摘 要：随着互联网的发展，网络穿透行为不断发生，通过网络穿透，可以达到大肆造谣、非法传播和信息窃取的目的，严重危害了网络安全。本文研究了网络穿透技术及对策，首先简述了当前的防护设备，即防火墙和入侵检测系统，接着给出了网络穿透通信模型，并从工作原理和关键技术深入分析了网络穿透技术，最后结合网络穿透技术研究，给出网络穿透的防范对策。

　　关键词：网络穿透；网络防护；防火墙；入侵检测

　　中图分类号：TP393.08

　　伴随着互联网的迅猛发展，互联网世界越来越丰富多彩，上网的人数和网络应用服务激剧增加，新的应用协议，新的网络服务层出不穷，对整体信息安全提出了巨大的挑战。为了保护网络内部的安全和进行网络管理，政府、企业和用户都采用防火墙、入侵检测系统和病毒检测等防护设备，来检测和防御来自于网络上的恶意行为，以提供安全保障。然而，网络攻击与防护是一个不断对抗和发展的过程，当前，攻击者可以利用防火墙、入侵检测设备和其他检测技术上的漏洞和脆弱点，进行网络穿透。

　　通过网络穿透，不法分子可以大肆谈论不法内容、发泄对社会的不满、造谣惑众、传播不法的思想，危害国家和社会安全；结合木马、病毒和其他恶意程序，绕过网络安全防护设备，达到非法控制、传播和获取秘密信息的目的；为盗版软件、垃圾邮件和色情暴力等信息的传播提供了平台，破坏社会秩序[1]。因此，网络穿透对网络安全和监管带来了严重的冲击，对网络穿透技术进行研究十分有必要。本文从攻击者的角度研究了网络穿透技术，并最终给出相应的对策。首先对网络防护设备进行研究，分析了防火墙和入侵检测系统，接着分析了网络穿透技术，阐述了网络穿透通信模型和基本原理，分析了网络穿透的关键技术，最后给出了应对当前穿透技术的几点对策。

　　1 网络防护设备

　　为了保证网络内部的信息安全，政府、企业和用户都会使用一些网络防护设备进行网络监视和管理。常见的网络防护设备有防火墙和入侵检测系统。

　　1.1 防火墙。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据不同的安全策略，实现对网络流量的控制，它本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全[2]。

　　防火墙是网络安全的屏障，可以强化网络安全策略，对网络存取和访问进行监控审计，并防止内部信息的外泄。防火墙根据不同的网络体系结构，可以分为个人防火墙、网络级防火墙、应用级网关防火墙和电路级网关防火墙。其主要通过包过滤、检查IP地址和端口，实现数据包的通行或阻止，通过检测网络会话的发起端，结合网络流量的方向，判断相互通过的信任关系，通过对网络数据包的重组，分析数据包的内容，来实现有无秘密信息的传输，来达到对内外网络流量的控制和管理。

　　1.2 入侵检测系统。入侵检测技术（Intrusion Detection）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。IDS则是完成如入侵企图或行为（Intrusion），同时监控授权对象对系统资源的非法操作（Misuse）[3]。入侵检测技术作为一种积极主动的安全防护技术，它能够对外部入侵和内部攻击进行实时监视，在网络系统受到危害时，进行拦截和响应，发现入侵行为。

　　入侵检测系统能很好地弥补防火墙的不足，通过安全审计、流量识别和响应监视加强对网络的监管，及时发现不法的入侵行为，加强了网络的安全管理能力，提升了网络基础安全的完整性。入侵检测系统被认为是防火墙的第二道安全闸门，它通过分析网络流量，提取正常通信和异常通信的特征和行为区别，形成检测规则，在网络流时中监视是否有非法的入侵行为。异常通信行为在通信数据包的特征上和通信的行为上肯定有着不一样的地方，如某些木马特定的通信端口、病毒数据包上的标志以及恶意程序操作行为会有明显的标识，这些特点都被入侵检测系统用来对网络进行实时的监测。入侵检测系统还能够在发现入侵行为之后，及时做出响应，包括：事件记录、报警存储和网络连接切断等。

