計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析畢業(yè)論文

1、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析 摘 要：論敘了網(wǎng)絡(luò)安全的概念及涉及的領(lǐng)域，介紹了確保網(wǎng)絡(luò)安全的主要技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)安全 技術(shù) 防火墻 加密 入侵檢測(cè) 安全隔離 虛擬專用網(wǎng)一、概述20世紀(jì)90年代以來，計(jì)算機(jī)進(jìn)入到網(wǎng)絡(luò)應(yīng)用階段，呈現(xiàn)出前所未有的社會(huì)化趨勢(shì)。internet/intranet技術(shù)日趨成熟，很多政府機(jī)構(gòu)、民間組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與internet聯(lián)通。上述政府機(jī)構(gòu)、組織和企業(yè)網(wǎng)絡(luò)中的核心機(jī)密均成為攻擊者的目標(biāo)。因此網(wǎng)絡(luò)安全問題越來越受到各級(jí)領(lǐng)導(dǎo)、專家、技術(shù)開發(fā)和應(yīng)用人員的重視。二、網(wǎng)絡(luò)安全的概念國際標(biāo)準(zhǔn)化組織（iso）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技

2、術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。三、網(wǎng)絡(luò)安全涉及的領(lǐng)域1、社會(huì)經(jīng)濟(jì)領(lǐng)域在社會(huì)經(jīng)濟(jì)領(lǐng)域中，主要是黨政機(jī)關(guān)的網(wǎng)絡(luò)安全問題，它關(guān)系到我國的政治穩(wěn)定和國計(jì)民生。國家經(jīng)濟(jì)領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全問題，它對(duì)國家經(jīng)濟(jì)持續(xù)穩(wěn)定發(fā)展起著決定作用。國防和軍隊(duì)網(wǎng)絡(luò)安全問題，關(guān)系到國家安全和主權(quán)完整。2、技術(shù)領(lǐng)域在技術(shù)領(lǐng)域中，網(wǎng)絡(luò)安全包括實(shí)體安全，用來保

3、證硬件和軟件本身的安全；運(yùn)行安全，用來保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作；信息安全，用來保障信息不會(huì)被非法閱讀、修改和泄露。3、電子商務(wù)領(lǐng)域網(wǎng)絡(luò)上的電子商務(wù)應(yīng)用已滲透到我國經(jīng)濟(jì)生活的各個(gè)方面，電子商務(wù)交易安全將直接影響到整個(gè)國民經(jīng)濟(jì)的正常運(yùn)行，影響到億萬買賣雙方的切身利益。所以有效保護(hù)銀行、企業(yè)和個(gè)人的各種權(quán)益，防止不良行為和惡意侵襲，已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的一個(gè)新的重點(diǎn)。四、確保網(wǎng)絡(luò)安全的主要技術(shù) 1、防火墻技術(shù)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸

4、的數(shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結(jié)合，這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或作出其它操作，防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離，后者通常稱為intranet防火墻。根據(jù)防火

5、墻所采用的技術(shù)不同,我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-nat、代理型和監(jiān)測(cè)型。具體如下：（1）包過濾型 包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、tcp/udp源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡

6、單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造ip地址，騙過包過濾型防火墻。（2）網(wǎng)絡(luò)地址轉(zhuǎn)化-nat網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ip地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的ip地址標(biāo)準(zhǔn)。它允許具有私有ip地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的ip地址。nat的工作過程是：在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將

7、外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的ip地址和端口來請(qǐng)求訪問。olm防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。（3）代理型 代理型

8、防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體

9、性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。（4）監(jiān)測(cè)型監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防

10、火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻，但監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。2、數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽(yù)為信息安全的核心

11、，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用特別是電子商務(wù)應(yīng)用的飛速發(fā)展，對(duì)數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求，數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。數(shù)據(jù)傳輸?shù)耐暾酝ǔＭㄟ^數(shù)字簽名的方式來實(shí)現(xiàn)，即數(shù)據(jù)的發(fā)送方在發(fā)送數(shù)據(jù)的同時(shí)利用單向的hash函數(shù)或者其它信息文摘算法計(jì)算出所傳輸數(shù)據(jù)的消息文摘，并將該消

