网络工程概论.docx

《网络工程概论.docx》由会员分享，可在线阅读，更多相关《网络工程概论.docx（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络工程概论 网络平安技术与防范 摘要：网络平安问题始终是计算机良好发展的关键性因素。随着网络的飞速发展,网络平安问题日趋凸现。本文通过对网络平安的主要威逼因素进行分析,着重阐述了几种常用的网络平安的防范措施。 关键词：计算机网络网络平安防范措施 一、网络平安的基本概念 通过采纳各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络平安爱护措施的目的是确保经过网络传输和交换的数据，不会发生增加、修改、丢失和泄露等。常见的网路平安问题有如下几种： 1) 人为的失误如对与用户口令选择或将账号随意告知他人或与别人共享等,都会给计 算机带来网络平安威逼。 2)

2、 信息截取通过信道进行信息的截取，获得机密信息，或通过信息的流量分析，通信 频度、长度分析，推出有用的信息，这种方式不破坏信息的内容，不易被发觉。 3) 计算机软件的漏洞每一个网络软件或操作系统的存在都不行能是没有缺陷、没 有漏洞的,这就是说每一台计算机都是担心全的,只要计算机室连接入网的,都将成为众矢之的。 4) 网络病毒目前计算机病毒是数据平安的头号大敌,它是制造者在计算机程序中 植入的损坏计算机数据或功能,对计算机软硬件的正常运行造成影响并能够自我复制的计算机程序代码或指令。计算机病毒具有触发性、破坏性、寄生性、传染性、隐藏性等特点。因此,针对计算机病毒的防范尤为重要。 5) 电脑黑客电

3、脑黑客(Cracker)是对计算机数据平安构成威逼的另一个重要方面。 电脑黑客是利用系统中的平安漏洞非法进入他人的系统,是一种甚至比病毒更危害的平安因素。 二、网络平安的防范措施 目前常用的几种网络平安技术防范措施有以下几种： (一)防火墙平安技术 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的爱护屏障.是一种获得平安性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个平安网关，从而爱护内部网免受非法用户的侵入，该计算机流入流出的全部网络通信均要经过此 防火墙。 在网络中，所谓“防火墙”，是指

4、一种将内部网和公众访问网(如Internet)分开的方法，它事实上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问限制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻挡网络中的黑客来访问你的网络。 防火墙包括网络层防火墙和应用层防火墙。 网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一

5、项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您运用阅读器时所产生的数据流或是运用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的全部封包，并且封锁其他的封包(通常是干脆将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受爱护的机器里。 防火墙借由监测全部的封包并

6、找出不符规则的内容，可以防范电脑蠕虫或是木程序的快速扩散。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。 (二)加密技术 加密技术是电子商务实行的主要平安保密措施，是最常用的平安保密手段,利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将一般的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不行理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在平安保密中，可通过适当的密钥加密技术和管理机制来保证网

7、络的信息通讯平安。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥须要保密。 对称加密采纳了对称密码编码技术，它的特点是文件加密和解密运用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加

8、密算法运用起来简洁快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统运用。与对称加密算法不同，非对称加密算法须要两个密钥：公开密钥（publickey）和私有密（privatekey）。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；假如用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密运用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 加密技

9、术中还有一种重要的证书签发机构CA。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和详细步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。 CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。 假如用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他安排一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。 假如一个用户想鉴别另一个证书的真伪，他就用 CA

10、 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。 网络加密通常有以下四种类型： 1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上干脆连接到一个来源(如Web服务器、邮件服务器、书目等)。 2、配置VPN设备的无客户端SSL：这种运用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。 3、主机至网络：在上述两个方案中，主机在一个加密的频道干脆连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主

11、机目标资源的那个网络的一部分。 SSL：由于设置简洁，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都留意不到。 IPsec：在SSL成为创建主机至网络的流行方式之前，要运用IPsec客户端软件。IPsec仍在运用，但是，它向用户供应了很多设置选择，简单造成混淆。 4、网络至网络：有很多方法能够创建这种类型加密的隧道VPN.但是，要运用的技术几乎总是IPsec. (三)数字签名与身份认证 “数字签名”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系 的数据，和与数据电文有关的任何方法，它可用于数据电文有关的签字持有人和表明此