　　2 网络穿透技术

　　2.1 网络穿透通信模型。网络穿透，从狭义上讲是点对点的，通过检测和发掘防火墙、IDS等网络安全设备和系统存在的漏洞，采用一些特定的技术，穿透这些安全设备，从而达到对目标机器和目标网络的攻击；广义上讲，凡是将攻击代码、隐秘数据等传到网络地址转换（NAT）、防火墙、IDS等网络安全设备之后的目标主机上的技术都可以看成一种穿透[4]。因此，网络穿透通信模型可以描述成如下。

　　如图1所示，网络穿透通信模型包括了主机、防火墙、Internet部分、服务器和网络服务，其中防火墙根据部署的位置不同，可以分为个人防火墙和网络防火墙，本文主要从攻击者角度，重点研究如何利用网络穿透技术实现对网络防火墙的穿透，即实现主机穿透网络防火墙后，经过互联网，实现对远程主机、服务器和其他网络服务的访问。

　　2.2 网络穿透工作原理。网络穿透之所以能够穿透防火墙，实现对限制资源的访问，主要的工作原理有：

　　2.2.1 进行欺骗，伪装成正常的通信。防火墙在配置的时候，通常会信任某些应用程序和端口对网络的访问。通过分析防火墙所信任的应用程序，放行的IP地址、端口，就可以将自己有针对性地伪装成防火墙已信任的通信。这样，在网络通信发生时，防火墙将会误认为是正常的数据通信，便允许其通过。例如，在正常的防火墙设置中，都会放行端口为80和443的通信，以保证该网络正常的网络访问，那么就可以将相应的网络通信伪装端口为80或443的数据包，以达到欺骗防火墙，达到网络穿透的目的。入侵检测系统的主要思想是区分异常通信和正常通信，那么相应的网络通信只要进行欺骗，伪装成正常的通信行为，那么也使得入侵检测系统的检测难度极大加强。

　　2.2.2 进行加密，实现数据内容无法检测。当前防火墙和入侵检测设备，能够实现对通信过程中数据包内容的重组，从而达到对通信数据内容的监视，从内容中判断是否有网络穿透行为的发生。然而，攻击者可以利用一些加密通信隧道实现对数据内容的加密，使得防火墙和入侵检测系统只能监测到加密后的密文，无法实现对数据内容的判断和过滤。例如，可以通过建立HTTPS隧道[5]，通过SSL协议，实现对网络数据的加密处理，这样处理后的数据包只带有通信双方的IP和端口，通信的内容完全是进行加密的，这样的通信内容便可以顺利穿透防火墙和入侵检测系统，从而达到对目标的非法访问。通信数据进行加密，极大的隐藏了通信双方的内容，使得以监控内容的防护设备失效，而且进行数据解密的难度相当大，因此该工作原理，能够实现较好的网络穿透。

　　2.2.3 进行隐蔽，实现网络匿名通信。虽然进行加密，能够进行网络穿透，但是加密的方式，还是实现不了对通信双方身份的隐藏，防火墙和入侵检测设备仍然可以对一些非法的通信IP地址进封锁，从而实现对网络穿透一定的监管。而且攻击者可以利用信息隐藏技术和P2P技术，实现匿名通信，从而实现通信双方或单方的身份隐藏，从而实现网络穿透。例如，可以利用一些数据包上的特殊的空闭字段，填入约定好的数据比特，实现信息的隐藏传输，从而达到通信双方身份的隐藏，如：基于共享DNS的防火墙穿透技术和基于ICMP协议的网络穿透技术等[6]。还有就是利用P2P网络实现对访问目标身份的隐藏，如基于Tor平台匿名通信的网络穿透技术。

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。