网络安全的基本原理
网络安全技术的基本原理及应用实践
网络安全技术的基本原理及应用实践随着互联网的不断发展和普及,网络安全问题越来越受到人们的关注。
网络安全技术成为保障网络安全的重要手段,已经渗透到我们生活中的方方面面。
本文将介绍网络安全技术的基本原理及其应用实践。
一、基本原理网络安全技术的基本原理主要包括加密技术、身份认证技术、访问控制技术以及安全审计技术等。
1.加密技术加密技术是保障数据的机密性和完整性的基础。
加密技术是一种将原始数据转化为加密数据的过程,加密后的数据只有在使用正确的解密技术进行解密后才能被还原为原始数据。
加密技术包括对称加密、非对称加密、哈希算法和消息认证码等。
对称加密算法是一种使用相同密钥进行加解密的加密算法。
对称加密算法一般速度较快,但密钥管理问题比较麻烦。
非对称加密算法是一种使用公钥和私钥进行加解密的加密算法。
公钥可以公开,私钥保密,保证了通信的安全性。
哈希算法是把任意长度的输入数据经过转换得到固定长度的输出结果的算法。
哈希算法的主要目的是防篡改。
消息认证码是一种加密算法,通过在原始数据中添加一些特殊的数字签名来保护数据。
2.身份认证技术身份认证技术是保证用户身份真实和安全性的关键。
身份认证技术包括口令认证、生物特征识别等。
口令认证是一种常见的身份认证方法,用户通过输入正确的用户名和口令来验证身份。
生物特征识别技术通过对指纹、面部、虹膜等生物特征进行识别来验证身份。
3.访问控制技术访问控制是保证网络资源安全性的基础之一。
访问控制技术包括强制访问控制、自由访问控制和角色访问控制等。
强制访问控制是指系统管理员为每个用户和程序分配了一定的安全等级,并通过访问控制机制来限制用户或程序只能访问相应安全等级的信息。
自由访问控制是指用户在满足系统定义的访问控制规则基础上,可以自由地访问自己有权限的资源。
角色访问控制是在用户组织结构上实现访问控制的方式。
角色是一组用户的集合,访问控制是根据用户的角色来分配权限。
4.安全审计技术安全审计技术是对网络安全控制措施实施效果的监视和评估。
网络信息安全的基本原理与概念
网络信息安全的基本原理与概念网络信息安全是指在网络环境中,对计算机系统、网络设备、网络通信进行保护,防止信息泄露、丢失、被篡改、被入侵等安全威胁的一系列技术和措施。
随着互联网的普及和发展,网络信息安全问题日益凸显,掌握网络信息安全的基本原理与概念对个人和组织来说至关重要。
一、网络信息安全的基本原理1. 保密性保密性是网络信息安全的基本原理之一,指的是确保信息只能被授权的人员或系统访问和使用,对未授权者进行信息屏蔽和保护。
在网络中,通过加密技术、身份验证和访问控制等手段来实现信息的保密性。
2. 完整性完整性是指网络信息在传输和存储过程中不被篡改或损坏的特性。
确保信息的无法被非法修改或损坏,保证信息的完整和准确性。
使用数字签名、数据校验和数据备份等技术来实现信息的完整性。
3. 可用性可用性是指保证网络系统能够正常运行和提供服务的特性。
网络系统必须具备高可用性,确保用户能随时访问和使用网络资源。
通过冗余设备、容灾备份和合理的网络设计来提高系统的可用性。
4. 不可抵赖性不可抵赖性是指确保信息通信过程中的各方不能否认自己的行为或信息的发送和接收。
使用数字签名、日志记录和审计技术来保证信息的可追溯和证明。
二、网络信息安全的概念1. 防火墙防火墙是指位于不同网络之间的一种网络安全设备,通过过滤和控制网络流量,实现对网络通信的监控、限制和保护。
防火墙可以阻止未经授权的外部访问,减少网络攻击的风险。
2. 加密技术加密技术是指将信息转换成一种特殊形式,使得未经授权的人无法读取和理解信息内容。
常见的加密技术包括对称加密和非对称加密,可以保护信息的保密性和完整性。
3. 访问控制访问控制是指通过对用户身份进行验证和授权,限制用户对资源的访问和使用权限。
通过访问控制机制,可以防止未授权的用户访问和操作系统和网络资源。