12、人认可数据电文所含信息。 数字签名的特点:信息是由签名者发送的；信息自签发后到收到为止未曾做过任何修改；假如A否认对信息的签名，可以通过仲裁解决A和B之间的争议；数字签名又不同于手写签名。 数字签名运用原理：数字签名运用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密 。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而私有密钥的加密解密则运用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。通常一个用户拥有两个密钥对，另一个密钥对用来对数字签

13、名进行加密解密，一个密钥对用来对私有密钥进行加密解密。这种方式供应了更高的平安性。 身份认证的几个相关概念： 1.认证：在做任何动作之前必需要有方法来识别动作执行者的真实身份。认证又称为 鉴别、确认。身份认证主要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获得访问权限。 2.授权：授权是指当用户身份被确认合法后，给予该用户进行文件和数据等操作的权 限。这种权限包括读、写、执行及从属权等。 3.审计：每一个人都应当为自己所做的操作负责，所以在做完事情之后都要审计身份认证的主要方法：口令识别法；个人特征识别法；签名识别法；指纹识别技术；语音识别系统；视网膜图像识别系统；识别过程；身份识别系统

14、的选择。 (四)计算机系统容灾技术 灾难容忍和系统复原实力弥补了网络平安体系仅有的防范和检测措施的不足。由于没有哪一种网络平安设施是万无一失的,一旦发生平安漏洞事务,其后果将是不行设想的。还有,人为等不行预料导致的事务也会对信息系统造成巨大的毁坏。所以一个平安体系就算发生灭难,也能对系统和数据快速地复原,进而完整地爱护网络信息系统。目前系统容灾技术主要有数据备份。但对于离线介质不能保证系统平安。数据容灾通过IP容灾技术来保证数据的平安。数据容灾是在两个存储器（一个在本地，一个在异地）之间建立复制关系。本地存储器供本地备份系统运用,异地存储器对本地备份存储器的关键数据实时复制。两者通过IP相联系

15、,组成完整的数据容灾系统。系统容错技术还有一种就是集群技术,是通过对系统的容错和整体冗余来解决不行用和系统死机问题。本地集群网络、异地集群网络和双机热备份是集群系 统多种形式实现,供应了不同的系统可用性和容灾性。其中容灾性是最好的是异地集群网络。数据存储系统集成了存储、备份和容灾技术。是数据技术发展的重要阶段。伴着存储网络化时代的发展, 一体化的多功能网络存储器势必将取代传统的功能单一的存储器。 (五)软件漏洞扫描技术 自动检测本地主机或远端平安的技术就是漏洞扫描,它随时查询TCP/IP服务的端口, 收集关于某些特定项目的有用信息，并记录目标主机的响应。漏洞扫面技术是通过平安扫描程序来实现。扫

16、描程序可以快速的检查出现存的平安脆弱点。扫描程序吧可得到的攻击方法集成到整个扫描中,之后以统计的格式输出供以后参考和分析。 (六)物理平安技术 系统信息还有可能在空间扩散，这就须要信息网络系统的物理平安。为削减或干扰扩散出去的空间信号，一般是在物理上实行肯定的防护措施。物理平安方面一般的措施如下： 1) 产品保障：主要指产品选购、运输、安装等方面的平安措施。 2) 运行平安方：网络中的产品在运用过程中,必需能够从生成厂家或供货单位得到快速 的技术支持和服务。对一些关键设备和系统,应设置备份系统。 3) 防电磁辐射方面：针对全部重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机 等。 4) 安保

17、方面：主要是防盗、防火等,还包括网络系统全部网络设备、计算机、平安设备 的平安防护。 【参考文献】： 1.刘采利.浅析计算机网络平安隐患 2.刘学辉.计算机网络平安的威逼因素及防范技术 3.张蕴卿.丁际交计算机网络平安的威逼因素及防范技术 网络工程概论 网络工程概论学习心得 网络工程 网络工程 心得 网络工程总结 网络工程专业 网络工程论文 网络工程建设合同 网络工程实习总结 网络工程师 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第13页 共13页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页