网络基础知识大汇集（二）

在计算机和网络化、信息化高速发展的今天，网络安全对一个国家很多领域都是牵一发而动全身的，网络安全已经成为了人们共同关注的内容。这里我们来介绍下关于网络安全技术的基础知识。网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。

防火墙技术

防火墙是一种较早使用、实用性很强的网络安全防御技术，它阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多网络安全的威胁。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略，而这种策略是预先定义好的，所以是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理，而策略之外的网络访问行为则无法控制。

防火墙将网络划分为三个不同的区域：内部网络（可信区域，防火墙要保护的对象，包括企业全部的网络设备和用户主机）、外部网络（非可信区域，防火墙要防护的对象，包括外部的网络设备和主机）、DMZ（隔离区/非军事化区域，从企业内部网络中划分出来的一个小区域，为Internettig某些信息服务，包含Web服务器、邮件服务器、FTP服务器、外部DNS服务器等）。

入侵检测与防护

入侵检测与防护的技术主要有两种：入侵检测系统和入侵防护系统。

入侵检测系统（IDS）注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全策略的行为或攻击对象，并发出报警。因此绝大多数IDS系统是被动的。入侵防护系统（IPS）倾向于提供主动防护，注重对入侵行为的控制。IPS通过直接嵌入到网络流量中实现这一功能，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。如果把防火墙比喻是小区的保安，在门口拦截一切可疑人等，而入侵检测像是小区里的监控，监控在小区里发生的异常。当攻击发生时，入侵检测系统只能发出警报，它并不能防止攻击的发生。而入侵防御系统却能有效地组织攻击行为的发生，因为所有的网络流量在达到目标服务器之前，都需要流经入侵防御系统。

网络入侵方法

入侵检测的典型网络入侵方法包括：
1） 拒绝服务器攻击:阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。广义上讲，任何能够导致用户的服务器不能正常提供服务的攻击都属于拒绝服务攻击，比如向对方的计算机和路由器等发送不正当的数据使其陷入不能使用。
2） IP地址欺骗:产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台计算机的IP地址，从而冒充另外一台机器与服务器打交道。
3） 会话劫持:结合了嗅探以及欺骗技术在内的攻击手段。例如在一次正常的会话过程中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。

蜜罐技术

我们介绍的防火墙和入侵检测技术、加密及数据恢复技术等均为被动式的防护模式，而蜜罐（Honeypot）技术属于新型主动防御技术，这项技术可有效地改善以往防护技术的纰漏。蜜罐系统是一个包含漏洞的诱骗系统，通常使其伪装成一个看似有利用价值的网络、数据、电脑系统等，并且故意设置了可被利用的Bug或者系统漏洞，来吸引目标的攻击。因为我们的蜜罐实质并没有提供有价值的服务，所以任何对蜜罐的访问尝试操作都是可疑的，通过蜜罐中的监控软件，我们可以监控到入侵者的行为，收集其入侵信息，并快速做出反制操作。蜜罐还可以拖延入侵者攻击行为，让他在蜜罐上消耗大量的时间等，所以蜜罐作为主动防御技术，对于日后网络信息安全，可发挥不可或缺的作用。

VPN技术

VPN（虚拟专用网络）连接由客户传输介质和服务器三部分组成，VPN的连接不是采用物理的传输介质，而是使用称之为“隧道”的技术作为传输介质，“隧道”建立在公共网络或专用网络基础之上。通过对网络数据的封包和加密传输，在公网上传输私有数据，使公网达到私有网络的安全级别。常见的隧道技术包括：点对点隧道协议PPTP、第二层隧道协议L2TP和IP安全协议IPSec。

数据加密技术

数据加密是利用加密技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。加密是实现信息保密性的方法，不能防病毒，智能防止未授权的人看到。加密技术分为对称密钥算法和非对称密钥算法。
对称密钥算法是加密和解密用同一个密钥。优点是加解密速度快，密钥管理简单，适宜一对一的信息加密传输过程。缺点是加密算法简单，密钥分发困难。
非对称密钥算法是公钥加密，私钥解密。优点是加密算法复杂，密钥长度任意，适宜一对多的信息加密交换。缺点是加解密速度慢，密钥管理复杂。

身份认证技术

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都用一组特定的数据来表示，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。身份认证技术用于保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应
常见的认证形式包括短信密码、动态口令、数字签名等。数字签名可以确保电子文档的真实性并可以进行身份验证，以确认其内容是否被篡改后伪造。完善的数字签名体系应满足的条件包括：签名者事后不能抵赖自己的签名；任何其他人不能伪造签名；如果当事人的双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪。
认证和加密的区别在于：加密用以确保数据的保密，阻止对手的被动攻击，如截取、窃听等；认证用以确认保卫发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。
认证和数字签名技术都是确保数据真实性的措施，但两者也有明显的区别。认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性，不准许第三者验证，而数字签名中用于验证签名的数据是公开的，允许第三者验证。数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力，而认证则不一定具备。

安全审计技术

安全审计系统采用数据挖掘和数据仓库技术，对历史数据进行分析、处理和追踪，审查主体对客体进行访问和使用情况，保证安全规则被正确执行，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被比喻为“黑匣子”和“监护神”。安全审计系统属于安全管理类产品，包括主机类、网络类、数据库类和业务应用系统级的审计产品。
安全审计系统主要作用包括：对潜在的攻击者起到震慑和警告作用；对于已经发生的系统破坏行为提供有效的追究证据；为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞；为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
入侵检测和安全审计是一对因果关系，前者获取的记录结果是后者审核分析资料的来源，任何一方都不能脱离另一方单独工作。作为一个完整的安全审计需要入侵检测系统实时、准确提供基于网络、主机（服务器、客户端）和应用系统的审核分析资料。