4. 弱口令检测与强密码策略弱口令检测与强密码策略是一种提高账号密码强度和防御账号被破解的措施。
通过弱口令检测,可以找出弱口令并提示用户修改密码。
网络安全技术的基本原理和应用
网络安全技术的基本原理和应用随着互联网的迅猛发展,网络安全问题也日益凸显。
网络攻击、数据泄露等问题时有发生,给个人和企业带来了巨大的损失。
因此,网络安全技术的研究和应用变得尤为重要。
本文将从网络安全技术的基本原理和应用两个方面展开论述。
一、网络安全技术的基本原理网络安全技术的基本原理主要包括加密技术、防火墙技术和网络访问控制技术。
首先是加密技术。
加密技术是网络安全技术的核心之一,它通过对数据进行加密,使得未经授权的用户无法获取数据内容。
常见的加密技术包括对称加密和非对称加密。
对称加密使用相同的密钥进行加密和解密,而非对称加密则使用公钥和私钥进行加密和解密。
加密技术在网络通信、数据存储等方面都有广泛的应用。
其次是防火墙技术。
防火墙是网络安全的第一道防线,它可以监控和过滤网络流量,阻止未经授权的访问。
防火墙可以根据规则对数据包进行过滤,防止恶意攻击和非法访问。
同时,防火墙还可以对不安全的服务进行拦截,保护网络安全。
最后是网络访问控制技术。
网络访问控制技术可以限制用户的网络访问权限,防止未经授权的用户进入系统。
通过身份认证、访问控制列表等手段,网络访问控制技术可以对用户进行身份验证,并限制其访问权限,从而保障网络的安全性。
二、网络安全技术的应用网络安全技术的应用涵盖了网络通信、数据存储、云计算等多个领域。
首先是在网络通信中的应用。
在网络通信中,加密技术可以保护数据的隐私和完整性,防止被窃取和篡改。
防火墙技术可以对网络流量进行监控和过滤,防止网络攻击和恶意访问。
网络访问控制技术可以限制用户的访问权限,保护网络的安全。
其次是在数据存储中的应用。
在数据存储中,加密技术可以对数据进行加密保护,防止数据泄露和被篡改。
防火墙技术可以对存储系统进行访问控制,防止未经授权的访问。
网络访问控制技术可以对用户进行身份验证,限制其对数据的访问权限。
最后是在云计算中的应用。
在云计算中,加密技术可以对数据进行加密存储和传输,保护数据的安全。
网络安全的基本原理
网络安全的基本原理网络安全是指对计算机系统、网络通信和网络应用进行保护和防护,以确保其可靠性、可用性、安全性和保密性。
在当今数字化时代,网络安全越发重要,因为大量敏感信息和关键数据存储在各种网络系统中。
本文将解析网络安全的基本原理,以帮助读者更好地了解和保护自己的网络安全。
1. 身份认证和访问控制身份认证是网络安全的基础,它确保只有经过授权的用户才能访问敏感信息。
基于密码、数字证书和生物特征等方式进行身份认证,可以有效防止非法用户的入侵。
访问控制则是建立在身份认证的基础上,通过权限控制和访问策略等手段,限制用户在网络中的操作范围,防止未经授权的访问。
2. 数据保密性和加密技术数据保密性是指保护数据不被未经授权的用户获取或泄露。
加密技术在保护数据安全方面发挥着重要作用。
加密是将明文转换为密文的过程,只有具有解密密钥的用户才能还原密文。
常见的加密算法有对称加密和非对称加密,通过使用这些算法加密敏感数据,可以有效防止数据被窃取或篡改。
3. 威胁检测和防御网络威胁种类繁多,如病毒、恶意软件、网络钓鱼等。
威胁检测和防御系统是网络安全不可或缺的组成部分。
通过实时监测网络流量、检测恶意行为和文件,及时发现和阻止潜在的网络威胁。
防火墙、入侵检测系统和反病毒软件等工具可以协助实现威胁检测和防御的目标。
4. 强化系统和应用程序安全网络安全的另一个重要方面是强化系统和应用程序的安全性。
及时安装操作系统和软件的补丁、禁用不必要的服务、配置安全设置和访问控制策略等措施,可有效减少系统和应用程序的攻击面。
同时,代码审计和漏洞扫描等技术可发现和修补软件中的漏洞,提升系统和应用程序的安全性。
5. 员工教育和安全意识人为因素是导致网络安全漏洞的重要原因之一。