12、息文摘作為數(shù)字簽名隨數(shù)據(jù)一同發(fā)送。接收方在收到數(shù)據(jù)的同時(shí)也收到該數(shù)據(jù)的數(shù)字簽名，接收方使用相同的算法計(jì)算出接收到的數(shù)據(jù)的數(shù)字簽名，并將該數(shù)字簽名和接收到的數(shù)字簽名進(jìn)行比較，若二者相同，則說明數(shù)據(jù)在傳輸過程中未被修改，數(shù)據(jù)完整性得到了保證。常用的消息文摘算法包括sha、md4和md5等。根據(jù)密鑰類型不同可以將現(xiàn)代密碼技術(shù)分為兩類：對(duì)稱加密算法（私鑰密碼體系）和非對(duì)稱加密算法（公鑰密碼體系）。在對(duì)稱加密算法中，數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰，因而其安全性依賴于所持有密鑰的安全性。對(duì)稱加密算法的主要優(yōu)點(diǎn)是加密和解密速度快，加密強(qiáng)度高，且算法公開，但其最大的缺點(diǎn)是實(shí)現(xiàn)密鑰的秘密分發(fā)困難，在大量用戶

13、的情況下密鑰管理復(fù)雜，而且無法完成身份認(rèn)證等功能，不便于應(yīng)用在網(wǎng)絡(luò)開放的環(huán)境中。目前最著名的對(duì)稱加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)des和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)idea等。在公鑰密碼體系中，數(shù)據(jù)加密和解密采用不同的密鑰，而且用加密密鑰加密的數(shù)據(jù)只有采用相應(yīng)的解密密鑰才能解密，更重要的是從加密密碼來求解解密密鑰在十分困難。在實(shí)際應(yīng)用中，用戶通常將密鑰對(duì)中的加密密鑰公開（稱為公鑰），而秘密持有解密密鑰（稱為私鑰）。利用公鑰體系可以方便地實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證，也即用戶在信息傳輸前首先用所持有的私鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密，如果能夠解開，說明信息確實(shí)為該用戶所發(fā)

14、送，這樣就方便地實(shí)現(xiàn)了對(duì)信息發(fā)送方身份的鑒別和認(rèn)證。在實(shí)際應(yīng)用中通常將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對(duì)用戶的身份認(rèn)證。目前的公鑰密碼算法都是基于一些復(fù)雜的數(shù)學(xué)難題，例如目前廣泛使用的rsa算法就是基于大整數(shù)因子分解這一著名的數(shù)學(xué)難題。目前常用的非對(duì)稱加密算法包括整數(shù)因子分解（以rsa為代表）、橢園曲線離散對(duì)數(shù)和離散對(duì)數(shù)（以dsa為代表）。公鑰密碼體系的優(yōu)點(diǎn)是能適應(yīng)網(wǎng)絡(luò)的開放性要求，密鑰管理簡單，并且可方便地實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，是目前電子商務(wù)等技術(shù)的核心基礎(chǔ)。其缺點(diǎn)是算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低。因此在實(shí)際應(yīng)用中，通常將對(duì)稱加密算法和非對(duì)稱加密

15、算法結(jié)合使用，利用des或者idea等對(duì)稱加密算法來進(jìn)行大容量數(shù)據(jù)的加密，而采用rsa等非對(duì)稱加密算法來傳遞對(duì)稱加密算法所使用的密鑰，通過這種方法可以有效地提高加密的效率并能簡化對(duì)密鑰的管理。3、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對(duì)訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的特點(diǎn)是利用網(wǎng)絡(luò)監(jiān)控軟件或者硬件對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的跡象并做出反應(yīng)。入侵檢測(cè)部件可以直接部

