确保网络的安全技术介绍

防火墙技术

防火墙是隔离本地网络与外界网络的一道防御系统。通常用于内部局域网

与外部广域网之间，通过限制外部网络用户以非法手段来访问内部资源，来达到保

护内部网络的安全。根据安全规则，防火墙对任何外部网络访问内部网络的行为进

行认证，对外部网络尽可能地屏蔽内部网络的信息、结构和运行状态。对合法用

户，则允许进入内部网络并仅限于合法的操作;对未经授权的用户应限制在防火墙

外。其从实现层次上大体可分为 3 类：包过滤防火墙，代理防火墙和复合型防火

墙。包过滤防火墙是在 IP 层实现，它可以只用路由器来实现。包过滤防火墙根据

报文的源 IP 地址，目的 IP 地址、源端口、目的端口和报文传递方向等报头信息来

判断是否允许有报文通过。代理防火墙也叫应用层网关防火墙，是运行代理服务软

件的堡垒主机。堡垒主机由两张网卡分别连接两个网络，通过代理服务进行转发数

据。代理服务是在网管员允许下或拒绝的特定的应用程序或者特定服务，一般情况

下可应用于特定的互联网服务，如超文本传输、文件传输等。同时，还可应用于实

施较强的数据流监控、过滤、记录和报告等功能。复合型防火墙是将数据包过滤和

代理服务结合在一起使用，主要包括主机屏蔽防火墙和子网屏蔽防火墙。主机屏蔽

防火墙由单个网络端口的应用型防火墙和一个包过滤路由器组成，子网屏蔽防火墙

在内部网络与外部网络之间加有两个包过滤路由器和一个堡垒主机，内部网络和外

部网络不能直接通信，但能够通过各自的路由器和堡垒主机交换数据。

访问控制技术

访问控制技术是网络安全防范和保护的主要技术，它的主要任务是保证网

络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。它可以对

基于网址、端口、访问时间、访问的用户、网络流量、IP 地址和 MAC 地址等进行

配置参数来控制网络数据交换。访问控制涉及的技术也比较广，包括入网访问控

制、网络权限控制、目录级安全控制以及属性控制等多种手段。

入侵检测技术

入侵检测技术是指在计算机网络或者计算机系统中的若干关键点收集信

息，通过对这些信息的分析来发现网络或者系统中是否有违反安全策略和被攻击迹

象的技术。入侵检测系统主要通过监控网络，系统的状态、行为和系统的使用情况

来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全漏洞对系统进行

入侵的企图。它可以及时发现并监控分析用户和系统的行为、审计系统配置和漏

洞、识别异常行为和攻击行为、对攻击行为或异常行为进行响应、审计和跟踪;并

能对攻击或异常行为进行阻断、记录、报警，将攻击行为产生的破坏和影响降至最

低。入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机

的入侵检测系统。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计

记录文件作为数据源。通过比较这些审计记录文件的记录与攻击签名以发现它们是

否匹配。如果匹配，检测系统就向系统发出警报并反馈入侵信息。基于网络的入侵 检测系统以原始的网络数据包作为数据源，它是利用网络适配器来实时地监视并分

析通过网络进行传输的所有通信业务的。

数据加密技术

数据加密技术是指将一个信息(或称明文)经过加密钥匙及加密函数转换，

变成无意义的`密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文。

网络安全论文按加密算法分为专用密钥和公开密钥两种。专用密钥是加密密钥和解

密密钥相同或者一个可由另一个导出，特点是安全性好、开放性差。公开密钥是加

密密钥公开，解密密钥不公开，不能用一个推导出另外一个，特点是适用于开放的

环境，密钥管理简单，工作较专用密钥低。