因此,员工教育和鼓励安全意识的培养至关重要。
定期进行网络安全培训,教育员工遵守安全策略和最佳实践,提高他们对网络安全威胁的认识和识别能力。
通过这种方式,可以减少由于员工疏忽或不当操作导致的安全漏洞。
网络安全基本原理及措施
网络安全基本原理及措施1. 简介随着互联网的迅猛发展,网络安全问题日益突出。
网络安全是指保护计算机系统和网络不受未经授权的访问、损坏、窃取或修改的能力。
本文将介绍网络安全的基本原理和相应的措施。
2. 网络安全基本原理2.1 保密性保密性是网络安全的首要原则之一。
它确保只有授权的用户才能访问和获取敏感信息。
以下是几种保证保密性的方法:- 强密码:使用复杂且难以猜测的密码可以有效避免未经授权的访问。
- 数据加密:通过使用加密算法,将敏感数据转换为加密形式,确保只有授权的用户能够解密。
- 访问控制:限制对敏感数据的访问仅限于授权用户或授权角色。
2.2 完整性完整性是指确保数据在传输和存储过程中保持完整和准确。
以下是几种保证完整性的方法:- 数字签名:使用数字签名技术对数据进行加密和验证,确保数据在传输过程中未被篡改。
- 访问日志:记录用户对系统的操作和访问情况,以便追踪和审查数据的修改和访问情况。
- 数据备份:定期备份数据,以防止数据丢失或损坏。
2.3 可用性可用性是指网络和系统保持正常运行的能力,确保用户能够随时访问所需的服务和资源。
以下是几种提高可用性的方法:- 冗余设备:使用冗余的网络设备和服务器,以防止单点故障导致系统不可用。
- 防御性编程:通过编写健壮、安全的代码来处理异常和错误,确保系统的可用性。
- 恢复策略:建立灾难恢复计划,包括备份数据、快速恢复服务和应对突发事件的步骤。
3. 网络安全措施3.1 防火墙防火墙是网络安全的重要组成部分,用于监控和控制进出网络的数据流。
它可以限制对系统和网络的未经授权访问,并防止恶意软件和网络攻击。
常见的防火墙类型包括软件防火墙和硬件防火墙。
3.2 加密技术加密技术是保护数据和通信安全的常用手段。
通过将信息转换为密文,只有拥有正确密钥的人才能解密访问。
常见的加密技术包括对称加密和非对称加密。
3.3 身份验证与访问控制有效的身份验证和访问控制机制是保护网络安全的关键。
网络安全的基本原理和常见攻击方式
网络安全的基本原理和常见攻击方式随着互联网的发展,网络安全问题也日益凸显。
在日常使用网站、APP等网络工具的过程中,我们常常会遇到各种安全问题。
为了更好地保护自己的隐私,维护网络安全,我们需要了解网络安全的基本原理和常见攻击方式。
网络安全的基本原理包括:一、保密性原则网络通信过程中,保密性是至关重要的。
保护信息内容不被未授权的人员访问和查看,必须采用加密、数据传输协议等技术手段,保证信息的保密性。
二、完整性原则完整性指的是信息的完整性,也就是保证信息在传输过程中不被篡改、删除或增加。
通过数字签名等技术手段,可以保证信息的完整性。
三、可用性原则网络应用必须保证其可用性。
保证网络的可用性需要采用一定的措施,如备份、容错机制等,当网络出现故障或遭到攻击时,可以及时恢复网络的正常运行。
常见的网络攻击方式有:一、谷歌钓鱼谷歌钓鱼是指恶意攻击者使用伪造的网站,以模仿已知的合法网站,引诱用户输入用户名和密码等信息。
一旦用户输入了其敏感信息,攻击者就可以获取到用户的信息。
防范谷歌钓鱼的方法:首先,要注意查看网站的域名和URL,遇到可疑的链接不要轻易点击。
其次,要利用安全软件和防病毒软件对电脑进行保护,避免点击恶意链接和下载不安全的附件。
最后,不要随意输入用户名和密码等敏感信息,尽可能使用双因素身份验证等措施来保护账户安全。
二、DDoS攻击DDoS攻击是指为了造成固定站点拒绝服务而进行的攻击。
攻击者会使用一个或多个计算机来向目标站点发送大量的请求,以过载目标站点并使其停止运行。
防范DDoS攻击的方法:首先,要使用防火墙和流量控制软件进行保护,防止大量的无效请求进入系统。
