网络安全技术探析

王玉霞

摘 要：网络安全问题日益重要，本文比较了防火墙技术、入侵检测技术和加密技术，介绍了SSL协议、HTTPS协议和L2TP协议等网络安全协议，以期探寻新技术手段有效管理网络。

关键词：网络安全 防火墙 安全协议

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2014）02（c）-0033-01

随着计算机网络技术正朝着分布式方向飞速发展，网络信息安全问题越来越重要。网络安全涉及数学、网络技术、计算机技术、信息安全技术等多门学科，确保网络环境下系统运行安全可靠、信息保密、数据完整，使网络系统安全运行。

1 传统网络安全技术比较

1.1 防火墙技术

防火墙是最早成熟、使用广泛的网络安全工具，用来阻挡外来不稳定因子影响内部网络，防止黑客对网络的攻击和控制。防火墙安全隔离技术，也成为一种数据控制访问机制，在内部网建立起安全网关，它主要有服务访问政策、验证工具、包过滤以及应用网关四部分组成，是介于计算机及其连接网络间的软件或者硬件。从防火墙的实现原理分为四类：网络级防火墙、应用级防火墙、电路级网关以及规则检查防火墙。这四类防火墙技术都有各自的优势，在使用过程中根据实际需要使用哪一种或是综合使用。

1.2 入侵检测技术

入侵检测系统的发展经历了集中式阶段（基本模型是通用入侵检测模型）、层次式（层次化入侵检测模型）、集成式（管理式入侵检测模型）三个阶段。入侵检测系统采用的技术分为两种：特征检测、异常检测和混合检测。特征检测根据以往检测出来的入侵方法，并做出定性描述，检测主体活动是否符合已检测出的事件模式，当检测的事件模式与已知的模式匹配，则较准确地预报检测结果，但是对于新出现的入侵模式无能为力；异常检测主要理念是假设入侵事件和正常主体活动异常，建立记录主体活动行为，若当前活动主体情况与所建立的记录不符合，则认为是异常入侵活动；混合检测是特征检测和异常检测的综合技术，不仅可以分析正常行为，还检测异常入侵行为。

1.3 加密技术

加密技术室将明文采用数学或物理方法将明文信息转换成密文，接收方采用相应的方法才能将其解密并还原成明文。加密技术成为通信安全的基石，加密的过程有不同的加密算法来实施，迄今为止，各种加密的算法已多达数百种，这些加密算法按照双方密钥是否相同分为保密密码算法和公钥密码算法，也分别对称加密和非对称加密加密算法。对称加密算法的典型代表是DES（Data Encryption Standard）算法，非对称加密算法的典型代表是RSA（Rivest Shamir Ad1eman）算法。在线交易的过程中可通过数字证书验证身份，用数字签名对数据包进行加密，接手者才可以解密，确保了数据传递过程中的安全性，发送方也不能否认所发送的信息。

2 网络安全协议

2.1 SSL协议

SSL协议是Netscape公司开发的安全套接字协议层，为网络管理提供安全保护，为数据链传输数据遭到破坏和更改。SSL协议应用于TCP/IP协议和应用层协议之间，对服务器和用户进行认证，确保数据安全传输，在传输的过程中加密数据，维护传输数据的安全性和完整性。SSL协议主要有四个协议组成：记录协议、握手协议、告警协议和秘钥更改协议，其工作流程有服务器认证阶段和用户认证阶段。在服务器认证阶段，客户端向服务器发送请求，建立一个新的回话链接，服务器根据客户发送的请求确定是否响应，若验证通过，则产生公开密钥，公开迷药加密后由客户端传给服务器；在用户认证阶段，客户端根据服务发送的提问，返回经过数字签名后的提问以及公开密钥，服务器完成对客户的认证。

2.2 HTTPS协议

HTTPS协议是安全超文本传输协议，是Netscape开发的内置于浏览器，适用于分布式超媒体信息系统。HTTPS协议使用HTTP通道，传输密文，适用Netscape的安全套接层（SSL）成为HTTPS协议的安全基础。HTTPS是加密的传输协议，使用的端口是443，由SSL和HTTP协议共同构建的加密传输协议，除可以进行加密传输，还可进行身份验证，安全性高于http协议。使用HTTPS的服务器向CA（Certificate Authority）申请证书用以证明服务器的用途类型。客户端若取得信任的主机必须有该证书用于相应的服务器。尽管传输的过程效率很低，但是安全性是很高的，特别对于银行等部门对于安全性要求很高的系统。

2.3 L2TP协议

PPP协议封装数据，其数据包可通过点到点二层链路上传输，为此微软和思科提出了L2TP协议。L2TP协议支持PPP链路层数据包的隧道传输，PPP回话点和二层链路的端点在不同设备上，其信息交互使用了包交换技术，有效将PPP模型进行了拓展。协议主要层次结构描述了PPP数据帧、L2TP数据消息、L2TP控制消息、L2TP数据通道、数据包传输网络之间的关系，PPP数据帧传输在数据通道上，而控制消息传输在可靠的控制通道，抑制网络数据的速率，使得接受端来得及接收，尽量避免数据因拥塞而造成的数据包丢失。

2.4 IPSEC协议

IPSEC协议是国际互联网工程任务组制定的一种适用于网络的加密认证标准，具有工业开放标准的框架结构，其主要功能是为点到点通信提供认证和加密，为通络通信提供安全服务。该协议在发送方IP和接收方IP地址间建立信任，通过筛选数据包和实施受信任的通讯维护网络安全。IP地址不需要进行标识，但身份验证程序验证地址后面的数据包，实施计算机终端的安全设置。当从发送方和接收方进行防火墙类型的数据包或地址转换，仅仅源向目标路由数据的通信并不需要IPSEC。其安全特性主要有：不可否认性、反重播性、数据完整性、数据可靠性（加密）、认证。

网络安全技术为网络信息传输提供保护，保护计算机硬件和软件免遭破坏和更改，保障信息安全，确保网络运行环境的安全。由于网络运行环境的多变性和复杂性日益突出，网络安全受到重大挑战，探寻新技术手段有效管理网络具有十分重要的意义。

参考文献

[1] Sean Convery.Network Security Architectures[M].人民邮电出版社，2005.

[2] 杨栩燊.入侵检测技术浅析[J].电脑与电信，2009，7.

[3] 刘远生，辛一.计算机网络安全[M].2版.清华大学出版社，2009.

[4] 马春光.防火墙、入侵检测与VPN[M].北京邮电大学出版社，2008.endprint