網絡安全技術的論文有哪些多篇

網絡安全技術論文 篇一

1 引言

隨着無線網絡技術的出現，爲用戶提供了一種嶄新的接入互聯網的方式，使我們擺脫了網線的束縛，更使我們距離隨時隨地與任何人進行任何內容通信的人類通信終極夢想又進了一步。但是由於無線網絡是採用公共的電磁波作爲載體，電磁波能夠穿過天花板、玻璃、樓層和牆等物體，因此在一個無線網絡接入點所在的服務區域中，任何一個無線客戶端都可以接收到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到該無線網絡信號，因此數據安全成爲了無線網絡技術當下迫切要解決的問題。

2 無線網絡的安全隱患

當前在規劃和建設無線網絡中現面臨兩大問題：

（1）網絡劫持

網絡劫持指的是網絡黑客將自己的主機僞裝成默認網關或者特定主機，使得所有試圖進入網絡或者連接到被網絡黑客頂替的機器上的用戶都會自動連接到僞裝機器上。典型的無線網絡劫持就是使用欺騙性AP。他們會通過構建一個信號強度好的AP，使得無線用戶忽視通常的AP而連接到欺騙性AP上，這樣網絡黑客就會接收到來自其他合法用戶的驗證請求和信息後，就可以將自己僞裝成爲合法用戶並進入目標網絡。

（2）嗅探

這是一種針對計算機網絡通信的電子竊聽。通過使用這種工具，網絡黑客能夠察看到無線網絡的所有通信。要想使無線網絡不被該工具發現，必須關閉用於網絡識別的廣播以及任何未經授權用戶訪問資格。然而關閉廣播意味着無線網絡不能被正常用戶端發現，因此要使用戶免受該工具攻擊的唯一方法就是儘可能使用加密。

3 無線網絡主要信息安全技術

（1）擴頻技術

該技術是軍方爲了使用無線通訊安全而首先提出的。它從一開始就被設計成爲駐留在噪聲中，是一直被幹擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率範圍中發送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網絡產品在ISM波段的2.4～2.4835GHz範圍內傳輸信號，在這個範圍內可以得到79個隔離的不同通道，無線信號是被髮送到成爲隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的，現將無線信號按順序發送到每一個通道上，並且在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案，系統外的劫持站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾，也不用擔心網絡上的數據被其他人截獲。

（2）用戶驗證

即採用密碼控制，在無線網絡的適配器端使用網絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由於無線網絡支持使用筆記本或其它移動設備的漫遊用戶，所以精確的密碼策略可以增加一個安全級別，這樣就可以確保該無線網絡只被授權人使用。

（3）數據加密

對數據的安全要求極高的系統，例如金融或軍隊的網絡，需要一些特別的安全措施，這就要用到數據加密的技術。藉助於硬件或軟件，在數據包被髮送之前給予加密，那麼只有擁有正確密鑰的工作站才能解密並讀出數據。

如果要求整體的安全性，數據加密將是最好的解決辦法。這種方法通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由製造商提供，另外我們還可以選擇低價格的第三方產品。

(4)WEP加密配置

WEP加密配置是確保經過授權的無線網絡用戶不被竊聽的驗證算法，是IEEE協會爲了解決無線網絡的安全性而在802.11中提出的解決辦法。

（5）防止入侵者訪問網絡資源

這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者爲了將他的工作站和有線LAN連接也必須達到這個前提。

4 改進方法及措施

（1）正確放置網絡的接入點設備

在網絡配置中，要確保無線接入點放置在防火牆範圍之外。

（2）利用MAC阻止黑客攻擊

利用基於MAC地址的訪問控制表，確保只有經過註冊的用戶端才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖，設置的障礙越多，越會使黑客知難而退，不得不轉而尋求其它低安全性的網絡。

(3)WEP協議的重要性

WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時，WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啓動之後，應該立即更改WEP密鑰的缺省值。