其次,可以使用内容交付网络(CDN)来降低攻击的影响并加强系统的稳定性。
最后,要及时备份数据,以防数据丢失。
三、病毒攻击病毒攻击是指利用计算机病毒或其他恶意软件程序来攻击计算机。
这些病毒程序会通过电子邮件、恶意链接和下载等方式传播。
防范病毒攻击的方法:首先,要使用最新的防病毒软件和防火墙技术来保护计算机系统。
计算机网络专业资料网络安全的基本原理
计算机网络专业资料网络安全的基本原理计算机网络专业资料:网络安全的基本原理引言:在当今数字化时代,网络安全已成为计算机网络领域中的一个重要议题。
随着互联网的普及和依赖程度的增加,网络安全的保障对于个人、组织和国家的信息安全至关重要。
本文将介绍计算机网络中网络安全的基本原理,以帮助读者更好地理解和应对网络安全挑战。
一、保护机密性的原理:1. 访问控制:网络安全的基本原则之一是确保只有授权用户能够访问和使用敏感信息。
访问控制可以通过身份验证、密码策略、权限管理等手段来实现。
2. 数据加密:通过使用加密算法对敏感数据进行加密,即使在网络传输过程中也能确保数据的保密性。
常见的加密算法包括AES、RSA 等。
3. 安全传输协议:使用安全传输协议(如HTTPS、SSH)来保护数据在网络传输中的安全性,有效防止数据被窃取、篡改或劫持。
二、确保完整性的原理:1. 数据完整性校验:使用校验和、哈希函数等方法来验证数据的完整性,确保数据在传输过程中没有被篡改或损坏。
2. 数字签名:通过使用公钥加密和私钥解密的方式,将数据的签名附加在数据上,以验证数据的真实性和完整性。
3. 安全哈希算法:使用安全哈希算法如SHA-256来生成消息摘要,验证数据的完整性和真实性。
三、确保可用性的原理:1. 防止拒绝服务攻击(DDoS):通过使用防火墙、入侵检测和入侵防御系统等技术来防止和应对拒绝服务攻击,确保网络资源的正常可用性。
2. 容错和冗余:通过使用冗余系统、备份数据等方法来提高系统的可用性,并能够快速从故障中恢复。
3. 网络监控和故障管理:实时监控网络流量,及时发现和解决网络故障,以确保网络的可用性和正常运行。
四、应对威胁的原理:1. 防火墙和入侵检测系统:设置防火墙和入侵检测系统用于检测和阻断未经授权的访问和入侵行为。
2. 恶意软件防护:使用杀毒软件、防木马软件和反间谍软件等来检测、拦截和清除潜在的恶意软件。
3. 安全策略和安全意识教育:制定和实施严格的安全策略,并加强员工的安全意识培训,以提高对于威胁的识别和应对能力。
网络安全的基本原理和常见攻击手段
网络安全的基本原理和常见攻击手段随着互联网的普及,网络安全越来越引起人们的关注。
网络安全的基本原理涉及网络信息的传输、加密和认证等一系列技术手段。
而网络攻击手段也愈发多变,从最基础的网络钓鱼到最高级的DDoS攻击,安全威胁不断在不同层次和角度上攻击着网络。
以下将结合实际案例,深入探讨网络安全的基本原理和常见攻击手段。
1. 网络安全的基本原理网络安全的基本原理主要包括传输安全、存储安全和认证安全。
传输安全是指,在数据传输过程中,确保数据的完整性和机密性。
一般采用加密技术来实现数据的加密和解密,保证数据传输过程中不被窃取、篡改和破坏。
例如,SSL协议是一种常见的传输安全协议,它采用公钥加密技术,对传输的数据进行加密和认证。
存储安全是指,在数据存储过程中,确保数据的机密性和完整性。
一般采用对称加密算法和密码学技术来保护数据的安全。
同时,还需要对数据进行备份和恢复,以防数据丢失或损坏。
认证安全是指,在数据的使用和访问过程中,确保用户的身份和授权。
认证安全主要采用身份认证、授权和审计等技术来实现用户的身份认证和授权管理。
例如,单点登录技术可以实现用户的多个系统账号的统一认证管理。
2. 网络安全的常见攻击手段2.1 网络钓鱼攻击网络钓鱼是指利用虚假的网站或电子邮件来欺骗用户,使其泄露个人隐私或敏感信息。
