当前主流的网络安全技术有哪些

　　网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。下面是小编整理的关于主流的网络安全技术介绍，欢迎阅读!

　　防火墙

　　网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。

　　对企业网络用户来说，如果决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。

　　防火墙的技术实现通常是基于所谓"包过滤"技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。

　　除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

　　需要说明的是，并不是所有网络用户都需要安装防火墙，一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

　　加密技术

　　网络安全的另一个非常重要的手段就是加密技术，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。加密的技术主要分两种：

　　单匙技术

　　这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。

　　这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。

　　但这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等)，他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。

　　双匙技术

　　此技术使用两个相关互补的钥匙：一个称为公用钥匙(publickey)，另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的，而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者，没有人--即使是发信者--能够将其解密。公用钥匙是公开的，可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。

　　在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

　　杀毒软件

　　与一般单机的杀毒软件相比，杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在：

　　首先，杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现，并且60%的病毒均通过Internet传播，病毒发展有日益跨越疆界的趋势，杀病毒企业的竞争也随之日益国际化。

　　其次，杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理及自动化，要达到这样的要求需要大量工程师几年的技术积累。

　　第三，杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播，可以说Internet的防毒能力成为杀病毒软件的关键技术，在这方面，国际的杀毒软件如：Norton、McAfee、熊猫卫士走到了前面，它们均可以支持所有的Internet协议，辨识出其中病毒。

　　拓展：常用网络安全技术

　　1、数据加密技术

　　数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

　　计算机网络应用特别是电子商务应用的飞速发展，对数据完整性以及身份鉴定技术提出了新的要求，数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。数据传输的完整性通常通过数字签名的方式来实现，即数据的发送方在发送数据的同时利用单向的Hash函数或者其它信息文摘算法计算出所传输数据的消息文摘，并将该消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名，接收方使用相同的算法计算出接收到的数据的数字签名，并将该数字签名和接收到的数字签名进行比较，若二者相同，则说明数据在传输过程中未被修改，数据完整性得到了保证。常用的消息文摘算法包括SHA、MD4和MD5等。

　　根据密钥类型不同可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。在对称加密算法中，数据加密和解密采用的都是同一个密钥，因而其安全性依赖于所持有密钥的安全性。对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发困难，在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。

　　在公钥密码体系中，数据加密和解密采用不同的密钥，而且用加密密钥加密的数据只有采用相应的解密密钥才能解密，更重要的是从加密密码来求解解密密钥在十分困难。在实际应用中，用户通常将密钥对中的加密密钥公开(称为公钥)，而秘密持有解密密钥(称为私钥)。利用公钥体系可以方便地实现对用户的身份认证，也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密，信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密，如果能够解开，说明信息确实为该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。

　　目前的公钥密码算法都是基于一些复杂的数学难题，例如目前广泛使用的RSA算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解(以RSA为代表)、椭园曲线离散对数和离散对数(以DSA为代表)。公钥密码体系的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES或者IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。

　　2、防火墙技术

　　尽管近年来各种网络安全技术在不断涌现，但到目前为止防火墙仍是网络系统安全保护中最常用的技术。据公安部计算机信息安全产品质量监督检验中心对2000年所检测的网络安全产品的统计，在数量方面，防火墙产品占第一位，其次为网络安全扫描和入侵检测产品。

　　防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intranet防火墙。

　　目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则，也可以在建立防火墙之后，根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分：执行动作和选择准则，执行动作包括拒绝和准许，分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后，防火墙在接收到一个数据包之后，就根据所建立的准则，决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。

　　应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet，如果验证通过，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层，因此对不同的Internet服务应有相应的代理服务器，常见的代理服务器有Web、Ftp、Telnet代理等。除代理服务器外，Socks服务器也是一种应用层网关，通过定制客户端软件的方法来提供代理服务。

　　防火墙通过上述方法，实现内部网络的访问控制及其它安全策略，从而降低内部网络的安全风险，保护内部网络的安全。但防火墙自身的特点，使其无法避免某些安全风险，例如网络内部的攻击，内部网络与Internet的直接连接等。由于防火墙处于被保护网络和外部的交界，网络内部的攻击并不通过防火墙，因而防火墙对这种攻击无能为力;而网络内部和外部的直接连接，如内部用户直接拨号连接到外部网络，也能越过防火墙而使防火墙失效。

　　3、网络安全扫描技术

　　网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了程序，防火墙系统是否存在安全漏洞和配置错误。

　　(1)网络远程安全扫描

　　在早期的共享网络安全扫描软件中，有很多都是针对网络的远程安全扫描，这些扫描软件能够对远程主机的安全漏洞进行检测并作一些初步的分析。但事实上，由于这些软件能够对安全漏洞进行远程的扫描，因而也是网络攻击者进行攻击的有效工具，网络攻击者利用这些扫描软件对目标主机进行扫描，检测目标主机上可以利用的安全性弱点，并以此为基础实施网络攻击。这也从另一角度说明了网络安全扫描技术的重要性，网络管理员应该利用安全扫描软件这把"双刃剑"，及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补，从而提高网络的安全性。

　　(2)防火墙系统扫描

　　防火墙系统是保证内部网络安全的一个很重要的安全部件，但由于防火墙系统配置复杂，很容易产生错误的配置，从而可能给内部网络留下安全漏洞。此外，防火墙系统都是运行于特定的操作系统之上，操作系统潜在的安全漏洞也可能给内部网络的安全造成威胁。为解决上述问题，防火墙安全扫描软件提供了对防火墙系统配置及其运行操作系统的安全检测，通常通过源端口、源路由、SOCKS和TCP系列号来猜测攻击等潜在的防火墙安全漏洞，进行模拟测试来检查其配置的正确性，并通过模拟强力攻击、拒绝服务攻击等来测试操作系统的安全性。

　　(3)Web网站扫描

　　Web站点上运行的CGI程序的安全性是网络安全的重要威胁之一，此外Web服务器上运行的其它一些应用程序、Web服务器配置的错误、服务器上运行的一些相关服务以及操作系统存在的漏洞都可能是Web站点存在的安全风险。Web站点安全扫描软件就是通过检测操作系统、Web服务器的相关服务、CGI等应用程序以及Web服务器的配置，报告Web站点中的安全漏洞并给出修补措施。Web站点管理员可以根据这些报告对站点的安全漏洞进行修补从而提高Web站点的安全性。

　　(4)系统安全扫描

　　系统安全扫描技术通过对目标主机的操作系统的配置进行检测，报告其安全漏洞并给出一些建议或修补措施。与远程网络安全软件从外部对目标主机的各个端口进行安全扫描不同，系统安全扫描软件从主机系统内部对操作系统各个方面进行检测，因而很多系统扫描软件都需要其运行者具有超级用户的权限。系统安全扫描软件通常能够检查潜在的操作系统漏洞、不正确的文件属性和权限设置、脆弱的用户口令、网络服务配置错误、操作系统底层非授权的更改以及攻击者攻破系统的迹象等。

【当前主流的网络安全技术有哪些】相关文章：

计算机科学与技术专业就业方向有哪些09-09