最理想的方式是WEP的密鑰能夠在用戶登錄後進行動態改變。這樣，黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基於會話和用戶的WEP密鑰管理技術能夠實現最優保護，爲網絡增加另外一層防範。

（4）簡化網絡安全管理：集成無線和有線網絡安全策略

無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議。制定結合有線和無線網絡安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進入網絡時，都需要採用集成化的單一用戶ID和密碼。

（5）不能讓非專業人員構建無線網絡

儘管現在無線網絡的構建已經非常方便，即使是非專業人員也可以自己在辦公室內安裝無線路由器和接入點設備。但是，他們在安裝過程中很少考慮到網絡的安全性，這樣就會通過網絡探測工具掃描就能夠給黑客留下攻擊的後門。因而，在沒有專業系統管理員同意和參與的情況下，要限制無線網絡的構建，這樣才能保證無線網絡的安全。

網絡安全技術論文 篇二

1 引言

隨着計算機網絡技術的飛速發展，無線網絡技術以獨特的優點，被許多企業、政府、家庭所使用，但在其安裝、使用便利，接入方式靈活的同時，由於無線網絡傳送的數據是利用無線電波在空中輻射傳播，這種傳播方式是發散的、開放的，這給數據安全帶來了諸多潛在的隱患。無線網絡可能會遭到搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網絡接管與篡改、拒絕服務攻擊等安全威脅，因此，探討新形勢下無線網絡安全的應對之策，對確保無線網絡安全，提高網絡運行質量具有十分重要的意義。

2 無線網絡存在的主要安全威脅

無線網絡存在的主要安全威脅有兩類：一類是關於網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊；另一類是基於無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對於第一類攻擊在有線網絡的環境下也會發生。可見，無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。

2.1 攻擊者侵入威脅

無線局域網非常容易被發現，爲了能夠使用戶發現無線網絡的存在，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線在合適的範圍內對網絡發起攻擊而不需要任何物理方式的侵入。因爲任何人的計算機都可以通過自己購買的AP，不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。還有的部分設備、技術不完善，導致網絡安全性受到挑戰。這些挑戰可能包括竊聽、截取和監聽。以被動和無法覺察的方式入侵檢測設備的，即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具，如AiroPeek和TCPDump來監聽和分析通信量，從而識別出可以解除的信息。

2.2 相關無線網絡保密機制存在缺陷

WEP機制用來提高無線網絡安全性，但長期的運行結果是該機制存在一定的安全缺陷，值得影響大家的關注。加密算法過於簡單。WEP中的IV由於位數太短和初始化復位設計，常常出現重複使用現象，易於被他人解除密鑰。而對用於進行流加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，容易被黑客攻破。一個是接入點和客戶端使用相同的加密密鑰。如果在家庭或者小企業內部，一個訪問節點只連接幾臺PC的話還可以，但如果在不確定的客戶環境下則無法使用。讓全部客戶都知道密鑰的做法，無疑在宣告WLAN根本沒有加密。不同的製造商提供了兩種WEP級別，一種建立在40位密鑰和24位初始向量基礎上，被稱作64位密碼；另一種是建立在104位密碼加上24位初始向量基礎上的，被稱作128位密碼。高水平的黑客，要竊取通過40位密鑰加密的傳輸資料並非難事，40位的長度就擁有2的40次方的排列組合，而RSA的解除速度，每秒就能列出2.45×109種排列組合，很容易就可以被解除出來。

雖然WEP有着種種的不安全，但是很多情況下，許多訪問節點甚至在沒有激活WEP的情況下就開始使用網絡了，這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網絡就能輕易記下MAC地址、網絡名、服務設置標識符、製造商、信道、信號強度、信噪比的情況。作爲防護功能的擴展，最新的無線局域網產品的防護功能www本站uawen.本站cn更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰，即使最繁忙的網絡也不會在這麼短的時間內產生足夠的數據證實攻擊者破獲密鑰。然而，一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改，幾乎所有的AP都按照默認配置來開啓WEP進行加密或者使用原廠提供的默認密鑰。