网络钓鱼通常采用欺骗、伪装和社交工程等手段,骗取用户的信任,从而盗取用户的账号、密码、银行卡号等敏感信息。
例如,黑客通过伪造银行网站或电子邮件,让用户输入自己的银行卡号、密码等敏感信息,从而实施非法盗取资金的行为。
2.2 恶意软件攻击恶意软件指的是通过软件程序的方式,实施恶意攻击的行为。
恶意软件常见的类型有病毒、木马、蠕虫、间谍软件等,这些软件可以进入到计算机系统中,进行破坏、篡改、窃取用户信息等一系列危害行为。
例如,WannaCry勒索病毒就是一种通过网络攻击方式,入侵计算机系统,将计算机上的文件和数据加密,并勒索赎金。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全的基本原理作者:Christopher Leidigh第 101号白皮书摘要安全事故的数量每一年都在以惊人的速度增加。
安全威胁的复杂程度越来越高,因此,必须采取安全措施来保护网络。
如今,为了安全地部署和管理网络,数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。
本白皮书阐述了网络系统的基本安全知识,包括防火墙、网络拓扑和安全协议等。
此外,还给出了最佳方案,向读者介绍了在保护网络安全中某些比较关键的方面。
简介要保护现代商业网络和 IT 基础设施的安全,不仅需要端对端的方法,还必须充分了解网络中所存在的弱点以及相关的保护措施。
虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图,但可以使网络工程师排除某些常见问题,大量减少潜在的危害并迅速检测出安全性漏洞。
随着攻击数量的日益增加以及复杂程度的不断提高,无论是大企业还是小公司,都必须采取谨慎的步骤来确保安全性。
图 1 显示了历年来安全事故次数的显著上升趋势,数据取自 CERT® Coordination Center (一家互联网安全专业技术中心)。
图 1 – 历年来发生的安全事故次数 – 本白皮书除介绍安全基础知识之外,还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。
由于不存在“确保安全的唯一方法”,因此,哪些措施最为合适要由读者/工程人员自己做出最正确的判断。
© 1998-2003 by Carnegie Mellon University年份报告的安全事故次数82,09455,10021,7569,8593,7342,1342,5732,4122,34019951996199719981999200020012002200390,00085,00080,00075,00070,00065,00055,00050,00060,00045,00040,00030,00025,00035,00020,00015,0005,00010,000100,00095,000人的问题在任何安全方案中,人确实都是最薄弱的环节。
很多人都不认真对待保密的问题,譬如,不重视对密码和访问代码的保密,而这些正是大多数安全系统的基础。
所有安全系统均依赖于一套控制访问、验证身份并防止泄漏敏感信息的方法。
这些方法通常涉及一个或多个“秘密”。
如果这些秘密被泄漏或偷窃,那么由这些秘密所保护的系统将受到威胁。
这看起来似乎是再明显不过的事实,但可惜大多数系统都是以这种非常低级的方式被攻击的。
譬如,将写有系统密码的便笺粘在计算机显示器的一侧,这种行为看起来十分的愚蠢,但事实上,很多人都有过这样的举动。
另一个类似的例子,某些网络设备仍保留着出厂时的默认密码。
此类设备可能包括UPS 的网络管理接口。
在安全方案中,无论是小型 UPS 还是足以为 100 台服务器供电的大型 UPS,都往往是被忽略的环节。
如果此类设备仍沿用默认的用户名和密码,那么,即使是除设备类型及发布的默认凭据之外一无所知的人,要获得访问权限也只是时间问题。