16、署于受監(jiān)控網(wǎng)絡(luò)的廣播網(wǎng)段，或者直接接收受監(jiān)控網(wǎng)絡(luò)旁路過來的數(shù)據(jù)流。為了更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測(cè)部件應(yīng)能夠分析網(wǎng)絡(luò)上使用的各種網(wǎng)絡(luò)協(xié)議，識(shí)別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別通常是通過網(wǎng)絡(luò)入侵特征庫來實(shí)現(xiàn)的，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時(shí)方便地對(duì)入侵特征庫加以更新，提高入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別能力。利用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別，但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要的安全組件，網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全實(shí)現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案，其原因在于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)雖然也能對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別并做出反應(yīng)，但其

17、側(cè)重點(diǎn)還是在于發(fā)現(xiàn)，而不能代替防火墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋于網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)之外，還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋于網(wǎng)絡(luò)外部。因此通過網(wǎng)絡(luò)安全檢測(cè)技術(shù)和防火墻系統(tǒng)結(jié)合，可以實(shí)現(xiàn)了一個(gè)完整的網(wǎng)絡(luò)安全解決方案。4、安全隔離技術(shù)網(wǎng)絡(luò)的安全威脅和風(fēng)險(xiǎn)主要存在于三個(gè)方面：物理層、協(xié)議層和應(yīng)用層。網(wǎng)絡(luò)線路被惡意切斷或過高電壓導(dǎo)致通信中斷，屬于物理層的威脅；網(wǎng)絡(luò)地址偽裝、teardrop碎片攻擊、synflood等則屬于協(xié)議層的威脅；非法url提交、

18、網(wǎng)頁惡意代碼、郵件病毒等均屬于應(yīng)用層的攻擊。從安全風(fēng)險(xiǎn)來看，基于物理層的攻擊較少，基于網(wǎng)絡(luò)層的攻擊較多，而基于應(yīng)用層的攻擊最多，并且復(fù)雜多樣，難以防范。面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念-安全隔離技術(shù)應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間信息的安全交換。隔離概念的出現(xiàn)，是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境，隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。第一代隔離技術(shù)，完全的隔離。采用完全獨(dú)立的設(shè)備、存儲(chǔ)和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護(hù)成本較高。第二代隔離技術(shù)，硬件卡隔離。通

19、過硬件卡控制獨(dú)立存儲(chǔ)和分時(shí)共享設(shè)備與線路來實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計(jì)上還存在較大的安全隱患。待添加的隱藏文字內(nèi)容2第三代隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離，切換時(shí)間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，只能完成特定的基于文件的數(shù)據(jù)交換。第四代隔離技術(shù)，空氣開關(guān)隔離。該技術(shù)是通過使用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。第五代隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制

20、，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。5、虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)(virtual private network，vpn)是近年來隨著internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。現(xiàn)代企業(yè)越來越多地利用internet資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動(dòng)。許多企業(yè)趨向于利用internet來替代它們私有數(shù)據(jù)網(wǎng)絡(luò)。這種利用internet來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬專用網(wǎng)。虛擬專用網(wǎng)實(shí)際上就是將internet看作一種公有數(shù)據(jù)網(wǎng)，這種公有網(wǎng)和pstn網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別，從用戶觀點(diǎn)來看，數(shù)據(jù)都被正確傳送到了目的地。相對(duì)地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)內(nèi)部信息的網(wǎng)絡(luò)被稱為私有網(wǎng)。vpn的具體實(shí)現(xiàn)是采用隧道技術(shù)，目前，較為常用的vpn分為第二層隧道協(xié)議和第三層隧道協(xié)議。其中第二層隧道協(xié)議主要是pptp(點(diǎn)到點(diǎn)隧道協(xié)議)和l2tp(第二層隧道協(xié)議)；而第三層隧道協(xié)議主要是ipsec和gre協(xié)議。隨著人們對(duì)網(wǎng)絡(luò)安全要求的進(jìn)一步提高，ipsec隧道協(xié)議正在成