2.3 搜索攻擊威脅

進行搜索也是攻擊無線網絡的一種方法，現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的，或即使加密功能是處於活動狀態，如果沒有關閉AP（無線基站）廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID（安全集標識符）等可給黑客提供入侵的條件。同時，許多用戶由於安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱，容易遭受黑客攻擊。

除通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷，通過監測AP發出的廣播幀發現AP的存在。然而，由於802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。

2.4 網絡身份冒充

網絡身份冒充是採取假冒相關用戶的身份，通過網絡設備，使得它們錯誤地認爲來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。由於TCP/IP的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是，因爲巨大的管理負擔，這種方案很少被採用。只有通過智能事件記錄和監控日誌纔可以對付已經出現過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。

3 無線網絡安全對策探討

提高無線網絡安全等級，必須首先從思想要高度重視，提出有效的應對舉措，確保無線網絡安全。

3.1 科學進行網絡部署

選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值；把基站看作 RAS（RemoteAccessServer，遠程訪問服務器）；指定專用於無線網絡的IP協議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權用戶和入侵者的影響；在網絡上，針對全部用戶使用一致的授權規則；在不會被輕易損壞的位置部署硬件。

3.2 合理配置網絡的接入點設備

要對無線網絡加裝防火牆，並且在進行網絡配置時，要首先確保無線接入點放置在防火牆範圍之外，提高防火牆的防禦功效。同時，要利用基於MAC地址的ACLs（訪問控制表）確保只有經過註冊的設備才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖，設置的障礙越多，越會使黑客知難而退，不得不轉而尋求其他低安全性的網絡。

3.3 重視發揮WEP協議的重要作用

WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時，WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啓動之後，應立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶登錄後進行動態改變，這樣，黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基於會話和用戶的WEP密鑰管理技術能夠實現最優保護，爲網絡增加另外一層防範。此外，所有無線局域網都有一個缺省的SSID（服務標識符）或網絡名，立即更改這個名字，用文字和數字符號來表示。如果企業具有網絡管理能力，應該定期更改SSID：即取消SSID自動播放功能。

網絡安全技術的論文 篇三

1 引言

21世紀全世界的計算機大部分都將通過互聯網連到一起，在信息社會中，隨着國民經濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨着網絡應用範圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就越來越重要。

2 網絡威脅

2.1網絡威脅的來源

（1）網絡操作系統的不安全性：目前流行的操作系統均存在網絡安全漏洞。

（2）來自外部的安全威脅：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒等。

（3）網絡通信協議本身缺乏安全性（如：TCP/IP協議）：協議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。

（4）木馬及病毒感染。

（5）應用服務的安全：許多應用服務系統在訪問控制及安全通信方面考慮的不周全。

2.2網絡攻擊的發展趨勢

目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標，而且現在攻擊工具越來越複雜，與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測，具有反偵察的動態行爲攻擊者採用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術可以繞過防火牆。在許多的網站上都有大量的穿過防火牆的技術和資料。由此可見管理人員應對組成網絡的各種軟硬件設施進行綜合管理，以達到充分利用這些資源的目的，並保證網絡向用戶提供可靠的通信服務。

3 網絡安全技術

3.1網絡安全管理措施

安全管理是指按照本地的指導來控制對網絡資源的訪問，以保證網絡不被侵害，並保證重要信息不被未授權的用戶訪問。網絡安全管理主要包括：安全設備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設備管理：指對網絡中所有的安全產品。如防火牆、、防病毒、入侵檢測（網絡、主機）、漏洞掃描等產品實現統一管理、統一監控。

安全策略管理：指管理、保護及自動分發全局性的安全策略，包括對安全設備、操作系統及應用系統的安全策略的管理。

安全分析控制：確定、控制並消除或縮減系統資源的不定事件的總過程，包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查（含系統補丁程序檢查）。