如果服务器群集中的每台 Web 服务器和邮件服务器的安全协议都坚不可摧,整个系统却因为一个无保护的 UPS 的简单关机操作被击垮,该是多么令人震惊!安全性,进入正题一家安全的公司,无论大小,都应当采取适当步骤保护安全性,步骤必须全面而完整才能保证其有效性。
但大多数公司机构的安全性策略及其实施都未达到此标准。
造成这种情况有多种原因,比如实施安全性保护需要花费成本。
这里的成本不仅是资金,还包括复杂性、时间和效率成本。
为确保安全,必须花费金钱、执行更多的程序并等待这些程序完成(或者还可能涉及其他人)。
事实是,真正的安全性计划很难实现。
通常的做法是选择一个具有一定“成本”并实现一定安全性功能的方案。
(这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄。
)关键是要为整个系统的每个方面做出明智的决策,并按照预计的方式有意识地或多或少地实施这些决策。
如果知道某个区域缺乏保护,那么至少可以监控此区域以确定问题或漏洞所在。
安全性基础知识了解网络如果连要保护的对象都未清楚地了解,那么要保护好它是不可能的。
任何规模的组织都应当有一套记录在案的资源、资产和系统。
其中每个元素都应当具备相对价值,该价值是根据其对组织的重要性以某种方式指定的。
应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素,如打印机、UPS 系统和 HVAC 系统等。
此外,还有一些重要方面,如记录设备位置以及它们之间的相关性。
例如,大多数计算机都依赖于 UPS 等备用电源,如果这些系统受网络管理,则它们可能也是网络的一部分。
环境设备,如 HVAC 设备和空气净化器可能也包括在内。
了解各种威胁接下来是确定以上每个元素的潜在“威胁”,如表 1所示。
威胁既可能来自内部,也可能来自外部。
它们可能是人为操作的,或自动执行的,甚至还可能是无意的自然现象所导致的。
最后一种情况更适合归类到安全威胁的反面—系统健康威胁中,不过这两种威胁有可能互相转换。
以防盗警报器断电为例。
断电可能是有人故意为之,也可能是某些自然现象(如闪电)而造成的。
无论是哪种原因,安全性都降低了。
表 1 – 各种威胁及后果一览带病毒的电子邮件外部组织,内部使用可以感染读取该电子邮件的系统,并进一步扩散到整个组织网络病毒外部可以通过无保护的端口,危及整个网络的安全基于 Web 的病毒浏览外部网站的内部系统可以对浏览网站的系统造成威胁,并进一步影响其他内部系统Web 服务器攻击Web 服务器外部如果Web 服务器被攻击,黑客可以获得网络内部其他系统的访问权拒绝服务攻击外部外部服务(如 Web、电子邮件和 FTP)将不可用如果路由器受到攻击,整个网络都可能瘫痪网络用户攻击(内部员工)内部任何地方传统的边界防火墙对此攻击束手无策。
内部的网段间防火墙可以帮助控制住这种危害。
物理安全性,从内部进行保护大多数专家都认同,物理安全是一切安全性的起点。
控制对计算机和网络附加设备的物理访问,或许要比其他任何安全方面都更为重要。
对内部站点的任何类型的物理访问都将使站点暴露在危险之中。
如果能够进行物理访问,那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。
幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。
有关数据中心和网络机房物理安全的详细信息,请参阅 APC 第 82 号白皮书“任务关键设备的物理安全”。
采用防火墙划分和保护网络边界对于站点而言,除了基本的物理安全之外,另一个最重要的方面便是对出入组织网络的数字访问进行控制。
大多数情况下,控制数字访问即意味着控制与外部世界(通常为互联网)的连接点。
几乎每家媒体和每个大公司在互联网上都有自己的网站,并且有一个组织网络与之相连。
事实是,与互联网时刻保持连通的小公司和家庭的数量在与日俱增。
