些主机或域的访问.网络管 理人员也可以通过代理服务器的日志获取更多的网管信息。 2.3.4 数字签名。基于先进密钥技术的数字签名是防止数据在产生、存放和运输过程中被篡改 的主要技术手段,数字签名所用的签署信息是签名者所专有的,并且是秘密的和唯一的 ,签名只能由签名者的号用信息来产生。数字签名实际上是一个收发双方应用密文进行 签名和确认的过程,是数据完整性、公证以及认证机制的基础。目前,数字签名技术己 成为密码学中研究和应用的热点之一。 2.3.5 防火墙技术。防火墙技术作为一种访问控制,是在内外部网络之间建立一个保护层,使 外部网络对内部网络的访问受到一定的隔离,而内部网络成员仍能方便地访问外部网络 ,从而保护内部网络资源免受外部的非法入侵和干扰。 3 网络安全最新防护思想 网络的发展本身就是网络安全防护技术和网络安全攻击技术不断博弈的过程。随着网 络安全技术的发展,经历了许多尝试,不仅仅是为了避免恶意攻击,更重要的是为了提 高网络的可信度。从最初的可靠性发展到信息的完整性、可用性、可控性和不可否认性 ,进而又发展为"攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值