安全審計：對網絡中的安全設備、操作系統及應用系統的日誌信息收集彙總。實現對這些信息的查詢和統計；並通過對這些集中的信息的進一步分析，可以得出更深層次的安全分析結果。

3.2網絡安全防護措施

3.2.1防火牆技術

防火牆是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。網絡防火牆技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備，主要方法有：堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。

根據防火牆所採用的技術不同，我們可以將它分爲四種基本類型：包過濾型、網絡地址轉換(NAT)、代理型和監測型。

（1）包過濾型

包過濾型產品是防火牆的初級產品，這種技術由路由器和Filter共同完成，路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火牆通過讀取數據包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險站點，防火牆便會將這些數據拒絕。包過濾的優點是處理速度快易於維護。其缺點是包過濾技術完全基於網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法告知何人進入系統，無法識別基於應用層的惡意入侵，如木馬程序，另一不足是不能在用戶級別上進行過濾。即不能鑑別不同的用戶和防止IP盜用。

（2）網絡地址轉換

網絡地址轉換在內部網絡通過安全網卡訪問外部網絡時。將產生一個映射記錄。系統將外出的源地址和源端口映射爲一個僞裝的地址和端口，讓這個僞裝的地址和端口通過非安全網卡與外部網絡連接，而隱藏真實的內部網絡地址。利用網絡地址轉換技術能透明地對所有內部地址作轉換，使外部網絡無法瞭解內部結構，同時允許內部網絡使用自編的IP地址和專用網絡。防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。

（3）代理型

代理型的特點是將所有跨越防火牆的網絡通訊鏈路分爲二段。防火牆內外計算機系統間的應用層的“連接”由二個終止於代理服務器上的“連接”來實現，外部計算機的網絡鏈路只能到達代理服務器，由此實現了“防火牆”內外計算機系統的隔離，代理服務器在此等效於一個網絡傳輸層上的數據轉發器的功能，外部的惡意侵害也就很難破壞內部網絡系統。代理型防火牆的優點是安全性較高，可對應用層進行偵測和掃描，對基於應用層的入侵和病毒十分有效。其缺點是對系統的整體性能有較大的影響，系統管理複雜。

（4）監測型

監測型防火牆是新一代的產品，監測型防火牆能夠對各層的數據進行主動的、實時的監測。在對這些數據加以分析的基礎上，監測型防火牆能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火牆產品一般還帶有分佈式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中。不僅能夠監測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防範作用。因此，監測型防火牆不僅超越了傳統防火牆的定義，而且在安全性上也超越了前兩代產品，但其缺點是實現成本較高，管理複雜。所以目前在實用中的防火牆產品仍然以第二代代理型產品爲主，但在某些方面已開始使用監測型防火牆。

3.2.2物理隔離

所謂“物理隔離”是指內部網不得直接或間接地連接公共網。雖然能夠利用防火牆、代理服務器、入侵監測等技術手段來抵禦來自互聯網的非法入侵。但是這些技術手段都還存在許多不足，使得內網信息的絕對安全無法實現。“物理隔離”一般採用網絡隔離卡的方法。它由三部分組成：內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站，分別有自己獨立的硬盤分區和操作系統，並能通過各自的專用接口與網絡連接。它通過有效而全面地控制計算機的硬盤數據線，使得計算機一次只能訪問及使用其中的一個硬盤分區，從而最大限度地保證了安全（內網）與非安全（外網）之間的物理隔離。隔離島在外網區域時可以讀/寫文件，而在內網區域時只可以讀取文件，這樣就創建了一個只能從外網到內網、操作簡便且非常安全的單向數據通道。

4 結論

隨着網絡的發展會有更多新的計算機的攻擊方式和手段出現，也會有更多更新的防護技術手段出現，做好網絡安全防護工作是計算機管理和應用的重要內容，做好計算機的安全管理，配合高效的防火牆，能夠很好地保障網絡的安全，極大提高網絡的運行效率。