因此,确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。
通常,内部企业网被当作“受信任”端,而外部互联网则被当作“不受信任”端。
一般情况下这样理解并没有错,但不够具体和全面,下文将对此进行阐述。
防火墙机制就像是一个受控的堡垒,用于控制进出组织机构的企业网的通信。
从本质上而言,防火墙其实就是特殊用途的路由器。
它们运行于专用的嵌入式系统(如网络外设)上,或者,它们也可以是运行于常见服务器平台上的软件程序。
大多数情况下,这些系统都有两个网络接口,分别连接外部网络(如互联网)和内部企业网。
防火墙进程可以严格控制允许哪些服务可以通过防火墙。
防火墙结构既可以相当简单,也可以非常复杂。
对于安全的大多数方面而言,决定采用哪种类型的防火墙取决于多个因素,譬如,通信级别、需要保护的服务、所需规则的复杂程度,等等。
需要穿过防火墙的服务数量越多,所需的防火墙也越复杂。
防火墙的难点在于区分合法通信与非法通信。
防火墙可以提供哪方面的保护,以及无法提供哪方面的保护?防火墙与其他很多事物一样,如果配置正确,则是防卫外部威胁,包括某些拒绝服务 (DOS) 攻击的利器。
相反,如果配置不正确,则会成为组织内主要的安全漏洞。
防火墙所提供的最基本的保护便是可以阻止网络通信到达某个目的地,包括 IP 地址和特定的网络服务端口。
如果站点希望 Web 服务器供外部访问,可以将所有通信限定在端口 80(标准 HTTP 端口)。
通常,此限制限定来自不受信任端的通信,受信任端的通信则不受限制。
其他所有通信,如邮件通信、FTP、SNMP 等,都不允许通过防火墙进入企业网。
图 2显示了一个简单的防火墙。
图 2 – 简单的网络防火墙还有一个更简单的例子,使用家庭或小型企业用电缆/DSL路由器的用户使用的防火墙。
通常,这种防火墙均设置为限制所有外部访问,只允许来自内部的服务。
认真的读者可能会意识到,在以上两种情况中,防火墙实际上阻止了来自外部的所有通信。
如果是这样,那么如何能在网上冲浪并检索网页呢?防火墙所做的是限制来自外部的连接请求。
在第一种情况中,来自内部的所有连接请求都被传递至外部,随后,所有数据通过该连接进行传输。
对于外部网络而言,只有对 Web 服务器的连接请求以及数据被允许通过,所有其他请求均被阻止。
第二种情况则更加严格,干脆只允许从内部到外部的连接。
比较复杂的防火墙规则可采用被称为“状态监测”的技术。
该方法对通信状态与顺序逐一进行查看,以检测欺骗攻击和拒绝服务攻击,从而增加了基本的端口阻止方法。
规则越复杂,所需的防火墙计算能力也越强。
大多数组织都会面临这样一个问题:如何才能既使外部用户能合法访问Web、FTP 和电子邮件等的“公共”服务,同时又严密保护企业网的安全。
典型的做法是设置一个所谓的隔离区 (DMZ),这个来自冷战时期的术语,如今用到了网络上。
该结构存在两个防火墙:一个位于外部网络与 DMZ 之间,另一个位于 DMZ 与内部网络之间。
所有的公共服务器都放置在 DMZ 中。
采用该结构之后,防火墙规则可以设置为允许公众访问公共服务器,但内部防火墙仍可以限制所有进入的连接。
比起仅仅处于单个防火墙之外,公共服务器在 DMZ 中仍受到了更多的保护。
图 3显示了 DMZ 的作用。
图 3 – 双防火墙及 DMZ在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁(如蠕虫)。
内部防火墙甚至可运行于待机模式,不阻止正常的通信模式,而只是在出现问题时启用严格的规则。
工作站防火墙有一个重要的网络安全因素直到现在才为大多数人所认知,那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。
过去,在考虑网络安全时注意力基本上都集中在防火墙和服务器上,随着 Web 的出现以及新的节点等级(如网络外设)的不断扩张,保护网络安全产生了新的问题。