网络安全策略研究(一)
摘要]当前网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。

计算机网络安全不仅影响了网络稳定运行和用户的正常使用，还有可能造成重大的经济损失，威胁到国家安全。

文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。

关键词]网络安全计算机网络入侵检测
引言
计算机网络是一个开放和自由的网络，它在大大增强了网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门。

不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。

这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且会威胁到国家安全。

如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。

近年来，网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。

文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。

一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换，这决定了互联网具有大跨度、分布式、无边界的特征。

这种开放性使黑客可以轻而易举地进入各级网络，并将破坏行为迅速地在网络中传播。

同时，计算机网络还有着自然社会中所不具有的隐蔽性：无法有效识别网络用户的真实身份；由于互联网上信息以二进制数码，即数字化的形式存在，所以操作者能比较容易地在数据传播过程中改变信息内容。

计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞，从而导致各种被攻击的潜在危险层出不穷，这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战，黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法：
1.通过伪装发动攻击
利用软件伪造IP包，把自己伪装成被信任主机的地址，与目标主机进行会话，一旦攻击者冒充成功，就可以在目标主机并不知晓的情况下成功实施欺骗或入侵；或者，通过伪造IP 地址、路由条目、DNS解析地址，使受攻击服务器无法辨别这些请求或无法正常响应这些请求，从而造成缓冲区阻塞或死机；或者，通过将局域网中的某台机器IP地址设置为网关地址，导致网络中数据包无法正常转发而使某一网段瘫痪。

2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。

这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制，因而造成地址空间错误的一种漏洞。

利用软件系统中对某种特定类型的报文或请求没有处理，导致软件遇到这种类型的报文时运行出现异常，从而导致软件崩溃甚至系统崩溃。

3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点，一旦被成功植入到目标主机中，计算机就成为黑客控制的傀儡主机，黑客成了超级用户。

木马程序可以被用来收集系统中的重要信息，如口令、账号、密码等。

此外，黑客可以远程控制傀儡主机对别的主机发动攻击，如DDoS攻击就是大量傀儡主机接到攻击命令后，同时向被攻击目标发送大量的服务请求数据包。

4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息，它对网络安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变
得不容易被发现。

扫描，是指针对系统漏洞，对系统和网络的遍历搜寻行为。

由于漏洞普遍存在，扫描手段往往会被恶意使用和隐蔽使用，探测他人主机的有用信息，作为实施下一步攻击的前奏。

为了应对不断更新的网络攻击手段，网络安全技术也经历了从被动防护到主动检测的发展过程。

主要的网络安全技术包括：防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。

其中防病毒、防火墙和VPN属早期的被动防护技术，入侵检测、入侵防御和漏洞扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息安全产品的基础。

二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。

主要的网络防护技术包括：
1.防火墙
防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。

包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

2.VPN
VPN（VirtualPrivateNetwork）即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。

它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接，并保证数据的安全传输。

为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性和完整性等措施，以防止信息被泄露、篡改和复制。

VPN 技术可以在不同的传输协议层实现，如在应用层有SSL协议，它广泛应用于Web浏览程序和Web服务器程序，提供对等的身份认证和应用数据的加密；在会话层有Socks协议，在该协议中，客户程序通过Socks客户端的1080端口透过防火墙发起连接，建立到Socks服务器的VPN隧道；在网络层有IPSec协议，它是一种由IETF设计的端到端的确保IP层通信安全的机制，对IP包进行的IPSec处理有AH（AuthenticationHeader）和ESP （EncapsulatingSecurityPayload）两种方式。